Historia Clínica y la Protección de Datos
Historia Clínica y la Protección de Datos
Todos sabemos que al recibir asistencia sanitaria se genera un documento llamado “Historia Clínica”.
La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, la define como el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.
Por lo tanto, la historia clínica contiene datos de categoría especial, pues se tratan datos personales relacionados con la salud de los pacientes, información muy sensible a la que se le deberá aplicar unas medidas de seguridad extraordinarias con respecto al tratamiento de datos personales con un nivel de seguridad menos elevado.
¿Quién puede acceder a la historia clínica?
Por descontado el propio Paciente como titular de sus datos.
También los Médicos que tratan al paciente, pero solo si el acceso responde al ejercicio de sus funciones de carácter asistencial, sujeto al deber de confidencialidad y a su código deontológico.
Los Profesionales Sanitarios también podrán acceder a la historia clínica para conocer el estado de salud de los pacientes que tratan.
El Personal Investigador podrá acceder a los datos disociados y con las garantías adicionales de la Disposición Adicional 17ª.2) de la LOPDGDD.
El Personal Administrativo de un centro sanitario o socio/sanitario, bajo el deber de secreto y sólo accederán a la información necesaria sobre el estado de salud del paciente/usuario.
Los Estudiantes en Prácticas, con acceso limitado a los datos de salud y respetando el deber de confidencialidad. Se sugiere siempre aplicar técnicas de seudonimización o disociación de datos (separación datos identificativos de los clínicos).
Los Inspectores Sanitarios, podrán acceder la historia clínica para comprobar la calidad en la asistencia sanitaria.
Administración Pública, en caso de tramitaciones como ayudas, pensiones, etc., así como Autoridades para fines judiciales, y los Profesionales del Derecho como abogados y procuradores, para la presentación de una reclamación por motivos de salud, pudiendo acceder a los datos necesarios para el juicio, de acuerdo con lo establecido por el juez.
Las Empresas Prestadoras de Servicios a los Pacientes, que sólo conocerán los datos estrictamente necesarios y deberán seguir las indicaciones del responsable del tratamiento.
¿Qué pasa si consultan mi historia clínica sin justificación?
Si la historia clínica es consultada sin justificación por parte del personal sanitario pueden derivarse responsabilidades administrativas, disciplinarias, civiles y hasta penales.
Esta consulta injustificada es considerada en la mayoría de los códigos deontológicos como grave o muy grave, y es un delito, según el Código Penal, por descubrimiento y revelación de secretos.
Por otro lado, también se puede derivar responsabilidades civiles a través de la imposición de una multa señalada por el juez correspondiente.
¿Puedo conocer quién ha consultado mi historia clínica?
El paciente puede dirigirse al centro sanitario y ejercer su derecho de acceso, y dentro de este, solicitar el tipo de accesos producidos a su historia clínica, pero el centro solo está obligado a ofrecer información sobre cuántos accesos se han producido a su historia clínica, finalidad de esos accesos, etc.
La AEPD ha señalado que ni la normativa española de protección de datos, ni en la normativa en materia de asistencia sanitaria, exigen al centro ofrecer al paciente la identificación con nombre y apellidos de aquellas personas que hayan accedido a la historia clínica de un paciente determinado. Aunque existen algunas comunidades autónomas (Navarra y Extremadura) sí reconocen la posibilidad de que el paciente sepa la identidad de las personas que hayan accedido, como parte del ejercicio del derecho de acceso.
Derechos del paciente sobre su historia clínica
Los derechos del paciente respecto de su historia clínica son los siguientes:
Derecho de Acceso:
La normativa en protección de datos entiende este derecho como la posibilidad del paciente en este caso, saber si el centro sanitario está tratando o no sus datos personales y solicitar copia de los datos tratados. En la normativa sanitaria, este derecho respecto de la historia clínica supone el acceso a los datos que en ella se encuentran.
