Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
Versa este tema básicamente sobre el tratamiento de los datos de los pacientes
o usuarios del sistema de salud, y a modo de introducción nos hacemos eco de
parte del contenido de la “Guía para pacientes y usuarios de la sanidad” de la
Agencia Española de Protección de Datos”1
Los datos personales relativos a la salud son considerados como datos
sensibles, especialmente protegidos, y, tras la publicación del RGPD, como una
categoría especial de datos personales.
Dos de las cuestiones que se plantean los usuarios de la sanidad es qué
informaciones de carácter personal son datos y cuáles no lo son; y el alcance del
concepto “personal” en una base de datos sanitaria.
El RGPD define «datos personales» como “toda información sobre una persona
física identificada o identificable («el interesado»); se considerará persona física
identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un identificador, como por ejemplo un
nombre, un número de identificación, datos de localización, un identificador en
línea o uno o varios elementos propios de la identidad física, fisiológica, genética,
psíquica, económica, cultural o social de dicha persona.”
Los «datos relativos a la salud» se definen como: “los datos personales relativos
a la salud física o mental de una persona física, incluida la prestación de servicios
de atención sanitaria, que revelen información sobre su estado de salud”.
1
La Agencia Española de Protección de Datos (AEPD) es la autoridad estatal de control independiente
encargada de velar por el cumplimiento de la normativa sobre protección de datos. Garantiza y tutela el
derecho fundamental a la protección de datos de carácter personal de los ciudadanos.
1
También son datos de salud los datos genéticos que son aquellos datos
personales relativos a las características genéticas heredadas o adquiridas de
una persona física que proporcionen una información única sobre la fisiología o
la salud de esa persona, obtenidos en particular del análisis de una muestra
biológica de tal persona.
Por tanto, los datos personales existentes en bases de datos sanitarias son de
dos tipos: los que identifican a la persona, tales como nombre y apellidos,
dirección, teléfono, DNI, número de tarjeta sanitaria, etc...; y toda la información
acerca de su estado de salud, tales como pruebas diagnósticas, cirugías,
medicamentos, antecedentes familiares, etc.
Toda esta información personal y de salud constituye la denominada “Historia
clínica”, que define la Ley 41/2002, de 14 de noviembre, básica reguladora de la
autonomía del paciente y de derechos y obligaciones en materia de información
y documentación clínica (LAP) como: el conjunto de documentos que contienen
los datos, valoraciones e informaciones de cualquier índole sobre la situación y
la evolución clínica de un paciente a lo largo del proceso asistencial.
La historia clínica comprende el conjunto de los documentos relativos a los
procesos asistenciales de cada paciente, con la identificación de los médicos y
de los demás profesionales que han intervenido en ellos, con objeto de obtener
la máxima integración posible de la documentación clínica de cada paciente, al
menos, en el ámbito de cada centro sanitario.
La historia clínica incorporará la información que se considere trascendental para
el conocimiento veraz y actualizado del estado de salud del paciente. Todo
paciente o usuario tiene derecho a que quede constancia, por escrito o en el
soporte técnico más adecuado, de la información obtenida en todos sus procesos
asistenciales, realizados por el servicio de salud tanto en el ámbito de atención
primaria como de atención especializada.
La finalidad principal de la historia clínica es facilitar la asistencia sanitaria,
dejando constancia de todos aquellos datos que, bajo criterio médico, permitan
ese conocimiento veraz y actualizado del estado de salud referido en el párrafo
anterior.
Los usuarios de la sanidad se cuestionan quién es el propietario de su historia
clínica. Desde la perspectiva de la normativa de protección de datos no se
maneja este concepto de propiedad.
2
Se establece que el responsable del tratamiento de los datos que forman parte
de la historia clínica es el médico o el centro sanitario, público o privado; éstos
tienen la obligación de elaborarla, custodiarla e implantar las medidas de
seguridad necesarias para que no se extravíe o sea accedida por terceros. El
paciente/usuario tiene el derecho a solicitar una copia de su historia clínica, con
la que puede acudir a otro centro o a otro especialista; al revisarla, puede pedir
rectificación o supresión de algunos datos, etc.
