Proteccin de datos Historia clnica algunas cuestiones relevantes

1
Protección de datos / Historia clínica(algunas
cuestiones relevantes)

• Pedro Grimalt Servera
• Prof. Titular de Derecho civil
• Universitat de les Illes Balears

2
Normativa de referencia

• Ley Orgánica 15/1999, de 13 de diciembre, de
  protección de datos de carácter personal (LOPDP)
  y su normativa de desarrolla (en especial la que
  desarrolla el deber de seguridad del art. 9
  LOPDP).
• Ley 41/2002, de 14 de noviembre, Ley básica
  reguladora de la autonomía del paciente y de
  derechos y obligaciones en materia de información
  y documentación clínica (ley del paciente).
• Ley 5/2003. de 4 de abril, de Salud de las Illes
  Balears (Ley de salud IB)

3
La intimidad del afectado/paciente

• Protección de datos y derecho a la intimidad.
• Toda persona tiene derecho a que se respete el
  carácter confidencial de los datos referentes a
  su salud, y a que nadie pueda acceder a ellos sin
  previa autorización amparada por la Ley (art.
  7.1 Ley del paciente).
• El derecho a la intimidad del paciente se
  concreta en el respeto a la confidencialidad de
  los datos que hacen referencia a su salud y a la
  asistencia o al tratamiento. Las personas que no
  estén autorizadas debidamente no pueden acceder a
  estos datos. (art. 10.1 Ley de salud IB)

4
Tratamiento de datos/historia clínica

• La LOPDP se aplica a los tratamientos de datos.
• La historia clínica es un tratamiento de datos
  personales

5
Sujetos principales de la protección de datos (I)

• El afectado versus el responsable del
  tratamiento.
• El afectado (paciente)
• persona física titular de los datos que sean
  objeto del tratamiento a que se refiere el
  apartado c) del presente artículo. (art. 3.c
  LOPDP).
• Datos de carácter personal cualquier
  información concerniente a personas físicas
  identificadas o identificables (art. 3.a LOPDP)

6
Sujetos principales de la protección de datos (II)

• Responsable del fichero o tratamiento el que
  decide sobre la finalidad, contenido y uso del
  tratamiento
• Sujeto sometido al estatuto del responsable del
  fichero deberes que impone la LOPDP sujeto
  pasivo de los derechos del afectado
  responsabilidad
• Respecto a la historia clínica quién es el
  responsable?
• Los centros sanitarios?
• Los profesionales sanitarios?
• Sólo los profesionales sanitarios que ejerzan su
  actividad de manera individual?

7
Otros sujetos en la protección de datos.

• Encargado del tratamiento trata datos personales
  por cuenta del responsable del tratamiento
• La Agencia de Protección de datos (Estatal)
• Ente de Derecho Público.
• Principales funciones velar por el cumplimiento
  de la LOPDP inspeccionar sancionar

8
Finalidad del tratamiento de datos

• las finalidades determinadas, explícitas y
  legítimas
• Entre otras funciones
• Asegurar la transparencia del tratamiento.
• Permitir el control del tratamiento de datos
  personales
• Finalidad fundamental de la historia clínica
  garantizar una asistencia adecuada al paciente

9
Principio de racionalidad o de pertinencia (I)

• Principio de racionalidad o de pertinencia los
  datos tratados tienen que seer adecuados,
  pertinentes y no excesivos en relación con las
  finalidades para las que se hayan obtenido (art.
  4.1 LOPDP)

10
Principio de racionalidad o de pertinencia (II)

• La historia clínica incorporará la información
  que se considere trascendental para el
  conocimiento veraz y actualizado del estado de
  salud del paciente ... (art. 15.2 Ley del
  paciente)
• La historia clínica ha de contener, en todo
  caso, los datos personales, los de la asistencia
  y los clínico-asistenciales. Constarán asimismo
  las acciones, las intervenciones y las
  prescripciones hechas por cada profesional
  sanitario. (art. 14.2 Ley de salud IB)

11
Principio de congruencia

• Principio de congruencia Los datos de
  carácter personal objeto de tratamiento no podrán
  usarse para finalidades incompatibles con
  aquellas para las que los datos hubieran sido
  recogidos. No se considerará incompatible el
  tratamiento posterior de éstos con fines
  históricos, estadísticos o científicos (art. 4.2
  LOPDP).

