La protección de datos personales es un derecho fundamental para todos los ciudadanos europeos por el que se garantiza el control sobre sus datos y sobre su uso y destino. La rápida evolución tecnológica ha planteado nuevos retos para la protección de los datos personales, los cuales han dado paso a un marco normativo más sólido y coherente.

Los datos personales relativos a la salud están considerados como información sensible, por lo que necesitan estar especialmente protegidos.

En este sentido, el Servicio de Salud de las Islas Baleares vela para dar cumplimiento a las normativas en materia de protección de datos. Así pues, en virtud del principio de transparencia, se proporciona de manera accesible y fácil de entender toda la información relativa a las normas y derechos relativos al tratamiento de los datos personales, así como también el modo de ejercerlos.

Por todo ello, en esta sección se han resuelto algunas de las consultas más recurrentes en materia de protección de datos:

Índice

1. USO DE LOS RECURSOS INFORMÁTICOS

2. MEDIDAS DE SEGURIDAD

3. CONFIDENCIALIDAD

4. CALIDAD DE LOS DATOS

5. CONSENTIMIENTO

6. CESIÓN O COMUNICACIÓN DE DATOS

7. EJERCICIO DE DERECHOS DE PROTECCIÓN DE DATOS

8. ACCESO Y CONSERVACIÓN DE HISTORIAS CLÍNICAS

9. DERECHO A LA PROPIA IMAGEN Y GRABACIONES

10. OTRAS PREGUNTAS

1. Uso de los recursos informáticos

1) ¿Se pueden utilizar soluciones de almacenamiento ofrecidas por servicios como DropBox, Mega y Google Drive?

Con carácter general, el Código de buenas prácticas establece que debe evitarse usar, instalar o distribuir programas fuera de los estándares y las recomendaciones aprobados por el Servicio de Salud, porque pueden comprometer la seguridad de los sistemas de información.

En particular, este tipo de soluciones de almacenamiento no permiten aplicar las medidas de seguridad requeridas para garantizar la protección de los datos ni cumplir las obligaciones relativas a la comunicación de datos que requieran el consentimiento previo de la persona afectada.

Por ello, la Oficina de Seguridad no autoriza el uso de estos servicios en el ámbito profesional porque no ofrece suficientes garantías de seguridad para el tratamiento de datos de carácter personal, en particular los de nivel alto, protegidos especialmente.

2) ¿Se puede utilizar SharePoint como repositorio de documentación clínica?

Según la LOPDGDD, el Servicio de Salud tiene la obligación de implementar las medidas de seguridad establecidas en el ENS. Pero SharePoint no tiene actualmente las medidas de seguridad necesarias para garantizar el nivel de seguridad requerido para el tratamiento de documentación clínica, porque esta recoge categorías especiales de datos. Por ello, la Oficina de Seguridad propone aplicar determinados criterios para determinar si se puede utilizar SharePoint para determinadas finalidades, en función del tratamiento y la categorización de los datos.

Se entiende por categorías especiales de datos las relativas a datos personales que revelen el origen étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, los datos genéticos y biométricos dirigidos a identificar de manera unívoca a una persona física, los datos relativos a la salud y los datos relativos a la vida sexual o la orientación sexual de una persona física. Si los datos que van a tratarse entran en esta definición, se recomienda no usar SharePoint para tratarlos.

3) ¿Qué medidas se tienen que asegurar para enviar datos clínicos por medio del correo?

Según la LOPDGDD, el Servicio de Salud tiene la obligación de implementar las medidas de seguridad establecidas en el ENS para proteger los activos. En cuanto a la información que contengan tanto el cuerpo de los mensajes de los correos electrónicos como sus archivos adjuntos, ha de estar protegida en todas sus categorías, independientemente de cuál sea la dimensión de seguridad. Por ello el Código de buenas prácticas establece que, con carácter general, hay que evitar enviar por correo electrónico información que contenga datos personales de salud y que, si es estrictamente necesario, han de estar cifrados.

 Según el criterio técnico de la Subdirección General de Inspección de la AEPD manifestado en el Informe 0494/2009, «tanto el cifrado que ofrecen los productos que generan archivos PDF o el realizado por WinZip tienen vulnerabilidades conocidas y se dispone de herramientas de libre distribución que aprovechan dichas vulnerabilidades. Más concretamente, no solo se pueden obtener en internet fácilmente utilidades que rompen las protecciones de los archivos PDF o ZIP, sino que el propio algoritmo en el que descansa la cifra de documentos PDF, el algoritmo RC4, es manifiestamente vulnerable. Aunque para el uso particular pudieran considerarse adecuadas, no así para el intercambio de información con las garantías que se precisan en el Reglamento». El Informe añade que «esta garantía necesaria para preservar la confidencialidad de las comunicaciones no solo descansa en el sistema de cifrado, sino también en el sistema de gestión de claves, en particular».

Por esos motivos es preceptivo que el intercambio de información se lleve a cabo usando certificados electrónicos, de modo que sea posible proteger la seguridad de la comunicación con mecanismos de cifrado de clave pública basados en el uso de un par de claves que permitan cifrar el contenido con una de estas, que permanece en poder del propietario, y descifrar el contenido con la otra y solo con esta.

4) Si un organismo (p. ej. un juzgado) solicita datos de categorías especiales de un usuario del centro (datos de salud, etc.) por un medio de comunicación que se puede considerar inseguro (fax, correo electrónico sin cifrar), ¿debe cursarse la solicitud?

Desde la perspectiva de la protección de los datos, no debe utilizarse el fax para enviar documentación que contenga datos de categorías especiales. Por ello hay que informar al organismo solicitante que para enviarla hay actualmente otras vías, sencillas, igual de rápidas y más seguras (correo electrónico cifrado).

5) ¿Se puede configurar la cuenta de correo corporativo para redirigir los mensajes de correo electrónico a cuentas personales?

Con carácter general, el Código de buenas prácticas establece que en ningún caso las comunicaciones durante las tareas profesionales deben enviarse desde cuentas de correo electrónico personales ofrecidas por proveedores de internet. Tampoco está permitido en ningún caso redirigir a cuentas particulares mensajes de correo electrónico de carácter profesional recibidos en la cuenta proporcionada por el Servicio de Salud. Por lo tanto, debe restringirse la configuración de las cuentas de usuario para redirigir los mensajes de correo electrónico a otras cuentas personales (o profesionales), pero ajenas a la cuenta corporativa proporcionada por el Servicio de Salud.

6) ¿Se puede facilitar una copia del buzón de correo y de los documentos de un usuario que está activo en la organización?

Siempre que el usuario esté activo y tenga la autorización de la dirección, se puede facilitar la copia solicitada. En cambio, si el usuario no está activo hay que denegar la petición, pues el Código de buenas prácticas establece que cuando un usuario finaliza su relación o vinculación con el Servicio de Salud deja de tener acceso a sus sistemas de información y a los datos que contienen. Asimismo, tiene que devolver cualquier soporte que contenga datos a los que haya tenido acceso en el marco de su vinculación o relación con el Servicio de Salud.

7) ¿Se puede enviar por correo electrónico información que contenga información sensible o datos de carácter personal?

La Oficina de Seguridad recomienda que no se envíen datos de salud por correo electrónico; en todo caso, sería necesario cifrar los correos; además, se corre el riesgo de que se guarde información de categorías especiales de datos en los correos.

Recomendamos enviar por correo una URL en los que estén alojados los datos y que el sistema en que se almacenen no sea público y solo tengan acceso las personas que lo requieran para desempeñar sus funciones.