Introducción
De otra parte, esta Ley (41/2002), a pesar de que fija básicamente su atención
en el establecimiento y ordenación del sistema sanitario desde un punto de vista
organizativo, dedica a esta cuestión diversas previsiones, entre las que destaca
la voluntad de humanización de los servicios sanitarios. Así mantiene el máximo
respeto a la dignidad de la persona y a la libertad individual, de un lado, y, del
otro, declara que la organización sanitaria debe permitir garantizar la salud como
derecho inalienable de la población mediante la estructura del Sistema Nacional
3
de Salud, que debe asegurarse en condiciones de escrupuloso respeto a la
intimidad personal y a la libertad individual del usuario, garantizando la
confidencialidad de la información relacionada con los servicios sanitarios que
se prestan y sin ningún tipo de discriminación.
A partir de dichas premisas, la presente Ley completa las previsiones que la Ley
General de Sanidad enunció como principios generales. En este sentido,
refuerza y da un trato especial al derecho a la autonomía del paciente. En
particular, merece mención especial la regulación sobre instrucciones previas
que contempla, de acuerdo con el criterio establecido en el Convenio de Oviedo,
los deseos del paciente expresados con anterioridad dentro del ámbito del
consentimiento informado. Asimismo, la Ley trata con profundidad todo lo
referente a la documentación clínica generada en los centros asistenciales,
subrayando especialmente la consideración y la concreción de los derechos de
los usuarios en este aspecto.
La estructura de la ley:
EXPOSICIÓN DE MOTIVOS
CAPÍTULO I. Principios generales
Artículo 1 Ámbito de aplicación
Artículo 2 Principios básicos
Artículo 3 Las definiciones legales
CAPÍTULO II. El derecho de información sanitaria
Artículo 4 Derecho a la información asistencial
Artículo 5 Titular del derecho a la información asistencial
Artículo 6 Derecho a la información epidemiológica
CAPÍTULO III. Derecho a la intimidad
Artículo 7 El derecho a la intimidad
CAPÍTULO IV. El respeto de la autonomía del paciente
Artículo 8 Consentimiento informado
Artículo 9 Límites del consentimiento informado y consentimiento por
representación
Artículo 10 Condiciones de la información y consentimiento por escrito
4
Artículo 11 Instrucciones previas
Artículo 12 Información en el Sistema Nacional de Salud
Artículo 13 Derecho a la información para la elección de médico y de centro
CAPÍTULO V. La historia clínica
Artículo 14 Definición y archivo de la historia clínica
Artículo 15 Contenido de la historia clínica de cada paciente
Artículo 16 Usos de la historia clínica
Artículo 17 La conservación de la documentación clínica
Artículo 18 Derechos de acceso a la historia clínica
Artículo 19 Derechos relacionados con la custodia de la historia clínica
CAPÍTULO VI. Informe de alta y otra documentación clínica
Artículo 20 Informe de alta
Artículo 21 El alta del paciente
Artículo 22 Emisión de certificados médicos
Artículo 23 Obligaciones profesionales de información técnica, estadística y
administrativa
DISPOSICIONES ADICIONALES
Disposición adicional primera Carácter de legislación básica
Disposición adicional segunda Aplicación supletoria
Disposición adicional tercera Coordinación de las historias clínicas
Disposición adicional cuarta Necesidades asociadas a la discapacidad
Disposición adicional quinta Información y documentación sobre medicamentos
y productos sanitarios
Disposición adicional sexta Régimen sancionador
DISPOSICIONES TRANSITORIAS
Disposición transitoria única Informe de alta
DISPOSICIONES DEROGATORIAS
Disposición derogatoria única Derogación general y de preceptos concretos
DISPOSICIONES FINALES
Disposición final única Entrada en vigor
5
Principios generales
Los principios generales los localizamos en el Capítulo I de la norma (Ley
41/2002), art. 1 a 3.
CAPÍTULO I
Principios generales
5. Los pacientes o usuarios tienen el deber de facilitar los datos sobre su estado
físico o sobre su salud de manera leal y verdadera, así como el de colaborar en
6
su obtención, especialmente cuando sean necesarios por razones de interés
público o con motivo de la asistencia sanitaria.