12
Principio de exactitud

• Principio de exactitud Los datos de carácter
  personal serán exactos y puestos al día de forma
  que respondan como veracidad a la situación
  actual del afectado (art. 4.3 LOPDP).
• La historia clínica incorporará la información
  que se considere trascendental para el
  conocimiento veraz y actualizado del estado de
  salud del paciente ... (art. 15.1 Ley del
  paciente)
• La historia clínica tendrá como fin principal
  facilitar la asistencia sanitaria, dejando
  constancia de todos aquellos datos que, bajo
  criterio médico, permitan el conocimiento veraz y
  actualizado del estado de salud ... (art.
  15.2 Ley del Paciente)

13
El consentimiento en la LOPDP (I)

• Principio de autodeterminación (o del
  consentimiento). Reglas generales
• Necesidad consentimiento inequívoco del afectado
  (art. 6.1 LOPDP).
• Necesidad de consentimiento expreso para tratar
  datos personales relativos a la salud y a la vida
  sexual (art. 7.3 LOPDP)
• Necesidad del previo consentimiento del
  interesado para comunicar datos a terceros (art.
  11.1 LOPDP)

14
El consentimiento en la LOPDP (II). Algunas
excepciones a la regla general (I)

• ... podrán ser objeto de tratamiento los
  datos de carácter personal a que se refieren los
  apartados 2 y 3 de este artículo, cuando dicho
  tratamiento resulte necesario para la prevención
  o para el diagnóstico médicos, la prestación de
  asistencia sanitaria o tratamientos médicos o la
  gestión de servicios sanitarios, siempre que
  dicho tratamiento de datos se realice por un
  profesional sanitario sujeto al secreto
  profesional o por otra persona sujeta asimismo a
  una obligación equivalente de secreto.
• También podrán ser objeto de tratamiento los
  datos a que se refiere el párrafo anterior cuando
  el tratamiento sea necesario para salvaguadar el
  interés vital del afectado o de otra persona, en
  el supuesto de que el afectado esté física o
  jurídicamente incapacitado para dar su
  consentimiento (art. 7.6 LOPDP).
• Sin perjuicio de lo que se dispone en el
  artículo 11 respecto de la cesión, las
  instituciones y los centros sanitarios públicos y
  privados y los profesionales correspondientes
  podrán proceder al tratamiento de los datos de
  carácter personal relativos a la salud de las
  personas que a ellos acudan o hayan de ser
  tratados en los mismos de acuerdo con lo
  dispuesto en la legislación estatal o autonómica
  sobre sanidad. (art. 8 LOPDP)

15
El consentimiento en la LOPDP (III). Algunas
excepciones a la regla general (II)

• No es necesario el consentimiento del afectado
  para una comunicación Cuando el tratamiento
  responda a la libre y legítima aceptación de una
  relación jurídica cuyo desarrollo, cumplimiento y
  control implique necesariamente la conexión de
  dicho tratamiento con ficheros de terceros. En
  este caso la comunicación sólo será legítima en
  cuanto se limite a la finalidad que la justifique
  (art. 11.c LOPDP).
• No es necesario el consentimiento del afectado
  para una comunicación Cuando la cesión de datos
  de carácter personal relativos a la salud sea
  necesaria para solucionar una urgencia que
  requiera acceder a un fichero o para realizar los
  estudios epidemiológicos en los términos
  establecidos en la legislación sobre sanidad
  estatal o autonómica (art. 11.f LOPDP)