8)¿Se puede usar WhatsApp, Telegram, etc. para enviar información sensible que contenga datos de carácter personal?

La Oficina de Seguridad desaconseja usar el servicio de WhatsApp u otras aplicaciones de mensajería para usos profesionales, porque no ofrecen garantías de seguridad suficientes para el tratamiento de datos personales, en particular los datos considerados como categorías especiales de datos.

9) ¿Puedo usar una red wifi pública que no sea del Servicio de Salud para trabajar?

La Oficina de Seguridad ha decidido que bajo ningún concepto se puede usar una red wifi pública para trabajar, porque cualquier persona no autorizada podría capturar información sensible, ya que no es una red segura.

10) ¿Es seguro utilizar los servicios de Office 365 para introducir en los formularios los números de historia clínica?

El entorno de Office 365 está totalmente protegido, pero debemos reforzar el mensaje de que las herramientas ofimáticas no son aplicaciones de gestión de historias clínicas, por lo que no deben utilizarse con esta finalidad. Asimismo, debemos recordar que la Ley de autonomía de pacientes establece que la historia clínica debe ser única, por lo que no puede estar separada en carpetas personales, lo cual dificultaría salvaguardar los derechos de los interesados, entre otros aspectos.

2. Medidas de seguridad

1) ¿Qué medidas de seguridad se deben establecer para identificar y autenticar pacientes por medio de internet?

En el marco de las administraciones públicas hay que tener en cuenta lo que prevé la Ley 39/2015 en cuanto a la identificación y la firma de los interesados en el procedimiento administrativo. Pueden identificarse electrónicamente por estos medios:

1. Sistemas basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la lista de confianza de prestadores de servicios de certificación.
2. Sistemas basados en certificados electrónicos reconocidos o cualificados de sello electrónico expedidos por prestadores incluidos en la lista de confianza de prestadores de servicios de certificación.
3. Sistemas de clave concertada y cualquier otro sistema que las administraciones públicas consideren válido, en los términos y las condiciones que se establezcan.

Los interesados pueden firmar electrónicamente por estos medios:

1. Sistemas de firma electrónica reconocida o cualificada y avanzada basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores incluidos en la lista de confianza de prestadores de servicios de certificación.
2. Sistemas de sello electrónico reconocido o cualificado y de sello electrónico avanzado basados en certificados electrónicos reconocidos o cualificados de sello electrónico incluidos en la lista de confianza de prestadores de servicios de certificación.
3. Cualquier otro sistema que las administraciones públicas consideren válido, en los términos y las condiciones que se establezcan.

 De conformidad con la LOPDGDD, el Servicio de Salud, como organismo público, tiene la obligación de implementar las medidas de seguridad establecidas en el ENS. Por ello deben adoptarse las medidas de seguridad que garanticen la protección de los datos en la identificación y autentificación de los usuarios, de conformidad con el marco normativo aplicable.

2) ¿Qué previsiones se deben adoptar a la hora de registrar datos de imágenes de pacientes?

En primer lugar, hay que determinar la finalidad del tratamiento de las imágenes en el momento en que se facilite información al paciente para que pueda decidir si desea firmar el documento de consentimiento informado:

1. Si la finalidad es asistencial, de diagnóstico o tratamiento, estaría cubierta por la finalidad del tratamiento «Historia clínica».
2. Si la finalidad del registro de dichas imágenes es la investigación, estudios, etc., entraría en la finalidad del tratamiento «Investigación sanitaria».

Por otro lado, por lo que respecta a la aplicación de medidas de seguridad, de acuerdo con la disposición adicional primera de la LOPDGDD, en los tratamientos de datos deben implementarse las medidas de seguridad establecidas en el ENS.

3) ¿Qué medidas de seguridad hay que adoptar para destruir documentación de una manera segura?

Para garantizar que la documentación se destruye de manera segura hay que atender las instrucciones y las medidas establecidas en el documento Procedimiento de destrucción de documentos y soportes con datos personales del Servicio de Salud de las Islas Baleares, en el que se describen las medidas técnicas y organizativas para garantizar la destrucción correcta de los documentos y de los soportes de información.

Asimismo, la legislación que regula la destrucción de documentación en los aspectos relacionados con la seguridad de la información indica, por una parte, que la documentación con datos de carácter personal debe ser destruida adoptando medidas dirigidas a evitar que pueda ser recuperada posteriormente y, por otra parte, la documentación afectada por el ENS debe ser destruida de forma segura.

Por otro lado, si se contratase una empresa especializada, esta tendría la consideración de encargado de tratamiento, por lo que se debería cumplir lo estipulado al respecto en la legislación de protección de datos, al igual que otras empresas que tratan datos de carácter personal por cuenta del Servicio de Salud.

Para establecer un procedimiento de destrucción de documentación debe exigirse que la destrucción cumpla la norma española UNE-EN-15713:2010 («Destrucción segura del material confidencial. Código de buenas prácticas»), que regula todos los aspectos recomendables para que el procedimiento se haga de manera segura, entre otros, los siguientes:

• Medidas que deben cumplir las dependencias.
• Medidas que deben cumplir los empleados.
• Cómo debe recogerse, custodiar y transportar la documentación.
• Qué hay que hacer con el material resultante una vez destruida la documentación.

En cuanto al tamaño de los residuos resultantes de la destrucción, debe exigirse que la destrucción se haga siguiendo la normativa DIN/CEN 32757, de ámbito internacional, que estipula cuál ha de ser el tamaño de los trozos de papel dependiendo de la confidencialidad de la documentación. Teniendo en cuenta que la documentación puede contener datos de carácter personal, debe exigirse que se cumpla como mínimo el nivel de seguridad núm. 3, indicado en la normativa citada. Finalmente debe certificarse la destrucción segura de la documentación.

4) ¿Qué consideraciones hay que tener en cuenta para generar listas temporales con datos de carácter personal cuya finalidad es de gestión de servicios sanitarios?

Tal como exige el artículo 30 del RGPD, cada responsable debe llevar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro ha de contener los datos siguientes, como mínimo, por cada tratamiento: datos de contacto del responsable, fines del tratamiento, descripción de las categorías de datos, categoría de destinatarios a quienes se comunican los datos personales, indicación de si se harán transferencias internacionales de datos, plazos previstos para suprimir las diferentes categorías, descripción de las medidas técnicas que hay que aplicar según el riesgo, etc.

El mismo Reglamento no menciona la necesidad de registrar los tratamientos que vayan a hacerse de manera temporal. Por ello, el Servicio de Salud ha establecido los criterios siguientes para determinar la necesidad de que un tratamiento temporal de datos se incluya o no en el registro:

• Valorar el grado de temporalidad del tratamiento: debe identificarse si el tratamiento de datos temporal será ocasional o de manera recursiva cada cierto periodo de tiempo.
• Identificar si se gestionarán a gran escala categorías especiales de datos o datos relativos a condenas e infracciones penales.
• Valorar si es probable que el tratamiento de esos datos pueda suponer un riesgo alto para los derechos y las libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los objetivos del tratamiento.

Si el tratamiento de datos ha de ser recursivo en el tiempo, o sobre categorías especiales de datos o datos relativos a condenas e infracciones penales o si puede suponer un riesgo para los derechos y las libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los objetivos del tratamiento, debe incluirse en el registro de actividades de tratamiento del responsable.

