13/10/2022
La información de un paciente, como puede ser su historial clínico o farmacológico tiene un carácter confidencial. La protección de datos sanitarios son una serie de obligaciones legales que tienen las organizaciones en el tratamiento de la información sanitaria de sus usuarios o pacientes.
Las principales obligaciones legales de la protección de datos sanitarios refieren a la seguridad de los datos de los pacientes tanto en su transmisión, almacenaje, acceso o tratamiento, entre otros. Estas obligaciones están recogidas principalmente en el Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica de Protección de datos y Garantía de Derechos Digitales (LOPD-GDD). También es de especial mención la Ley de Autonomía del Paciente, que regula los derechos y obligaciones de los pacientes en materia de información y documentación clínica.
Cuando nos planteamos la incorporación o el desarrollo de software y aplicaciones que gestionan algún tipo de información personal de los usuarios es imprescindible cumplir estrictamente con todas las normativas vigentes en materia de protección de datos. Especialmente cuando se trata de software o apps sanitarias, y dado el carácter sensible de los datos que se gestionan, asegurarnos del cumplimiento de todas las leyes de protección de datos es un aspecto crítico.
Un reglamento es una disposición legal de aplicación directa en todo el territorio de la Unión Europea. En materia de protección de datos, en 2016 se estableció el Reglamento (UE) 2016/679, también conocido como RGPD, que tiene como objetivo el unificar los principios y normas sobre la materia. Este reglamento entró en vigor en el 2018 y sustituyó la antigua Directiva de Protección de Datos del 1995, que regulaba entonces el procesamiento de los datos personales dentro de la Unión Europea.
Como ya sabrás, las leyes orgánicas son reglas o normas para regular, de acuerdo con la constitución, aspectos importantes de las relaciones sociales. A pesar de que suele la Ley Orgánica 3/2018 suele conocerse como Ley Orgánica de Protección de Datos (LOPD), el nombre completo de esta normativa es Ley Orgánica de Protección de Datos y Garantía de Derechos digitales (LOPD-GDD). Esta ley entró en vigor en 2018 y sustituyó la anterior Ley Orgánica 15/199 de Protección de Datos de Carácter Personal.
La LOPD-GDD tiene por objetivo adaptar el Derecho español al Reglamento General de Protección de Datos (RGDP), estableciendo las obligaciones y responsabilidades que tienen las empresas a la hora de proceder con el tratamiento de la información personal, además de recoger los derechos de los usuarios y clientes en relación a las mismas.
Por tanto, la normativa de referencia que se aplica en España en materia de Protección de Datos es la LOPD-GDD. Esta norma complementa (que no sustituye) la RGDP en los aspectos que se ha permitido libertad de regulación a los estados miembros de la UE.
Otra ley de especial mención cuando hablamos sobre la protección de datos sanitarios es la Ley 41/2002 de Autonomía del Paciente, que regula derechos y obligaciones en relación a la información y documentación clínica. Esta ley tiene por objetivo garantizar el derecho de un paciente a la información sanitaria y también el poder tomar determinadas decisiones relativas a su salud.
La información que se gestiona en el sector sanitario pertenece al contexto más íntimo de una persona y tiene un carácter muy sensible. Es por este motivo que los estados aplican una serie de reglamentos y leyes como la RGPD, la LOPD-GDD o la Ley de Autonomía del Paciente. Estas normativas deben tomarse muy en serio por parte de autónomos y empresas que operan con datos sanitarios, ya que de lo contrario, pueden incurrir en sanciones y en algunos casos incluso en delitos penales.
Las sanciones que establece la Agencia Española de Protección de Datos pueden ser muy elevadas y suponen en muchos casos la quiebra y cierre de los negocios, especialmente en el ámbito sanitario. Las cuantías de las sanciones que se imponen varían en función de la gravedad de la infracción:
Si tu negocio opera dentro del sector sanitario es muy importante asegurarte de que cumples con todos los aspectos legales en materia de protección de datos. Esto es de especial importancia si te estás planteando la implementación o el desarrollo de software en tu organización o en tu actividad profesional.
