Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

  2. Inicio
  3. Profesionales
  4. Sanidad digital: Tecnologias de la Información y la Comunicación
  5. Seguridad de la información
  6. Boletines de la Oficina de Seguridad
  7. Boletín núm.99 - Nueva guía de la AEPD dirigida a los profesionales del sector sanitario
Boletines de la Oficina de Seguridad

Boletín núm.99 - Nueva guía de la AEPD dirigida a los profesionales del sector sanitario

La Agencia Española de Protección de Datos (AEPD) ha publicado la Guía para profesionales del sector sanitario, un documento que responde las dudas más frecuentes con relación al tratamiento de los datos que puedan tener los profesionales que prestan servicios sanitarios.

 

Los destinatarios de esta guía son principalmente profesionales de la salud que desempeñen sus funciones a título individual, aunque es útil también para los que desarrollen su actividad en el marco de un establecimiento sanitario.

 

A continuación, les trasladamos algunas de las principales consideraciones que presenta la nueva guía de la AEPD.

 

¿Qué condición tienen los datos de salud?

Los datos de salud se incluyen en las categorías especiales de datos, por lo que se les aplica un régimen reforzado de protección y dentro de los llamados datos sensibles.

 

Por lo tanto, todo el personal que tenga acceso a los datos de salud de un paciente está sujeto al deber de secreto, a asegurarse de que el tratamiento de los datos sea lícito y a informar al paciente de sus derechos y de que se van a tratar sus datos.

 

¿Cuándo se necesita obtener un consentimiento?

Basándonos en la diferencia entre el consentimiento informado, que rige la actuación sanitaria, y el consentimiento para el tratamiento de los datos personales (incluyendo los relativos a la salud), se toma como referencia el segundo.

 

Aunque generalmente no es necesario recabar el consentimiento del interesado en el ámbito de la atención sanitaria, sí es necesario informarle de determinados aspectos, como la identidad y los datos de contacto del responsable de tratamiento, el fin al que se destinará el tratamiento y el plazo de conservación de los datos, entre otros.

 

¿Con qué otras finalidades pueden ser tratados los datos recabados?

Si los datos se han recabado en el marco de una asistencia sanitaria y han sido incorporados a una historia clínica, la finalidad principal es facilitar la asistencia sanitaria.

 

No obstante, la normativa permite en ciertos casos tratar datos incorporados a una historia clínica con otros fines, como fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia. En estos casos, la regla general es separar los datos identificativos de los clínico-asistenciales.

 

¿Quién puede acceder a una historia clínica y cuándo puede acceder?

El acceso a las historias clínicas está limitado, de modo que tanto el personal sanitario como otros profesionales pueden acceder únicamente para desempeñar sus funciones. El responsable del tratamiento tiene la obligación de aplicar las políticas de control de acceso, de registro y de trazabilidad de los accesos.

 

Aun así, en los casos en que primen la eficacia y la eficiencia de la actuación médica —como en las emergencias vitales, por ejemplo—, nunca debe limitarse el acceso con la excusa de tener que cumplir la normativa de protección de datos.

 

¿Cómo hay que actuar en los casos de menores?

A los menores se les puede conceder el derecho a acceder a su historia clínica a partir de los catorce años, pues tienen derecho a estar informados, de modo que es básica esta información para que puedan ejercer sus derechos, puedan ser escuchados y que su opinión sea tenida en cuenta en función de su edad y madurez.

 

En estos casos, los progenitores pueden acceder también a la historia clínica de sus hijos hasta la mayoría de edad, dado que son los titulares de la potestad parental y tienen la obligación de velar por ellos y cumplir los deberes de cuidado y asistencia.

 

¿Qué tipo de responsabilidad recae sobre un acceso no autorizado?

Independientemente de las obligaciones del responsable, el personal sanitario o profesional que acceda a una historia clínica sin justificación puede verse sujeto a distintos tipos de responsabilidad penal, disciplinaria y administrativa, y algunos casos pueden darse incluso de manera conjunta.

 

La guía mencionada es complementaria a la Guía para pacientes y usuarios de la sanidad y ­­la página web de la AEPD dedicada a la información sanitaria.

 

Además, la Oficina de Seguridad del Servicio de Salud de las Islas Baleares le recomienda consultar algunos boletines de seguridad anteriores relacionados con esta guía de la AEPD y visitar nuestra sección «Preguntas frecuentes sobre seguridad de la informació  n».