En cambio, si el tratamiento de datos ha de ser ocasional o no tratará categorías especiales de datos ni datos relativos a condenas e infracciones penales o no supondrá un riesgo para los derechos y las libertades de las personas físicas, no debe hacerse constar el tratamiento en cuestión en el registro de actividades de tratamiento de responsable, aunque sí debe hacerse constar en el tratamiento de origen respecto al que dependan.

Por otro lado, el resultado del riesgo analizado determinará qué medidas de seguridad deben aplicarse sobre el tratamiento de seguridad.

5) ¿Cuál es la política sobre el acceso del personal sanitario a aplicaciones clínicas desde su casa?

Con carácter general, no se permite que accedan a aplicaciones clínicas desde fuera de las instalaciones si el acceso no está justificado correctamente. Esta habilitación debe estar condicionada por una necesidad funcional y asistencial que justifique el acceso de determinados profesionales.

En este punto, es importante resaltar la obligación de control de acceso, que establece que los usuarios tendrán acceso a los recursos que necesiten para desempeñar sus funciones. Puede llegar a ser necesario habilitar el acceso a profesionales que trabajen desde fuera de las instalaciones o estén de guardia, pero estos permisos deben ser revocados o negados siempre que no se dé alguna de estas dos condiciones.

Habilitar la posibilidad de que los profesionales se conecten desde el exterior de la red del Servicio de Salud aumenta los riesgos para la seguridad y para la confidencialidad y, en consecuencia, incrementa las medidas de seguridad que deben aplicarse, que no son solo técnicas sino también organizativas.

Por ello, como norma general no se aconseja conceder permisos para acceder a aplicaciones clínicas desde el exterior de la red del Servicio de Salud. Así pues, estos permisos deben darse exclusivamente basándose en necesidades y durante el tiempo que duren estas necesidades.

6) ¿Qué recomendaciones hay que seguir para comunicar datos por medios telemáticos fuera de la red del Servicio de Salud?

De conformidad con la LOPDGDD, el Servicio de Salud, como organismo público, tiene la obligación de implementar las medidas de seguridad establecidas en el ENS, que son las siguientes en cuanto a la protección de las comunicaciones:

• Usar redes privadas virtuales cuando la comunicación discurra por redes fuera del propio dominio de seguridad.
• Usar algoritmos acreditados por el Centro Criptológico Nacional, ya sea por medio de cifrado simétrico, protocolos de acuerdo de clave, algoritmos asimétricos o funciones resumen.

7) ¿Cuáles son los requisitos de confidencialidad y protección de datos para hacer una prueba piloto de nuevo software?

El artículo 33 de la LOPDGDD establece que el acceso de un encargado de tratamiento a los datos personales necesarios para prestar un servicio al responsable no se considera comunicación de datos. 

Por otro lado, el artículo 28 del RGPD determina que el tratamiento a cargo del encargado debe regirse por un contrato o acto jurídico que lo vincule al responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y la categorías de los interesados, además de las obligaciones y los derechos del responsable. Este contrato o acto jurídico debe estipular particularmente los aspectos siguientes en cuanto al encargado:

• Ha de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable y ha de informar inmediatamente al responsable si, en su opinión, una instrucción infringe la normativa de protección de datos aplicable.
• Ha de garantizar que las personas autorizadas para tratar datos se hayan comprometido a salvaguardar la confidencialidad.
• Ha de aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
• No ha de recurrir a otro encargado sin la autorización previa por escrito, específica o general, del responsable. En tal caso, deben imponerse a este otro encargado
  —por medio de otro contracto o acto jurídico— las mismas obligaciones de protección de datos que las estipuladas en el contrato o acto jurídico entre el responsable y el encargado.
• Ha de asistir al responsable en la medida de lo posible, y tiene la obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados.
• Ha de ayudar al responsable a garantizar que se cumpla el RGPD, concretamente las obligaciones que establecen los artículos 32-36.
• A elección del responsable, ha de suprimir o devolver todos los datos personales una vez que finalice la prestación de los servicios de tratamiento.
• Ha de poner a disposición del responsable toda la información necesaria para demostrar que se cumplen las obligaciones establecidas en el contrato.

Por todo ello, hay que regularizar dicha relación estableciendo un contrato de encargado del tratamiento, independientemente de que se trate de una demostración de un potencial servicio o bien de la prestación de este.

8) ¿Se hacen copias de seguridad de la información de carácter personal almacenada en el equipo local o en dispositivos personales?

Con carácter general, la información almacenada de forma local en los ordenadores y equipos informáticos de los usuarios no es objeto de salvaguarda por medio de ningún procedimiento corporativo de copia de seguridad.

No obstante, en el caso de que se trate de información de pacientes especialmente protegida, hay que cumplir todas las medidas de seguridad de nivel alto exigidas por el RGPD, por lo que no podemos recomendar que se mantengan estos datos en ficheros ofimáticos, ya que no garantizan las medidas de seguridad (cifrado de la información, autenticación de usuarios, registro de accesos, etc.).

9) ¿Se puede extraer información del registro de accesos para incorporarla a un informe interno a fin de abrir algún tipo de expediente (disciplinario, por ejemplo)?

Los sistemas de información que gestionan datos de carácter personal deben generar un registro de accesos a fin de supervisar y controlar el tratamiento y el uso que se hace de ellos.

Por ello, si se detectan incidentes que puedan afectar a la seguridad de la información (por ejemplo, la sospecha de accesos indebidos), es responsabilidad del Servicio de Salud llevar a cabo las actuaciones convenientes y proporcionales para prevenir y/o corregir los riesgos identificados monitorizando y analizando los recursos afectados para comprobar si se usan apropiadamente y para preservar la seguridad de los sistemas del Servicio de Salud.

En este sentido, el Código de buenas prácticas habilita que el análisis y la monitorización de accesos se hagan por un requerimiento legal o una investigación sobre un uso ilegítimo o ilegal, para vigilar y controlar si se cumplen las obligaciones, para controlar los medios informáticos, para coordinar la continuidad laboral, para proteger el sistema informático, y para prevenir responsabilidades frente a terceras personas.

En cualquiera de dichos supuestos, no habría inconveniente en obtener dicha información del registro de accesos para incorporarla a un informe interno. No obstante, sería conveniente cursar una solicitud formal en la que se especificase la finalidad para la que se requiere la información (un expediente disciplinario, por ejemplo), y de esta manera tener documentada la solicitud.

3. Confidencialidad

1) ¿Qué es el deber de confidencialidad?

Es uno de los principios de la LOPDGDD, por medio del cual se establece que todas las personas que intervengan en cualquier fase del tratamiento de datos personales están sujetas a tratarlos de tal manera que garanticen la seguridad adecuada de estos —incluida la protección contra el tratamiento no autorizado o ilícito y contra la pérdida, la destrucción o el daño accidental— aplicando medidas técnicas u organizativas apropiadas. Esta obligación es complementaria de los deberes de secreto profesional, de conformidad con la normativa aplicable.

2) ¿Qué ocurre si se vulnera el deber de secreto?

El incumplimiento del deber de confidencialidad es una infracción considerada muy grave según el artículo 72 de la LOPDGDD. Además, si una infracción es imputable a una autoridad o un directivo y se acredite que había recomendaciones para que el tratamiento hubiera sido atendido debidamente, en la resolución hay que incluir una amonestación al cargo responsable y debe ordenarse que se publique en el Boletín Oficial del Estado o en el diario oficial autonómico que corresponda.

3) ¿En qué casos se puede revelar información?