7
Información clínica: todo dato, cualquiera que sea su forma, clase o tipo, que
permite adquirir o ampliar conocimientos sobre el estado físico y la salud de una
persona, o la forma de preservarla, cuidarla, mejorarla o recuperarla.
8
El derecho de información sanitaria
Capítulo II, art. 4 al 6.
CAPÍTULO II
El derecho de información sanitaria
9
2. El paciente será informado, incluso en caso de incapacidad, de modo
adecuado a sus posibilidades de comprensión, cumpliendo con el deber de
informar también a su representante legal.
Derecho a la intimidad
Capítulo III, art.7
CAPÍTULO III
Derecho a la intimidad
10
1. Toda persona tiene derecho a que se respete el carácter confidencial de los
datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa
autorización amparada por la Ley.
2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los
derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las
normas y los procedimientos protocolizados que garanticen el acceso legal a los
datos de los pacientes.
CAPÍTULO IV
El respeto de la autonomía del paciente
2. El consentimiento será verbal por regla general. Sin embargo, se prestará por
escrito en los casos siguientes: intervención quirúrgica, procedimientos
diagnósticos y terapéuticos invasores y, en general, aplicación de
procedimientos que suponen riesgos o inconvenientes de notoria y previsible
repercusión negativa sobre la salud del paciente.
3. El consentimiento escrito del paciente será necesario para cada una de las
actuaciones especificadas en el punto anterior de este artículo, dejando a salvo
la posibilidad de incorporar anejos y otros datos de carácter general, y tendrá
información suficiente sobre el procedimiento de aplicación y sobre sus riesgos.
11
4. Todo paciente o usuario tiene derecho a ser advertido sobre la posibilidad de
utilizar los procedimientos de pronóstico, diagnóstico y terapéuticos que se le
apliquen en un proyecto docente o de investigación, que en ningún caso podrá
comportar riesgo adicional para su salud.
12
3. Se otorgará el consentimiento por representación en los siguientes supuestos:
13
6. En los casos en los que el consentimiento haya de otorgarlo el representante
legal o las personas vinculadas por razones familiares o de hecho en cualquiera
de los supuestos descritos en los apartados 3 a 5, la decisión deberá adoptarse
atendiendo siempre al mayor beneficio para la vida o salud del paciente. Aquellas
decisiones que sean contrarias a dichos intereses deberán ponerse en
conocimiento de la autoridad judicial, directamente o a través del Ministerio
Fiscal, para que adopte la resolución correspondiente, salvo que, por razones de
urgencia, no fuera posible recabar la autorización judicial, en cuyo caso los
profesionales sanitarios adoptarán las medidas necesarias en salvaguarda de la
vida o salud del paciente, amparados por las causas de justificación de
cumplimiento de un deber y de estado de necesidad.
14
2. El médico responsable deberá ponderar en cada caso que cuanto más dudoso
sea el resultado de una intervención más necesario resulta el previo
consentimiento por escrito del paciente.
15
determinen, previo acuerdo del Consejo Interterritorial del Sistema Nacional de
Salud.
Introducción
16
Parece adecuado que, a modo de introducción, y sin perjuicio de una posterior
definición más precisa desde el punto legal, intentemos dar respuesta a la
pregunta ¿qué es la protección de datos?
Introducción
17
los Derechos Fundamentales de la Unión Europea («la Carta») y el artículo 16,
apartado 1, del Tratado de Funcionamiento de la Unión Europea (TFUE)
establecen que toda persona tiene derecho a la protección de los datos de
carácter personal que le conciernan.