16
El acceso de los datos a la historia clínica por
parte de los profesionales asistenciales

• Los profesionales asistenciales del centro que
  realizan el diagnóstico o el tratamiento del
  paciente tienen acceso a la historia clínica de
  éste como instrumento fundamental para su
  adecuada asistencia (art. 16.1 Ley del
  paciente). A toda la historia clínica? se puede
  desglosar?
• El personal de administración y gestión de los
  centros sanitarios sólo puede acceder a los datos
  de la historia clínica relacionados con sus
  propias funciones (art. 16.4 Ley del paciente).
• El personal sanitario debidamente acreditado que
  ejerza funciones de inspección, evaluación,
  acreditación y planificación, tiene acceso a las
  historias clínicas en el cumplimiento de sus
  funciones de comprobación de la calidad de la
  asistencia, el respeto de los derechos del
  paciente o cualquier otra obligación del centro
  en relación con los pacientes y usuarios o la
  propia Administración sanitaria (art. 16.5 Ley
  del paciente).

17
El deber de informar al afectado

• El deber de informar en materia de protecciónde
  datos
• De qué?
• Algunas excepciones
• El deber de informar en la ley del paciente y en
  la Ley de salud IB distinta signifiación
  (información asistencial)

18
El deber de seguridad (I)

• Debe garantizarse la seguridad, la correcta
  conservación y la recuperación de la información
  que aparece en las historias clinicas (art. 14.2
  de la Ley del paciente).
• Garantizar la autenticidad del contenido de la
  historia clínica y de los cambios operados en
  ella (art. 14.3 de la ley del paciente).
• Medidas para proteger las historias clínicas y
  evitar su destrucción o su pérdida accidental
  (art. 14.4 de la Ley del paciente)
• Derecho del paciente a una custodia activa y
  diligente de las historias clínicas. (art. 19 de
  la Ley del paciente)

19
El deber de seguridad (II)

• Son de aplicación a la documentación clínica
  las medidas técnicas de seguridad establecidas
  por la legislación reguladora de la conservación
  de los ficheros que contienen datos de carácter
  personal y, en general, por la Ley Orgánica
  15/1999, de Protección de Datos de Carácter
  Personal (art. 17.6 ley del paciente).
• El deber de seguridad
• seguridad de los datos de carácter personal y
  evite su alteración, pérdida, tratamiento o
  acceso no autorizado (art. 9.1 LOPDP)
• Deber que se articula no solo en torno a los
  ficheros, sino también los centros de
  tratamiento, locales, equipos, sistemas y
  programas (art. 9.2 LOPDP)
• El desarrollo reglamentario de las medidas de
  seguridad.

20
El deber de secreto

• El deber de secreto (art. 10 LOPDP) El
  responsable del fichero y quienes intervengan en
  cualquier fase del tratamiento de los datos de
  carácter personal están obligados al secreto
  profesional respecto de los mismos y al deber de
  guardarlos, obligaciones que subsistirán aun
  después de finalizar sus relaciones con el
  titular del fichero o, en su caso, con el
  responsable del mismo
• El personal que accede a los datos de la
  historia clínica en el ejercicio de sus funciones
  queda sujeto al deber de secreto (art. 16.6 Ley
  del paciente)
• El personal que tenga acceso a la documentación
  clínica queda sujeto al deber de guardar el
  secreto sobre los datos consultados (art. 15.1
  Ley de salud IB)

21
Derecho de consulta del afectado (el deber de
notificar la creación del fichero)

• Derecho de consulta (art. 14 LOPDP)
• Notificació e inscripción registral de los
  ficheros en la Agencia de Protección de Datos.