Las leyes permiten a los profesionales sanitarios revelar datos de los pacientes sin que puedan ser sancionados por ello en los tres casos siguientes: a) cuando el paciente lo autorice, b) cuando la ley exija colaborar con la justicia y c) cuando exista un riesgo para terceras personas.

4) ¿Se puede facilitar información por teléfono a un paciente sobre su estado de salud o el resultado de pruebas?

Tal como ha dispuesto la AEPD en su Guía para pacientes y usuarios de la sanidad, «en principio, existiría el riesgo de estar facilitando información a un tercero y, por tanto, por motivos de seguridad debería evitarse. Se podría hacer si existe un protocolo de identificación del solicitante de la información, mediante la solicitud de nombre y apellidos, número de DNI, número de teléfono desde el que llama que coincida con el que facilitó al profesional, dirección de correo electrónico, número de tarjeta sanitaria, etc. Se debería tener la seguridad de que quien solicita la información es el titular de la misma».

Por ello, de conformidad con el Protocolo de actuación en los casos de solicitudes de información sobre ubicación de pacientes del Servicio de Salud, como norma general no se puede facilitar por teléfono información sobre la ubicación de pacientes. En ese caso, hay que indicar al solicitante —incluidas las fuerzas y los cuerpos de seguridad del Estado— que debe acudir en persona a la gerencia para hacer la consulta.

5) Si durante una llamada al 061 revelo información de salud de un paciente identificado que necesita asistencia y posteriormente, como titular de los datos, ejerzo el derecho de acceso a la transcripción de esta llamada, ¿se incumpliría la normativa de protección de datos si se incluyen los datos del paciente sin su consentimiento?

Sí, en concreto se incumpliría el principio de integridad y confidencialidad de los datos previsto en el artículo 5.1.f) del RGPD, por permitir un acceso no autorizado a datos personales de otros interesados

Según establece el RGPD (artículos 15-22), los interesados tienen derecho a ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y/o portabilidad respecto a los datos personales «que les conciernan». En este sentido, cuando se reciba una solicitud para ejercer dichos derechos hay que responder limitándose exclusivamente a los datos que conciernan al interesado.

Por lo tanto, si se recibe una solicitud de acceso a la transcripción de una llamada hay que facilitar exclusivamente los datos que conciernan al interesado y anonimizar o suprimir la información que afecte a terceras personas, tal como establece el procedimiento de gestión de los derechos de los interesados del Servicio de Salud.

En este sentido, si se recibe una solicitud para ejercer el derecho de acceso a una llamada relativa a la asistencia de una tercera persona, debe limitarse a los datos que se refieran a su persona, siempre y cuando no entre en colisión con los derechos del paciente en cuestión.

Asimismo, la información facilitada debe integrarse en la historia clínica del paciente identificado, pues —tal como establece la AEPD, en su Guía para pacientes y usuarios de la sanidad— «todo paciente o usuario tiene derecho a que quede constancia, por escrito o en el soporte técnico más adecuado, de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud tanto en el ámbito de atención primaria como de atención especializada».

Además, de conformidad con el artículo 14 del RGPD, cuando los datos personales se obtengan de una tercera persona —p. ej., por medio de una llamada al 061— hay que facilitar al titular de los datos la información relativa al tratamiento que se da a sus datos con la mayor brevedad posible (a más tardar, en el plazo de un mes). En particular, hay que proporcionarle toda la información que prevé el artículo 13 del RGPD y sobre el origen de sus datos.

No obstante, no es necesario revelar quién hizo la llamada, pues debe tenerse en cuenta que el derecho al acceso del paciente a la documentación de la historia clínica no puede ejercerse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella, recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponerse al derecho de acceso la reserva de sus anotaciones subjetivas.

6) Cuando las fuerzas de seguridad lo solicitan, ¿es obligatorio facilitarles los datos personales de los usuarios del centro?

Los tratamientos de datos que hagan de las fuerzas y los cuerpos de seguridad del Estado no entran en el ámbito de aplicación del RGPD ni de la LOPDGDD, sino del artículo 22 de la Ley orgánica 15/1999, que estipula que la recogida de datos de carácter personal a cargo de las fuerzas y los cuerpos de seguridad del Estado sin el consentimiento de las personas afectadas está limitada a los supuestos y las categorías de datos que resulten necesarios para prevenir un peligro real para la seguridad pública o para reprimir infracciones penales.

En el caso concreto de los datos de salud, se pueden recoger exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, y de acuerdo con el Protocolo de comunicación de datos a cuerpos y fuerzas de seguridad del Estado. En los casos en que un profesional, con ocasión de la asistencia sanitaria que haya prestado, tenga la evidencia de que el paciente sufre lesiones que hayan podido ser causadas por un tercero y lo haya puesto en conocimiento de la autoridad judicial por medio del correspondiente parte judicial de lesiones, las fuerzas de seguridad actuantes, en su función de policía judicial, no podrán acceder a los datos de salud del paciente diferentes a los relativos a la lesión que consta en dicho parte judicial sin un mandato judicial o una solicitud del Ministerio Fiscal.

Adicionalmente, cualquier acceso a la historia clínica asociado a los datos de identificación personal de los pacientes con fines judiciales está sujeto a lo que dispongan los tribunales en cada caso concreto, de modo que no es lícito acceder sin el correspondiente mandato judicial, de acuerdo con el artículo 16.3 de la LAP.

4. Calidad de los datos

1) ¿Qué regulación es aplicable al tratamiento que los trabajadores sociales dan a los datos de carácter personal?

Con carácter general, la Ley 4/2009, de 11 de junio, de servicios sociales de las Islas Baleares, regula las prestaciones del sistema público de servicios sociales estableciendo tres tipos de prestaciones: prestaciones técnicas, económicas y tecnológicas, de acuerdo con la clasificación siguiente:

• Prestaciones técnicas: información sobre los recursos sociales más adecuados disponibles y sobre cómo acceder a ellos; orientación sobre los medios más adecuados para responder a las necesidades planteadas; asesoramiento y apoyo a las personas y a los grupos que necesiten la actuación social; valoración singularizada y diagnóstico social de las situaciones personales, de convivencia y familiares, y de las demandas sociales; intervención profesional y tratamiento social orientados a cumplir las finalidades de los servicios sociales; protección jurídica y social de los menores de edad en situación de riesgo y desamparo; protección jurídica y social de las personas con capacidad limitada; atención residencial sustitutiva del hogar; atención diurna/nocturna/domiciliaria.
• Prestaciones económicas: aportaciones dinerarias que tienen por finalidad atender determinadas situaciones de necesidad de las personas que no disponen de recursos económicos suficientes para afrontarlas y que no están en condiciones de conseguirlos o recibirlos de otras fuentes.
• Prestaciones tecnológicas: las que atienden las necesidades sociales de las personas por medio de un producto, como la teleasistencia domiciliaria y las ayudas instrumentales destinadas a mantener o mejorar la autonomía personal o favorecer la inserción social.

Asimismo, dicha Ley reconoce el derecho a la confidencialidad respecto a la información que conozcan los servicios sociales, de acuerdo con la legislación de protección de datos de carácter personal, y tipifica el incumplimiento como una infracción grave.

En consecuencia, en aplicación del principio de calidad de los datos, los trabajadores sociales deben recabar única y exclusivamente los datos que sean estrictamente necesarios para la gestión de la prestación social correspondiente, es decir, solo los que sean pertinentes y apropiados a la finalidad que se persigue y, además, realmente necesarios, no excesivos.