CAPÍTULO II
Principios
18
estadísticos no se considerará incompatible con los fines iniciales («limitación
de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines
para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas
razonables para que se supriman o rectifiquen sin dilación los datos personales
que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados
durante no más tiempo del necesario para los fines del tratamiento de los datos
personales; los datos personales podrán conservarse durante períodos más
largos siempre que se traten exclusivamente con fines de archivo en interés
público, fines de investigación científica o histórica o fines estadísticos, de
conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las
medidas técnicas y organizativas apropiadas que impone el presente
Reglamento a fin de proteger los derechos y libertades del interesado
(«limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos
personales, incluida la protección contra el tratamiento no autorizado o ilícito y
contra su pérdida, destrucción o daño accidental, mediante la aplicación de
medidas técnicas u organizativas apropiadas («integridad y
confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo
dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad
proactiva»).
19
b) el tratamiento es necesario para la ejecución de un contrato en el que el
interesado es parte o para la aplicación a petición de este de medidas
precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal
aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de
otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable
del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que
sobre dichos intereses no prevalezcan los intereses o los derechos y libertades
fundamentales del interesado que requieran la protección de datos personales,
en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones.
a) el Derecho de la Unión, o
b) el Derecho de los Estados miembros que se aplique al responsable del
tratamiento.
La finalidad del tratamiento deberá quedar determinada en dicha base jurídica o,
en lo relativo al tratamiento a que se refiere el apartado 1, letra e), será necesaria
para el cumplimiento de una misión realizada en interés público o en el ejercicio
20
de poderes públicos conferidos al responsable del tratamiento. Dicha base
jurídica podrá contener disposiciones específicas para adaptar la aplicación de
normas del presente Reglamento, entre otras: las condiciones generales que
rigen la licitud del tratamiento por parte del responsable; los tipos de datos objeto
de tratamiento; los interesados afectados; las entidades a las que se pueden
comunicar datos personales y los fines de tal comunicación; la limitación de la
finalidad; los plazos de conservación de los datos, así como las operaciones y
los procedimientos del tratamiento, incluidas las medidas para garantizar un
tratamiento lícito y equitativo, como las relativas a otras situaciones específicas
de tratamiento a tenor del capítulo IX. El Derecho de la Unión o de los Estados
miembros cumplirá un objetivo de interés público y será proporcional al fin
legítimo perseguido.
4. Cuando el tratamiento para otro fin distinto de aquel para el que se recogieron
los datos personales no esté basado en el consentimiento del interesado o en el
Derecho de la Unión o de los Estados miembros que constituya una medida
necesaria y proporcional en una sociedad democrática para salvaguardar los
objetivos indicados en el artículo 23, apartado 12, el responsable del tratamiento,
con objeto de determinar si el tratamiento con otro fin es compatible con el fin
para el cual se recogieron inicialmente los datos personales, tendrá en cuenta,
entre otras cosas:
a) cualquier relación entre los fines para los cuales se hayan recogido los datos
personales y los fines del tratamiento ulterior previsto;
b) el contexto en que se hayan recogido los datos personales, en particular por
lo que respecta a la relación entre los interesados y el responsable del
tratamiento;
c) la naturaleza de los datos personales, en concreto cuando se traten categorías
especiales de datos personales, de conformidad con el artículo 9, o datos
personales relativos a condenas e infracciones penales, de conformidad con el
artículo 10;
2
La seguridad del Estado, la defensa, la seguridad pública, …
21
d) las posibles consecuencias para los interesados del tratamiento ulterior
previsto;
e) la existencia de garantías adecuadas, que podrán incluir el cifrado o la
seudonimización.
22
1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la
oferta directa a niños de servicios de la sociedad de la información, el
tratamiento de los datos personales de un niño se considerará lícito
cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal
tratamiento únicamente se considerará lícito si el consentimiento lo dio o
autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la
medida en que se dio o autorizó.
Los Estados miembros podrán establecer por ley una edad inferior a tales
fines, siempre que esta no sea inferior a 13 años.
