TOP

PROTECCIÓN DE DATOS DE SALUD: DUDAS HABITUALES Y SOLUCIONES PRÁCTICAS

Aunque las Directivas Europeas en materia de Protección de Datos Personales y su trasposición al ordenamiento jurídico español (Ley Orgánica de Protección de Datos –en adelante LOPD- y Reglamento de desarrollo) son fenómenos relativamente recientes, en el ámbito de la profesión médica siempre ha existido un gran celo en la tutela de la privacidad de todo lo relacionado con los datos de salud de los pacientes, a diferencia de lo que ha ocurrido en otros sectores profesionales. Ya en el siglo V a. de C. Hipócrates, en su celebérrimo Juramento, prometía mantener “inviolablemente secreto todo aquello que pueda oír o ver sobre las vidas de los hombres, que no deba divulgarse”. Esto nos suena a cesión de datos, deber de secreto… términos hoy en boga que ya estaban muy presentes hace 25 siglos.
Llevar a la práctica este deber de secreto no resulta tarea sencilla, ya que los indudables avances y mejoras conllevan “actualizar” los métodos tradicionales de custodia y aseguramiento de los datos. La aparición de las nuevas tecnologías de la información, con la implementación de programas para la gestión de consultas, clínicas y hospitales, la utilización de comunicaciones electrónicas para el envío de información sensible, el tráfico de datos con otros agentes como compañías aseguradoras, órganos jurisdiccionales, el acceso a los mismos por personal sanitario y no sanitario, por prestadores de servicios, los plazos de conservación de las historias clínicas en los distintos soportes, los datos de menores con padres separados…, etc., conforman una prolija casuística que suscita no pocas dudas en los profesionales sanitarios, algunas de las cuales vamos a tratar de dar respuesta a continuación:
1. Padres separados: ¿tienen los médicos que informar de los datos de salud del menor al progenitor separado o divorciado?
En muchas ocasiones se solicita a los facultativos información acerca de menores por parte de progenitores con los que no acudieron a la consulta o centro, generando la duda de si estaríamos ante una cesión de datos de salud no autorizada, y por tanto susceptible de ser objeto de sanción de hasta 600.000 euros por la Agencia Española de Protección de Datos –en adelante AEPD-.
El problema se plantea cuando los padres se encuentran separados o divorciados, y sólo uno de ellos tiene asignada la custodia del menor.
Cuando el médico informa al padre/madre no custodio de los datos de salud del menor, ¿estaríamos ante una cesión de datos no autorizada, o el mero ejercicio de un derecho de acceso a datos por parte del representante legal del menor?
Según el Código Civil, en tanto los padres no se encuentren privados de la patria potestad de sus hijos, podrán ejercer la representación legal de los mismos, luego tendrán el derecho a acceder a la información médica del menor, independientemente de que tengan la custodia o no.
En la resolución judicial de separación o divorcio se establece lo relativo a la patria potestad y a la guardia y custodia de los hijos, siendo normalmente compartida la primera, y asignada la segunda a uno de los progenitores. Solo en casos excepcionalmente graves se priva a uno de los padres de la patria potestad. Por tanto, salvo en estos casos, los padres separados podrán tener acceso a los datos de salud del menor, y el médico tendrá la obligación de atender dicha petición, cuando se aporte sentencia o auto que apruebe el convenio regulador.
Si a alguno de los progenitores le fuera privada la patria potestad, se requerirá el consentimiento del cónyuge para el acceso a los datos.
Solución Práctica: cuando se produzca una situación de estas características, lo más recomendable para el médico es solicitar al padre o madre que en ejercicio de su patria potestad asista con el menor a la consulta o clínica, la firma de una autorización para la retirada del informe por parte del otro progenitor, a fin de obtener el consentimiento del representante legal del menor para la cesión o acceso a los datos del mismo.
2. ¿Es necesario el consentimiento del paciente para recabar sus datos? ¿ha de ser por escrito?
La LOPD explica que para el tratamiento de datos de salud es necesario el consentimiento expreso del paciente, salvo que una ley disponga otra cosa, o que el “tratamiento de los datos resulte necesario para la prevención o diagnósticos médicos, la prestación de asistencia sanitaria o tratamientos médicos, siempre que se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto”.
Asimismo, establece la Ley que a los interesados a los que se le soliciten datos personales hay que informarles de el fichero de datos personales donde se van a incorporar los datos, la finalidad de los mismos, la identidad y datos de contacto del responsable del fichero (médico, clínica…), así como el procedimiento para el ejercicio de derechos.