2) ¿Qué regulación es aplicable al tratamiento de datos para prevenir la mutilación genital femenina?

Respecto a la regulación de la prevención de la mutilación genital femenina, cabe reseñar lo siguiente:

• El artículo 149.2 del Código penal la tipifica como un delito de lesiones en los términos siguientes: «El que causara a otro una mutilación genital en cualquiera de sus manifestaciones será castigado con la pena de prisión de seis a 12 años».
• Por otro lado, el artículo 23.4 de la Ley orgánica 6/1985, de 1 de julio, del poder judicial, establece la competencia de la jurisdicción española para conocer de estos hechos cometidos por españoles o extranjeros fuera del territorio estatal, siempre que los responsables estén en España; es decir, habilita la persecución del delito aunque se haya cometido fuera del territorio español. De este modo se intenta impedir la mutilación genital femenina aprovechando que la familia de la posible víctima de este delito se va de vacaciones a su país de origen.

Si bien otras comunidades autónomas cuentan con regulación específica, en nuestro caso hay que regirse por la Ley orgánica 1/2004, de 28 de diciembre, de medidas de protección integral contra la violencia de género, y la Ley 11/2016, de 28 de julio, de igualdad de mujeres y hombres, y actuar conforme al Protocolo de actuación sanitaria ante la violencia machista en las Islas Baleares, y entender la mutilación genital femenina como una expresión más de violencia de género.

En este sentido, el artículo 78 de la Ley 11/2016, relativo a la identificación de las situaciones de violencia machista, establece como medio de prueba para identificar la situación de violencia de género el informe médico, enfermero o psicológico de un profesional colegiado en el que conste que la víctima ha sido atendida en algún centro sanitario como consecuencia de la violencia machista.

En el caso de la mutilación genital femenina, con la posibilidad de anotar en la historia clínica de la paciente la recomendación de impedirla explicando las consecuencias físicas y psicológicas que provoca y las consecuencias legales encontraríamos habilitación suficiente en la normativa mencionada, pues esta información resultaría necesaria para la prevención y el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que este tratamiento de datos lo haga un profesional sanitario sujeto al secreto profesional u otra persona sujeta asimismo a una obligación equivalente de secreto.

3) ¿Se puede proporcionar una lista de altas de pacientes, con información del servicio y motivo del alta, al servicio de centralita telefónica (call center) para atender llamadas telefónicas?

En primer lugar, hay que destacar que la mera relación de pacientes ingresados se considera información que hace referencia a datos de salud del paciente o que puede revelarlos, respecto a lo cual la LOPDGDD y el RGPD son especialmente rigurosos, dado que establecen como regla general la prohibición de tratar esta categoría de datos salvo que concurra alguna base de legitimación de las descritas en el artículo 9.2 del RGPD.

Por otro lado, los usuarios deberían tener acceso única y exclusivamente a los recursos que requieren para desempeñar sus funciones. En este sentido, se considera que la indicación del servicio y el motivo del alta podrían exceder estas funciones.

En línea con lo expuesto, en cuanto a la identificación del interesado en las llamadas telefónicas el Procedimiento de actuación en la atención de comunicaciones telefónicas respecto al RGPD establece la premisa de no facilitar ningún tipo de información de carácter personal y confidencial de los pacientes si no es posible acreditar la identidad del interlocutor telefónico como titular de los datos por medio de alguno de los mecanismos propuestos.

Por todo ello, recomendamos que se evite facilitar esos datos (servicio y motivo del alta) al personal de atención de las llamadas, que se garantice la aplicación de medidas de seguridad de nivel alto en el acceso a esas listas y que se extreme la precaución sobre la información de los pacientes que se facilite por teléfono, de conformidad con el Procedimiento de actuación en la atención de comunicaciones telefónicas respecto al RGPD.

4) ¿Hay alguna norma que obligue a incluir en la transcripción de una llamada entre el 061 y un usuario el nombre del teleoperador que lo ha atendido?

Sí. De conformidad con el artículo 14 de la Ley 41/2002, en la historia clínica debe constar, entre otras informaciones, la identificación de los médicos y de otros profesionales que han intervenido en las llamadas a fin de conseguir la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro. En este sentido, es necesario registrar quién ha atendido a un usuario, tanto presencialmente como en una llamada al 061.

5. Consentimiento

1) ¿Qué requisitos deben cumplir los documentos de consentimiento para hacer estudios de investigación o docencia?

De acuerdo con el Protocolo de protección de datos en el ámbito de la investigación y docencia y basándose en la disposición adicional decimoséptima de la LOPDGDD, el tratamiento de datos en la investigación en materia de salud es lícito siempre que el interesado —o su representante legal— otorgue explícitamente el consentimiento.

Tal como establece el punto 32 del RGPD, el consentimiento debe hacerse efectivo por medio de un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del paciente de aceptar el tratamiento de datos de carácter personal en cuestión, es decir, una declaración por escrito —incluso por medios electrónicos— o verbal. Y, de acuerdo con el punto 7, si el tratamiento se basa en el consentimiento del paciente, el responsable ha de ser capaz de demostrar que aquel ha consentido que se traten sus datos personales. En este sentido, dado que la capacidad de demostrar el consentimiento otorgado verbalmente es muy limitada, la Oficina de Seguridad recomienda, como regla general, que el acto de consentimiento informado se lleve a cabo por escrito.

2) ¿Cuál es el plazo de conservación del consentimiento otorgado para la comunicación de datos de carácter personal?

Hay que tener en consideración los aspectos siguientes para determinar el plazo:

• Si el tratamiento se basa en el consentimiento del paciente, el responsable ha de ser capaz de demostrar que aquel ha consentido el tratamiento de sus datos personales (artículo 7.1 del RGPD).
• Tratar datos de carácter personal sin el consentimiento de las personas afectadas está tipificado como una infracción muy grave (artículo 72 de la LOPDGDD).
• Las infracciones muy graves prescriben a los tres años (artículo 47.1 de la Ley orgánica 15/1999).

Por todo ello, el plazo mínimo durante el cual hay que conservar este consentimiento es de tres años, a fin de garantizar la atención de posibles responsabilidades derivadas del tratamiento. No debe confundirse este consentimiento con el plazo de conservación del consentimiento informado o de la documentación clínica que figura en la historia clínica del paciente, para los cuales el plazo de conservación es superior. En este sentido, se recomienda consultar la política de conservación del Servicio de Salud, en la que se indican los plazos máximos de conservación de los datos personales según las diferentes actividades de tratamiento de los datos que lleva a cabo el Servicio de Salud.

3) ¿Hay que pedir consentimiento a un usuario para verificar sus datos a fin de evitar que tenga que aportar la documentación que los acredita?

Con carácter general, no es preciso pedir este consentimiento si los datos de carácter personal se recaban para desempeñar las funciones propias de las administraciones públicas en el ámbito de sus competencias.

No obstante, para usar los servicios de verificación y consulta de datos por medio de plataformas de intermediación, el artículo 6.2.b) de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos, reconoce el derecho «a no aportar los datos y documentos que obren en poder de las Administraciones Públicas, las cuales utilizarán medios electrónicos para recabar dicha información siempre que, en el caso de datos de carácter personal, se cuente con el consentimiento de los interesados en los términos establecidos por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, o una norma con rango de Ley así lo determine, salvo que existan restricciones conforme a la normativa de aplicación a los datos y documentos recabados. El citado consentimiento podrá emitirse y recabarse por medios electrónicos».