22
Derecho de acceso (I)

• Derecho de acceso (art. 15.1 LOPDP) El
  interesado tendrá derecho a solicitar y obtener
  gratuitamente información de sus datos de
  carácter personal sometidos a tratamiento, el
  origen de dichos datos, así como las
  comunicaciones realizadas o que se prevén hacer
  de los mismos.
• El paciente tiene el derecho de acceso, con las
  reservas señaladas en el apartado 3 de este
  artículo, a la documentación de la historia
  clínica y a obtener copia de los datos que
  figuran en ella. Los centros sanitarios regularán
  el procedimiento que garantice la observancia de
  estos derechos (art. 18.1 Ley del paciente)

23
Derecho de acceso (II)

• El derecho al acceso del paciente a la
  documentación de la historia clínica no puede
  ejercitarse en perjuicio del derecho de terceras
  personas a la confidencialidad de los datos que
  constan en ella recogidos en interés terapéutico
  del paciente, ni en perjuicio del derecho de los
  profesionales participantes en su elaboración,
  los cuales pueden oponer al derecho de acceso la
  reserva de sus anotaciones subjetivas (art.
  18.3 Ley del paciente)
• Los centros sanitarios y los facultativos de
  ejercicio individual sólo facilitarán el acceso a
  la historia clínica de los pacientes fallecidos a
  las personas vinculadas a él, por razones
  familiares o de hecho, salvo que el fallecido lo
  hubiese prohibido expresamente y así se acredite.
  En cualquier caso el acceso de un tercero a la
  historia clínica motivado por un riesgo para su
  salud se limitará a los datos pertinentes. No se
  facilitará información que afecte a la intimidad
  del fallecido ni a las anotaciones subjetivas de
  los profesionales, ni que perjudique a terceros.
  (art. 18.4 de la Ley del paciente)

24
Derecho de rectificación y cancelación

• Derechos de rectificación y de cancelación
  Serán rectificados o cancelados, en su caso, los
  datos de carácter personal cuyo tratamiento no se
  ajuste a lo dispuesto en la presente Ley y, en
  particular, cuando tales datos resulten inexactos
  o incompletos. (art. 16.2 LOPDP)

25
La conservación/cancelación de los datos en la
historia clínica

• Los centros sanitarios tienen la obligación de
  conservar la documentación clínica en condiciones
  que garanticen su correcto mantenimiento y
  seguridad, aunque no necesariamente en el soporte
  original, para la debida asistencia al paciente
  durante el tiempo adecuado a cada caso y, como
  mínimo, cinco años contados desde la fecha del
  alta de cada proceso asistencial (art. 17.1 Ley
  del paciente).
• Los profesionales sanitarios tienen el deber de
  cooperar en la creación y el mantenimiento de una
  documentación clínica ordenada y secuencial del
  proceso asistencial de los pacientes (art. 17.3
  Ley del Paciente)
• La documentación clínica también se conservará a
  efectos judiciales de conformidad con la
  legislación vigente. Se conservará, asimismo,
  cuando existan razones epidemiológicas, de
  investigación o de organización y funcionamiento
  del Sistema Nacional de Salud. Su tratamiento se
  hará de forma que se evite en lo posible la
  identificación de las personas afectadas (art.
  17.2 de la ley del paciente)
• Los datos de carácter personal deberán ser
  conservados durante los plazos previstos en las
  disposiciones aplicables o, en su caso, en las
  relaciones contractuales entre la persona o
  entidad responsable del tratamiento y el
  interesado (art. 16.5 LOPDP)

26
Derecho de oposición

• Derecho de oposición En los casos en los que no
  sea necesario el consentimiento del afectado para
  el tratamiento de los datos de carácter personal,
  y siempre que una ley no disponga lo contrario,
  éste podrá oponerse a su tratamiento cuando
  existan motivos fundados y legítimos relativos a
  una concreta situación personal. En tal supuesto,
  el responsable del fichero excluirá del
  tratamiento los datos relativos al afectado
  (art. 6.4 LOPDP)

27
RESPONSABILIDAD

• Penal/Administrativa
• Tipificadas (prisión/multas)
• Órganos jurisdiccionales (penal)/Agencia de
  Protección de datos (administrativa)
• Civil
• Independiente
• Cumulativa
• Objetiva