El 25 de mayo del 2018 empezó a ser aplicable la nueva normativa europea de protección de datos del Reglamento 2016/679/UE de protección de las personas físicas en lo relativo al tratamiento de datos personales y a la libre circulación de éstos. El reglamento da la opción a los estados miembros de la Unión Europea de poder adaptar y desarrollar sus disposiciones, siempre que no entren en contradicción. Así, el 7 de diciembre del 2018, entró en vigor la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos personales y garantía de los derechos digitales, que adapta el Reglamento Europeo a nuestro ordenamiento e introduce, a la vez, novedades no reguladas por éste. Esta normativa es de obligado cumplimiento en todas las consultas y centros médicos.
Obligaciones y responsabilidades en relación a la documentación clínica
Delegado de Protección de Datos (DPD).
Esta figura es la que, principalmente, tiene que informar, asesorar y supervisar el responsable de los datos y sus empleados. Hace de puente con la Agencia Española de Protección de Datos (AEPD) y con los pacientes/interesados. Tiene que ser una persona especializada en derecho y en protección de datos, puede ser externo o interno. También puede ser una persona jurídica.
La ley española completa aquello que dice la norma europea y establece, entre otros cosas, que los colegios profesionales y los centros sanitarios tienen que nombrar un DPD. De esta obligatoriedad, quedarían exentos los profesionales que trabajan a título individual (es decir, consultas donde trabaja un profesional con alguien que le puede hacer de apoyo). Ahora bien, habrá que estar atentos a la interpretación que la Agencia Española de Protección de Datos pueda hacer. En este sentido, se recomienda nombrar un DPD, aunque, en principio, no sea necesario y aprovechando las ventajas que supone esta figura. Y es que, contar con esta figura es una atenuante en caso de sanción y, además, el DPD puede ser un mediador muy útil con el paciente, en caso de que este considere que se han vulnerado sus derechos.
Consentimiento de menores en la protección de datos.
La normativa europea establecía una horquilla entre los 13 y 16 años. Finalmente, la legislación española ha establecido este consentimiento a partir de los 14 años, excepto que otra norma exija la intervención de los titulares de la patria potestad o de la tutela. No se tiene que confundir con el consentimiento informado propio del procedimiento asistencial, que tiene su regulación específica a la normativa de autonomía del paciente.
Información a los interesantes sobre el tratamiento de sus datos personales.
La ley recoge la posibilidad de hacer “información por capas”. Es decir, en un primer nivel de información, se puede incluir la información básica que marca la Ley (identidad del responsable, finalidad y el ejercicio de derechos) y, en una segunda capa, el resto de la información, poniendo, por ejemplo, un enlace.
Ejercicio de derechos.
Cuando un paciente pide ejercer sus derechos (de acceso, rectificación, supresión, limitación y oposición al tratamiento de los datos), el DPD puede ser el mediador previo a una posible reclamación del interesante a la AEPD. Ahora bien, el derecho de acceso se podrá considerar repetitivo si se solicita más de una vez en el plazo de seis meses.
En el caso de las personas difuntas, la nueva ley reconoce el derecho de acceso, rectificación o supresión a las personas con un vínculo familiar con el difunto, un vínculo de hecho, a los herederos y a las personas designadas expresamente, siempre que el difunto o una ley no lo prohíban expresamente.
Conservación de la historia clínica.
Cuando hablamos de la historia clínica, nos referimos a todo el conjunto de la documentación que se ha generado o que se va generando durante todo el proceso asistencial. Se tiene que garantizar la autenticidad de esta información, su integridad y confidencialidad y el acceso del paciente dentro del plazo de conservación que establece la ley. La conservación de estos documentos tiene que ser en el formato original en que se han producido. No obstante, todo aquello que tenemos en papel no lo podemos escanear y pasar al sistema informático sin conservar el original. Esto solo es posible en algunos supuestos. En el caso del documento de consentimiento informado, por ejemplo, si destruimos el documento en papel y hay una reclamación, si presentamos una fotocopia [como prueba], no tendremos manera de demostrar que aquella firma era del paciente en caso de que se pose en entredicho la autenticidad del documento. Por lo tanto, hay que conservar el original del consentimiento informado. El más recomendable es dejar siempre registro de todo, incluso de la destrucción de la documentación. Y, si optamos por soluciones digitales de firma biométrica, hace falta que nos aseguramos que cumplen todas las garantías de seguridad y que se pueda acreditar que la firma que consta en el documento es la del paciente.
Acceso a la historia clínica.
El paciente puede pedir un informe sobre el proceso asistencial o sobre algún punto en concreto, o bien nos puede pedir una copia íntegra de su historia. Esto sería una petición del derecho de acceso a la historia clínica que habrá que tener mucho en cuenta y atenderlo antes del plazo de un mes. En este punto, se hizo referencia también a las posibles anotaciones subjetivas de los profesionales que forman parte de la HC. El profesional tiene la posibilidad de omitirlas en caso de petición del derecho de acceso del paciente, si lo considera necesario. Hay que recordar que un tercero no puede acceder a la historia clínica de un paciente si no es con el consentimiento explícito de este, excepto en el supuesto de que haya una petición judicial. Esto también incluye los mismos profesionales. Los profesionales tan solo podrán acceder a la historia de aquellos pacientes para los cuales están autorizados. Un acceso indebido es una infracción del Código Penal y está castigado con una pena de entre 1 y 4 años de prisión.
Tratamiento de datos en la investigación en materia de salud y biomédica. La nueva ley regula ampliamente el tratamiento de los datos personales para investigación y biomédica. La regla general será la necesidad del consentimiento, excepto en algunos supuestos. La ley se refiere a la posibilidad de reutilizar los datos en la investigación médica o biomédica para otros finalidades que estén relacionadas con la finalidad para la cual obtuvimos el consentimiento del paciente. La recomendación es que se traten los datos de forma anónima o pseudoanonimitzada.
Ante cualquier duda y para evitar posibles conflictos en todos estos temas, os recomendamos contactar con expertos en materia jurídica. Este asesoramiento lo podéis obtener en Mediconsulting, fiscal y laboral, legal y contable y en la asesoría jurídica del Colegio. Si tienes cualquier duda, puedes consultarnos a través del siguiente formulario.