Por otra parte, el artículo 3 del Decreto 6/2013, de 8 de febrero, de medidas de simplificación documental de los procedimientos administrativos, que desarrolla los derechos reconocidos en la Ley 4/2001, de 31 de marzo, de la buena administración y del buen gobierno de las Islas Baleares, establece igualmente que «será necesario que la persona interesada consienta que sus datos o documentos puedan ser consultados y comprobados por el órgano instructor, haciendo constar este consentimiento, expresamente, en la solicitud de iniciación del procedimiento o en cualquier otra comunicación posterior. [3] Cuando la persona interesada no otorgue el consentimiento expreso para hacer las consultas oportunas, estará obligada a aportar la documentación que contenga sus datos. Si no lo aporta, la Administración le requerirá la documentación [...].»

4) ¿Es necesario que el médico o el centro sanitario pida el consentimiento al paciente o usuario para recoger y usar sus datos personales?

No es necesario si se van a utilizar para fines de medicina preventiva o laboral, de evaluación de la capacidad laboral del trabajador, de diagnóstico médico, de prestación de asistencia o tratamiento de tipo sanitario o social o de gestión de los sistemas y servicios de asistencia sanitaria y social. La base de legitimación para este tratamiento de datos está establecida en el artículo 6.1.b) del RGPD para las entidades aseguradoras de salud privadas y en el artículo 6.1.c) del mismo Reglamento para la sanidad pública.

Tampoco es necesario si se tratan los datos por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud o para garantizar altos niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los usuarios. La base de legitimación está establecida en el artículo 6.1.e) del RGPD.

También se pueden tratar los datos de salud sin pedir consentimiento si el tratamiento es necesario para proteger intereses vitales del paciente o usuario —o de otra persona física si aquel no está capacitado física o jurídicamente para dar consentimiento— o cuando lo pida un órgano judicial. La base de legitimación está establecida en el artículo 6.1.d) del RGPD.

5) En los casos de personas sin incapacitar legalmente, pero que, por ejemplo, están en una fase avanzada de deterioro cognitivo y se niegan a recibir atención social, ¿se pueden tratar sus datos sin su consentimiento?

Sí, es posible, ya que la base jurídica del tratamiento de sus datos personales no es su consentimiento, sino una obligación legal aplicable al responsable del tratamiento, o el cumplimiento de una misión llevada a cabo en interés público o en el ejercicio de poderes públicos. Dependiendo de los casos y las circunstancias también puede ser aplicable que el tratamiento sea necesario para proteger los intereses vitales del interesado.

Además de estas bases, puede ser aplicable alguna de las excepciones del artículo 9.2 del RGPD o una conjunción de ellas.

6. Cesión o comunicación de datos

1) ¿Se pueden facilitar los datos de contacto de un paciente a una oficina de farmacia para que se ponga en contacto con este para comunicarle incidencias en relación con la dispensación de medicamentos?

De acuerdo con el registro del tratamiento «Gestión de la prestación farmacéutica», este tiene la finalidad de gestionar y controlar la prescripción de medicamentos, visados y gasto farmacéutico de las Islas Baleares, en la que no se prevé recoger entre los datos de carácter identificativo los de contacto del paciente (dirección, teléfono, etc.). Asimismo, tampoco se prevé ceder o comunicar estos datos más allá de las previsiones legales. 

En este sentido, no existe habilitación para comunicar estos datos a las oficinas de farmacia con la finalidad que se pretende, pues el artículo 33 de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud, remite a la normativa vigente en materia de protección de datos en cuanto a la definición de los datos básicos para la gestión por medios informáticos de la información necesaria para la dispensación individualizada de medicamentos.

Para ello, siempre que se traten datos con una finalidad distinta a la establecida hay que pedir explícitamente el consentimiento del paciente. Como alternativa, se propone invertir el circuito y que sea la Dirección General de Farmacia quien comunique al paciente la incidencia notificada por la oficina de farmacia, para que acuda o se ponga en contacto con esta, sin perjuicio de las posibles implicaciones de hacer comunicaciones telefónicas. Así pues, antes de facilitar cualquiera información es necesario comprobar la identidad del interlocutor telefónico por medio de un mecanismo seguro, es decir, haciéndole preguntas de validación para garantizar que es el titular de los datos.

Hay que tener una consideración especial cuando se telefonee en un domicilio y el interesado no esté, o cuando se active un contestador. En estos casos, en que no se puede autenticar la identidad del titular de los datos, hay que cumplir la premisa básica de no facilitar información de carácter personal y confidencial de los pacientes.

2) ¿Se pueden facilitar al Colegio Notarial de las Islas Baleares los datos de ingreso de un paciente?

Esta información se considera un dato de carácter personal relacionado con la salud, por lo que hay que cumplir todas las obligaciones previstas por la LOPDGDD y el RGPD.

La comunicación al Colegio Notarial de las Islas Baleares se debe considerar una comunicación de datos a terceros, por lo que es necesario tener el consentimiento del interesado, a no ser que el tratamiento se haga por una obligación legal, por interés público o en el ejercicio de poderes públicos.

Actualmente no se tiene el consentimiento de los pacientes para ceder estos datos al Colegio Notarial ni se ha podido constatar que comunicárselos con el fin de la ordenación del ejercicio de profesión notarial y de hacer cumplir a los colegiados las leyes generales y especiales esté amparado por alguna de las excepciones previstas por la LOPDGDD y el RGPD. La comunicación de estos datos sin consentimiento podría suponer una infracción tipificada como muy grave por la LOPDGDD, pues son datos de carácter personal relacionados con la salud. Pro lo tanto, no se pueden comunicar.

En este sentido, en su Guía para pacientes y usuarios de la sanidad, la AEPD ha afirmado que se pueden ceder los datos de salud a otras entidades diferentes a las que las han recogido y tratadas si existe legitimación, como por ejemplo cuando se visita a un médico de la sanidad privada —con la tarjeta de la compañía aseguradora— y este facilita a la entidad la información mínima necesaria para que abone la prestación sanitaria.

3) ¿Se puede informar al empleador sobre los datos de salud de sus empleados cuando acuden a una revisión de prevención de los riesgos laborales?

No. La información que se facilita al empleador es si el trabajador es apto o no apto para el trabajo, o si es apto y necesita alguna adaptación, pero no se le puede informar de los resultados de las pruebas médicas de los trabajadores.

4) ¿Qué información han de contener los partes médicos de baja? ¿Pueden facilitarse al empleador?

El facultativo que sigue el proceso de incapacidad del trabajador expide dos copias del parte médico de baja: una para el trabajador y la otra para que la entregue a la empresa donde trabaja.

Este documento ha de contener los datos personales del trabajador, la fecha de la baja, la contingencia que la causa, el código de diagnóstico, el código estatal de empleo del trabajador y la duración estimada del proceso de recuperación de la salud y, en su caso, la anotación de si se trata de la recaída de un problema de salud anterior. Asimismo, debe constar la fecha en que se hará el próximo reconocimiento médico.

5) ¿Qué recomendaciones hay que tener en cuenta para expedir justificantes de hospitalización a los familiares de un paciente?

La Oficina de Seguridad ha elaborado el Procedimiento de solicitud y emisión de justificantes de asistencia sanitaria y hospitalización del Servicio de Salud de las Islas Baleares, en cuyo apartado 3.2 se explica cómo hay que actuar cuando se recibe la solicitud de un acompañante de un paciente para que se le expida un justificante de la hospitalización.

6) ¿Se pueden facilitar a un ayuntamiento datos de asistencia sanitaria de un paciente que ha interpuesto una reclamación por responsabilidad patrimonial?