Para cumplir con las leyes de protección de datos en el sector sanitario debes respetar una serie de principios legales, detallados a continuación:
Solamente pueden recogerse la información de los usuarios que sean necesarios para su finalidad médica o sanitaria. Es decir, todos aquellos datos que son estériles, excesivos o innecesarios no pueden ser tratados.
El paciente deberá ser informado sobre la existencia de un fichero en el que se recogen sus datos sanitarios, así como la finalidad con la que se recoge la información, el destinatario y el responsable del fichero, así como la posibilidad de rectificar y cancelar dicha información. Además, será imprescindible pedir su consentimiento para tratar sus datos sanitarios.
Existe la obligación de garantizar la seguridad de todos los datos sanitarios del usuario, disponiendo de un “documento de seguridad”. En este documento se establecen los protocolos que sigue la organización o el autónomo en cuanto a medidas que garantizan la seguridad de la información que se transmite y se almacena.
El responsable último del tratamiento de los datos sanitarios (que no tiene porqué ser el propietario) es el profesional autónomo o el centro sanitario.
En el caso de que exista una brecha de seguridad que pueda llegar a exponer los datos de los usuarios, existe la obligación de notificar tanto a la Agencia Española de Protección de Datos así como a los propios usuarios sobre el incidente. Esta notificación deberá realizarse en un periodo de tiempo máximo de 72h desde el momento que se tuvo constancia de la brecha de seguridad.
Cualquier persona, incluyendo todos los empleados de la organización, que puedan tener acceso a los datos sanitarios de los usuarios deberá mantener una estricta confidencialidad sobre la información. Este deber suele ser incluido en los contratos laborales de los empleados.
En el caso de que los datos sanitarios recogidos vayan a ser comunicados o utilizados por terceros, el usuario deberá ser informado y prestar su consentimiento. Además, dichos datos solo podrán ser trasladados a terceras partes para fines directamente relacionados con el proceso sanitario. Estas terceras partes deberán cumplir siempre con las mismas medidas de seguridad que las que cumple el responsable primero del tratamiento de los datos sanitarios.
Los usuarios tienen derecho a solicitar una copia de su historial clínico. En el caso de que en esta historia clínica consten valoraciones personales o datos de terceras partes, esta información deberá suprimirse.
Los usuarios tienen derecho a solicitar que se rectifiquen datos erróneos o incompletos. Cuando esta información sea relativa a datos de salud, deberá ser el profesional sanitario quien decida si los datos tienen que ser rectificados o no. Del mismo modo, cuando un usuario ejerza su derecho sobre la supresión de su historial clínico, será el profesional sanitario quien decida si procede, dado que determinada información puede tener que conservarse por varios motivos. Algunos de estos motivos pueden ser que se requieran para fines de diagnóstico médico, medicina preventiva, evaluación de capacidades del profesional, prevención de amenazas contra la seguridad pública, mejora de la calidad de la asistencia sanitaria, etc.
Las organizaciones que dispongan de información relacionada con el historial clínico de sus usuarios deberán designar un Delegado de Protección de Datos (DPD, DPO). Este delegado puede ser interno (siempre y cuando tenga conocimientos suficientes sobre la protección de datos), así como externo. En todos los casos deberá de disponer de todos los recursos que sean necesarios para desempeñar sus funciones según la ley. Solo en el caso de los profesionales sanitarios que ejercen de manera individual y en el ámbito privado, la designación del DPO será voluntaria.
Cuando se crea un fichero con información sanitaria de los usuarios, es de obligado cumplimiento la notificación de la existencia del fichero a la Agencia Española de Protección de Datos. De igual modo, las modificaciones y cancelaciones del fichero deberán ser igualmente notificadas. Es importante mencionar que lo que notificamos no es el contenido del fichero, sino la existencia del mismo.
Completa el formulario y GooApps® te ayudará a encontrar la mejor solución para tu organización. ¡Contactaremos contigo muy pronto!