SOLUCIÓN PRÁCTICA: solicitar por escrito una autorización al paciente para tratar sus datos, en el que se informe de lo señalado en el párrafo anterior, o bien únicamente informarle mediante un aviso legal visible en la consulta o centro.
En el caso de que esos datos vayan a ser cedidos posteriormente a terceros como compañías aseguradoras, o puedan tener acceso a ellos, se recomienda recabar el consentimiento por escrito para esa cesión o acceso a datos. Este caso lo estudiaremos particularmente en posteriores artículos (cesión datos sanitarios a aseguradoras).
3. ¿Quién puede tener acceso a la historia clínica? ¿Pueden acceder a ellas los inspectores de sanidad? ¿Y de hacienda?
La Historia Clínica se define por la Ley 41/2002 de Autonomía del Paciente como aquellos “documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro”. Hay que matizar que no forman parte de las historias clínicas las anotaciones subjetivas, a cuyo acceso puede oponerse el facultativo.
Pues bien, para el acceso a la historia clínica es necesario el consentimiento del paciente (que ya hemos visto en el apartado anterior para el caso de consultas o clínicas), salvo que una ley disponga otra cosa, o que:
 Tenga fines judiciales, epidemiológicos, salud pública, investigación o docencia (aquí se pueden tratar los datos pero de forma disociada, esto es, que la información que se obtenga no pueda asociarse a persona identificada o identificable).
Sea solicitado por una autoridad judicial, cuando la identificación del paciente sea necesaria (principio de proporcionalidad) para la tramitación del proceso, en cuyo caso se estará a los términos de la correspondiente resolución judicial.
Se lleve a cabo por órganos de la Inspección Sanitaria: lo autoriza la ley siempre que su finalidad sea la comprobación de la calidad de la asistencia, el respeto de  los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración Sanitaria.
No está permitido el acceso por parte de la Inspección Fiscal. Según la Agencia Española de Protección de Datos, las facultades que el ordenamiento jurídico atribuye a la Inspección Fiscal no alcanzan a requerir los datos de los pacientes que figuran incorporados a la historia clínica; de lo que cabe deducir que el médico no tiene obligación de suministrar las historias clínicas de sus pacientes o los datos incorporados a ellas, salvo que cuente con su consentimiento expreso.
SOLUCIÓN PRÁCTICA: en el caso de solicitarse por el inspector fiscal las historias clínicas y no tener el consentimiento expreso de los pacientes para dicha cesión, no accederemos a su solicitud, advirtiendo de que lo hacemos en cumplimiento de las obligaciones señaladas en la Ley de Autonomía del Paciente, la Ley Orgánica de Protección de Datos, y de acuerdo a lo establecido en el Informe de la AEPD nº 0242/2010, a fin de que se hagan constar en acta todos estos extremos. Debemos procurar contar con la presencia de testigos.
4. ¿Cuánto tiempo tenemos que conservar la historia clínica?
Según la Ley 41/2002 de Autonomía del Paciente “Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial”.
Algunas Comunidades Autónomas han ampliado dicho plazo mínimo en sus correspondientes legislaciones. Asimismo siempre hay que hacer la salvedad de lo que dispongan las leyes sectoriales, que pueden establecer plazos específicos, como por ejemplo en materia de tráfico, que exige la conservación por un plazo de 10 años para los Centros de Reconocimiento de Conductores.
Solución Práctica: es recomendable conservar las historias por un período mínimo de 15 años, no ya solo por el cumplimiento de la normativa de Protección de Datos de aplicación, que en algunas CC.AA. exige ese plazo, sino a fin de poder defendernos de las posibles acciones civiles que pudieran ejercitarse como consecuencia  de los actos médicos realizados.
Excepciones: en Cataluña y Navarra el plazo mínimo de conservación es de 20 años desde la muerte del paciente.
5. ¿Y si nos jubilamos o cerramos la consulta o clínica?
Con independencia de que se haya producido la cesación en el ejercicio de la actividad profesional, el facultativo se encuentra aún sometido a las exigencias legales de conservación de las historias clínicas, ya que sigue siendo Responsable de dicho fichero, subsistiendo igualmente ese deber, en beneficio de la atención sanitaria del paciente, en caso de fallecimiento de facultativo, subrogándose los herederos en las obligaciones de conservación por aplicación de lo dispuesto en el artículo 661 del Código Civil.
Solución Práctica: Una vez cerrada la consulta, buscar un lugar seguro y con acceso restringido donde almacenar las historias clínicas, tanto en su soporte papel como informatizado. En caso de fallecimiento del facultativo, esta tarea debe ser llevada a cabo por los herederos.