Hay que tener en cuenta que, en la tramitación de un expediente de responsabilidad patrimonial, el acceso del órgano instructor a la documentación sanitaria o a la historia clínica del interesado es una comunicación o cesión de datos.

La AEPD se ha pronunciado respecto a las cesiones o comunicaciones de datos manteniendo la validez de la comunicación de datos personales entre administraciones públicas. No obstante, para que pueda llevarse a cabo, debería fundamentarse en alguna de las bases jurídicas previstas en el artículo 6 del RGPD:

1. Ha contar con el consentimiento del interesado para el tratamiento de sus datos personales.
2. El tratamiento ha de ser necesario para ejecutar un contrato en el que el interesado sea parte.
3. El tratamiento ha de ser necesario para cumplir una obligación legal, para proteger intereses vitales, para cumplir una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable de tratamiento, y para satisfacer intereses legítimos perseguidos por el responsable del tratamiento.

Por todo ello, se recomienda no ceder datos personales a terceros aunque se cuente con el consentimiento expreso a tal efecto, dado que en ocasiones la misma AEPD ha determinado que este consentimiento no se considera un fundamento jurídico válido para que una administración pública trate datos personales.

7) ¿Se pueden facilitar datos de usuarios de un centro sanitario a los diputados autonómicos que lo soliciten?

Los diputados autonómicos, dentro de sus funciones de control, pueden obtener información personal de la que es responsable el Gobierno de las Islas Baleares. Las solicitudes de información de los diputados deben tratarse en los términos y con las limitaciones establecidas en los reglamentos del Parlamento de las Islas Baleares como norma especial aplicable de manera prevalente.

Las solicitudes de información de los diputados no deben dirigir a los centros sanitarios, sino a la Consejería de Salud y Consumo, la cual, teniendo en cuenta la sensibilidad de la información, puede comunicar fundadamente los motivos que pueden evitar o restringir la información que se facilite a los diputados. Los centros sanitarios, en su caso, pueden manifestar estas limitaciones a la Consejería.

8) ¿Hay una directriz común para expedir justificantes para los pacientes y sus acompañantes?

Sí. La Oficina de Seguridad ha elaborado el Procedimiento de solicitud y emisión de justificantes de asistencia sanitaria y hospitalización del Servicio de Salud, en el que se establecen los pasos y las instrucciones que cada órgano del Servicio de Salud ha de seguir para expedir justificantes de asistencia sanitaria y de hospitalización para los pacientes y sus acompañantes, y se presentan los tipos de justificante que se pueden expedir.

Sobre esta materia, la AEPD establece en la Guía para pacientes y usuarios de la sanidad que «el acompañante tiene un interés legítimo para ese tratamiento y debe acreditar la vinculación con el paciente. El contenido del justificante debe cumplir el principio de minimización de datos, incluyendo el nombre y apellidos del paciente, fecha/hora del ingreso, y días de ingreso aproximados. No debe especificar la enfermedad padecida ni la unidad de ingreso ni el tipo de cirugía».

9) ¿Puede un centro hospitalario informar del ingreso de un paciente y de dónde está alojado?

Según la Guía para pacientes y usuarios de la sanidad, no es posible, sino que ha de pedir consentimiento al paciente o a sus familiares (si aquel no está capacitado) para que poder facilitar esta información. Además, para evitar situaciones conflictivas es muy importante que se facilite la información de forma destacada y haciendo comprender al paciente sus consecuencias prácticas.

En esta línea, el Protocolo de actuación frente a solicitudes de información sobre ubicación de pacientes del Servicio de Salud de las Islas Baleares dispone que, siempre que el paciente esté en condiciones y plenamente capacitado, hay que pedirle consentimiento para que la gerencia correspondiente pueda facilitar la información sobre dónde está alojado; además, en el acto de consentimiento tiene que determinar qué personas están autorizadas a saber esta información. El formulario de consentimiento debe conservarse digitalizado en la historia clínica del paciente y en papel en el archivo de la gerencia.

También regula como hay que actuar para atender esta solicitud dependiendo del estado del paciente y de dónde esté alojado:

1. Hospitalizaciones urgentes derivadas de un proceso asistencial en el servicio de urgencias: solo se puede facilitar la información sobre dónde está alojado el paciente a las personas que se hayan presentado en el servicio de admisión y estén vinculadas con el paciente por razones familiares o de hecho (madre/pare, hija/hijo, hermana/hermano, esposa/marido o pareja de hecho). Para comprobar el vínculo, el solicitante ha de aportar información adicional (documento de identidad, libro de familia…).
2. Hospializaciones programadas: si el paciente está plenamente capacitado, en el momento en que ingrese en el hospital hay que pedirle consentimiento para informar sobre dónde estará alojado a las personas que lo soliciten presentándose en el servicio de admisión. Si no existe evidencia clara sobre si el estado del paciente le permite darlo, entonces solo se podrá facilitar la información a las personas que estén vinculadas a este por razones familiares o de hecho.

Excepcionalmente y para ambos casos, si las fuerzas o los cuerpos de seguridad del Estado piden dónde está alojado un paciente por motivos de seguridad pública, hay que facilitarles la información de acuerdo con el Protocolo de cesión de datos a las fuerzas y cuerpos de seguridad del Estado.

10) En los casos de personas tuteladas por agencias de tutela de adultos, ¿pueden los centros sociosanitarios facilitar a sus familiares datos sobre el estado de salud o datos sociales de aquellos?

En principio, no. Cuando una persona está tutelada, la comunicación de cualquier dato suyo —sociosanitario o de otra naturaleza— debe hacerse siempre al tutor legal o mediante este. Solo se podrían facilitar datos a sus familiares si en la sentencia de incapacitación se determinase esta posibilidad específicamente o como consecuencia de su alcance.

11) Si se recibe una llamada desde el extranjero para solicitar información sobre dónde está alojado un paciente, ¿se puede facilitar?

El Procedimiento de actuación en la atención de comunicaciones telefónicas respecto al RGPD recomienda dar solamente información de si está alojado en ese centro concreto, pero sin detallar el lugar exacto ni el diagnóstico, pues es difícil comprobar la identidad de la persona que llama y su vínculo con el paciente.

12) ¿Se puede dejar información de una cita en el contestador de un teléfono?

No, nunca debe dejarse esta información en un contestador. Si el paciente no responde a la llamada, hay que intentar contactar con este en otro momento.

13) ¿Se pueden enviar citaciones por correo postal ordinario?

Sí, siempre que en el exterior del sobre no se incluya información que pueda revelar o evidenciar su contenido. La confidencialidad de las comunicaciones está legislada.

14) Si un paciente no autoriza que se expida un justificante para un acompañante, ¿no hay riesgo de colisión con los derechos del acompañante sobre la posibilidad de solicitar el permiso correspondiente a su empresa?

Sin el consentimiento del paciente o del tutor legal no se puede expedir el justificante: el derecho fundamental a la privacidad y la protección de datos personales prevalece sobre el derecho de los trabajadores de disfrutar un permiso retribuido, recogido en la Ley del estatuto básico del empleado público y en la Ley del estatuto de los trabajadores.

15) ¿Hay una locución informativa corporativa?