Derecho de Rectificación:
Se podrán cambiar o actualizar aquellos datos que sean inexactos. Respecto de los datos sanitarios, será el profesional sanitario quién determinará si la rectificación solicitud por el paciente procede o no según los criterios sanitarios.
Derecho de Supresión:
Este derecho está limitado por lo que respecta a la historia clínica, ya que es necesario priorizar una correcta atención sanitaria al paciente. Por lo que será el profesional sanitario quien deberá realizar un análisis de la solicitud y evaluar si procede o no de acuerdo con el impacto en la historia clínica.
Realizar una Reclamación:
Los pacientes pueden reclamar ante la AEPD, en el canal de ayuda al ciudadano, si alguno de sus derechos mencionados han sido desatendidos o para aquellos casos en la que sus derechos hayan sido vulnerados, como por ejemplo, al ejercer el derecho de acceso se le entregue copia de una historia clínica perteneciente a otra persona.
¿Qué obligaciones tiene un centro sanitario en materia de protección de datos?
Según el Artículo 2.1 a), del Real Decreto 1277/2003, define el Centro Sanitario como el “conjunto organizado de medios técnicos e instalaciones en el que profesionales capacitados, por su titulación oficial o habilitación profesional, realizan básicamente actividades sanitarias con el fin de mejorar la salud de las personas. Los centros sanitarios pueden estar integrados por uno o varios servicios sanitarios, que constituyen su oferta asistencial.”
Por tanto, lo expuesto en este post afectaría por ejemplo a cualquier Clínica independientemente de su especialidad.
Como ya hemos dicho, la historia clínica trata datos de categoría especial, por lo que se deberán aplicar aquellas obligaciones que exige el RGPD y la LOPD-GDD, como por ejemplo:
Elaborar la correspondiente Evaluación de Impacto (EIPD).
Contar con el Registro de Actividades de Tratamiento (RAT) correspondiente, tanto en formato físico como en electrónico.
Designar a un Delegado de Protección de Datos (DPD).
Contar con una Política de gestión de brechas de seguridad, en donde se explique de manera clara y concisa los pasos a seguir en caso de una violación de la seguridad de los datos personales.
implantar unas Políticas de Seguridad basadas en medidas técnicas y organizativas que garanticen la privacidad del paciente y confidencialidad, integridad y disponibilidad de su historia clínica.
¿Cómo deben proteger la privacidad del paciente los centros sanitarios?
Hemos comentado la obligación de cualquier centro sanitario, en implantar medidas técnicas y organizativas que garanticen la privacidad del paciente, pues existen casos en los que es fácil cometer una infracción. Por ejemplo:
Llamar a los pacientes
Una situación habitual y que genera muchas consultas a Business Adapter®, es la manera en la que se deben llamar a los pacientes que están en las salas de espera.
Obviamente, el centro sanitario está obligado a velar por la privacidad del paciente y la confidencialidad de sus datos personales y llamarle por voz con su nombre y apellidos, va en contra de su privacidad.
Lo correcto en estos casos, es utilizar medidas técnicas y organizativas alternativas que eviten desvelar información personal del paciente.
Enviar resultados clínicos por medios electrónicos
Existen situaciones donde el paciente solicita o es política del centro sanitario, enviar resultados clínicos por medios electrónicos. A este respecto es necesario saber las medidas de seguridad que se deben aplicar a los documentos enviados y que tecnologías se deben utilizar para el envío.
Business Adapter® a tu servicio
Si tienes una clínica y quieres saber cuales son las medidas técnicas y organizativas que debes aplicar y cumplir en su totalidad con la Normativa de protección de datos europea y española (RGPD + LOPD) a la cual está obligada cualquier clínica o profesional médico, contáctanos en el email: info@businessadapter.es, también puedes llamar al 96 131 88 04, o deja tu mensaje en este formulario:
[su_button url=»https://businessadapter.es/contacto» target=»blank» background=»#f6f903″ color=»#181818″ size=»7″ center=»yes» icon_color=»#000000″]Consúltanos, estaremos encantados de ayudarte[/su_button]