23
Derecho de la Unión o de los Estados miembros establezca que la prohibición
mencionada en el apartado 1 no puede ser levantada por el interesado;
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio
de derechos específicos del responsable del tratamiento o del interesado en el
ámbito del Derecho laboral y de la seguridad y protección social, en la medida
en que así lo autorice el Derecho de la Unión o de los Estados miembros
c) el tratamiento es necesario para proteger intereses vitales del interesado o de
otra persona física, en el supuesto de que el interesado no esté capacitado, física
o jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con
las debidas garantías, por una fundación, una asociación o cualquier otro
organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o
sindical, siempre que el tratamiento se refiera exclusivamente a los miembros
actuales o antiguos de tales organismos o a personas que mantengan contactos
regulares con ellos en relación con sus fines y siempre que los datos personales
no se comuniquen fuera de ellos sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho
manifiestamente públicos;
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de
reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre
la base del Derecho de la Unión o de los Estados miembros, que debe ser
proporcional al objetivo perseguido, respetar en lo esencial el derecho a la
protección de datos y establecer medidas adecuadas y específicas para proteger
los intereses y derechos fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral,
evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación
de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y
servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión
o de los Estados miembros o en virtud de un contrato con un profesional sanitario
y sin perjuicio de las condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la
salud pública, como la protección frente a amenazas transfronterizas graves para
la salud, o para garantizar elevados niveles de calidad y de seguridad de la
24
asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base
del Derecho de la Unión o de los Estados miembros que establezca medidas
adecuadas y específicas para proteger los derechos y libertades del interesado,
en particular el secreto profesional,
j) el tratamiento es necesario con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, de conformidad con el
artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados
miembros, que debe ser proporcional al objetivo perseguido, respetar en lo
esencial el derecho a la protección de datos y establecer medidas adecuadas y
específicas para proteger los intereses y derechos fundamentales del interesado.
3. Los datos personales a que se refiere el apartado 1 podrán tratarse a los fines
citados en el apartado 2, letra h), cuando su tratamiento sea realizado por un
profesional sujeto a la obligación de secreto profesional, o bajo su
responsabilidad, de acuerdo con el Derecho de la Unión o de los Estados
miembros o con las normas establecidas por los organismos nacionales
competentes, o por cualquier otra persona sujeta también a la obligación de
secreto de acuerdo con el Derecho de la Unión o de los Estados miembros o de
las normas establecidas por los organismos nacionales competentes.
25
Artículo 11 Tratamiento que no requiere identificación
1. Si los fines para los cuales un responsable trata datos personales no requieren
o ya no requieren la identificación de un interesado por el responsable, este no
estará obligado a mantener, obtener o tratar información adicional con vistas a
identificar al interesado con la única finalidad de cumplir el presente Reglamento.
Introducción
26
de las personas físicas en lo que respecta al tratamiento de sus datos personales
y a la libre circulación de estos datos, y completar sus disposiciones.
El derecho fundamental de las personas físicas a la protección de datos
personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con
arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.
“TÍTULO II
Principios de protección de datos
1. Conforme al artículo 5.1.d) del Reglamento (UE) 2016/679 los datos serán
exactos y, si fuere necesario, actualizados.
27
c) Fuesen sometidos a tratamiento por el responsable por haberlos recibido de
otro responsable en virtud del ejercicio por el afectado del derecho a la
portabilidad conforme al artículo 20 del Reglamento (UE) 2016/679 y lo previsto
en esta ley orgánica.
d) Fuesen obtenidos de un registro público por el responsable.
Artículo 5 Deber de confidencialidad
1. Los responsables y encargados del tratamiento de datos así como todas las
personas que intervengan en cualquier fase de este estarán sujetas al deber de
confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
28
3. No podrá supeditarse la ejecución del contrato a que el afectado consienta el
tratamiento de los datos personales para finalidades que no guarden relación
con el mantenimiento, desarrollo o control de la relación contractual.
29
artículo 6.1 e) del Reglamento (UE) 2016/679, cuando derive de una
competencia atribuida por una norma con rango de ley.
1. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar
situaciones discriminatorias, el solo consentimiento del afectado no bastará para
levantar la prohibición del tratamiento de datos cuya finalidad principal sea
identificar su ideología, afiliación sindical, religión, orientación sexual, creencias
u origen racial o étnico.
3
Tratamiento de categorías especiales de datos personales.
30
solo podrá llevarse a cabo cuando se encuentre amparado en una norma de
Derecho de la Unión, en esta ley orgánica o en otras normas de rango legal.
31