La Oficina de Seguridad ha hecho una propuesta, incluida en el procedimiento, que puede ser utilizada a tal efecto. La locución propuesta es la siguiente:

De conformidad con el Reglamento general de protección de datos, le informamos que [indicar la unidad organizativa] será el responsable de los datos que facilite con la finalidad de [indicar finalidad] y en base al [incluir base legitimadora]. Sus datos podrán ser comunicados a terceros cuando sea necesario para cumplir las finalidades descritas. Tiene derecho a acceder, rectificar y suprimir los datos que nos facilite, a oponerse y limitar su tratamiento y a la portabilidad de dichos datos. Asimismo, en [indicar dónde se encuentra la segunda capa de información] podrá consultar la información adicional y detallada sobre protección de datos.

Si acepta este aviso legal y quiere continuar, pulse [X]. Si quiere volver a escuchar el aviso legal, pulse [X].

16) Si una empresa o concesionaria se encarga de la videovigilancia, ¿también es responsable del tratamiento de las imágenes?

El responsable del tratamiento de las imágenes siempre es la gerencia correspondiente. Si son visionadas por personal externo o almacenadas en sistemas o aplicaciones de un tercero, hay que suscribir unas cláusulas de «encargado del tratamiento para el tratamiento de las imágenes por cuenta de terceros», de conformidad con el artículo 28 del RGPD; de eta forma dichas entidades adquieren la condición de encargado del tratamiento de las imágenes. La Oficina de Seguridad ha elaborado un modelo de cláusulas de encargado de tratamiento que deben subscribir los proveedores de los servicios de videovigilancia.

7. Ejercicio de derechos de protección de datos

1) ¿Se puede facilitar información relativa al registro de accesos producidos a los sistemas de información, en atención al ejercicio de un derecho de acceso por parte de un paciente a su historia clínica?

A petición del Departamento Jurídico-Administrativo del Servicio de Salud, el 27 de mayo de 2007 la AEPD emitió un informe sobre si procede facilitar esta información, en el que hace referencia a la Resolución de 15 de junio de la propia AEPD sobre un supuesto en que la persona afectada ejerció el derecho de acceso a sus datos personales especificando que quería que se le facilitase una lista de las personas que habían accedido a ellos durante un periodo determinado. Por medio de esta Resolución, la AEPD desestimó la solicitud alegando que «no se debe confundir el acceso a los documentos y datos que obran en el expediente administrativo, cuyo régimen se rige por la Ley de régimen jurídico y del procedimiento administrativo común, con el acceso a datos personales, disponibilidad que corre por cuenta del propio interesado, entre cuya facultad no se halla el acceso a los datos de las personas que hayan tramitado el correspondiente expediente, al no encontrase entre los datos que son objeto de tratamiento». En este sentido, la Abogacía de la Sido —adscrita a la AEPD— entiende que el interesado únicamente tendría derecho a saber quién ha sido cesionario de sus datos, pero no los accesos desde la organización del responsable de tratamiento.

Aunque el artículo 15 de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, haya sido derogado por el artículo 15 del RGPD y por el artículo 13 de la LOPDGDD, el alcance del derecho de acceso de los interesados es el mismo, por lo que se interpreta que se mantiene lo establecido por la Resolución de 15 de junio de 2007 de la AEPD.

En este sentido se ha pronunciado recientemente la AEPD en la Guía para pacientes y usuarios de la sanidad estableciendo que, salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a una historia clínica.

2) ¿Se pueden facilitar los datos de un presunto agresor registrados en la historia clínica de una víctima de violencia de género?

Según la tipología de la información tratada, se ha identificado un supuesto de recogida de datos que podría resultar excesiva o no pertinente si esta información se conservará junto con la historia clínica de la víctima o una simple copia para archivarla en el centro sanitario.

De acuerdo con el Protocolo común para la actuación sanitaria ante la violencia de género, la anotación en la historia clínica de una confirmación diagnóstica de violencia de género no equivale a una calificación legal del caso, que compete al ámbito judicial. Es decir, no se está acusando ni juzgando al presunto agresor, sino evaluando clínicamente a la víctima.

De todos modos, la incorporación de esta información podría exceder el juicio de proporcionalidad y necesidad que exige el principio de calidad de los datos, no tanto en relación con la finalidad judicial perseguida con la notificación del parte médico de lesiones, sino por la posible incorporación o conservación de este junto con la historia clínica de la víctima.

En este sentido, al tratarse de un documento médico-legal y no sanitario, cuya finalidad es exclusivamente judicial y no asistencial, sería conveniente eliminar de la copia conservada en el centro la información relativa al presunto agresor, ya que no responde a la finalidad de los datos recogidas con una finalidad médico-asistencial.

Asimismo, por extensión al supuesto planteado, se recomienda retirar de la copia de la historia clínica que se entregue a la paciente dicha información, ya que facilitársela podría vulnerar el derecho a la confidencialidad de los datos referentes a terceras personas.

3) En los casos de órdenes de alejamiento relacionadas con un usuario del centro sanitario, ya sea por malos tratos, acoso, violencia de género, etc., ¿es posible informar de ello a todos los empleados, incluidos los que no tienen acceso a datos de carácter personal (por ejemplo, personal de limpieza)?

La información debe trasladarse a todo el personal que tenga la función de identificar a los visitantes y tomar decisiones sobre el acceso al centro. En este sentido, hay que tener en cuenta que todo el personal —tanto el que tiene acceso a datos personales como el que no lo tiene— ha de haber suscrito un compromiso de confidencialidad.

De este modo, de conformidad con las acciones mínimas que deben llevarse a cabo en el sistema sanitario —definidas en el Protocolo de actuación sanitaria ante la violencia machista en las Islas Baleares—, se debe mantener la privacidad y la confidencialidad de la información obtenida y establecer una coordinación con otros profesionales y otras instituciones. Asimismo, si se detecta un caso de violencia de género hay que seguir las recomendaciones de actuación descritas en dicho protocolo.

4) ¿Debe atenderse la solicitud de supresión del contenido completo de la historia clínica de un paciente?

Según el artículo 17 del RGPD, el interesado tiene derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernen. Cuando el tratamiento de los datos sea necesario para cumplir una obligación legal que requiera el tratamiento de datos impuesto por el derecho de la Unión Europea que se aplique al responsable de tratamiento o para formular, ejercer o defender una reclamación, el responsable de tratamiento no está obligado a suprimir los datos personales por una simple solicitud del interesado.

El artículo 6 de la Ley 14/1986, de 25 de abril, general de sanidad, dispone que las actuaciones de las administraciones públicas sanitarias deben estar orientadas a garantizar la asistencia sanitaria en todos los casos de pérdida de la salud.

Por otra parte, el artículo 15 de la LAP señala que la historia clínica tiene que incorporar la información que se considere trascendental para el conocimiento veraz y actualizado del estado de salud del paciente y que la finalidad principal de esta es facilitar la asistencia sanitaria, dejando constancia de todos los datos que, bajo criterio médico, permitan conocer de manera veraz y actualizada el estado de salud. El artículo 17 establece la obligación de conservar la documentación clínica para la debida asistencia al paciente durante el tiempo adecuado a cada caso, que ha de ser de cinco años, como mínimo. No obstante, el apartado 2 del mismo artículo añade a la obligación de conservación que la documentación clínica también debe conservarse a efectos judiciales de conformidad con la legislación vigente.

En este mismo sentido, el artículo 32 de la LOPDGDD establece que el responsable del tratamiento está obligado a bloquear los datos cuando los rectifique o los suprima. En el apartado 2 del mismo artículo se define como bloqueo de datos la identificación y la reserva de los datos rectificados o suprimidos adoptando las medidas técnicas y organizativas para impedir su tratamiento —incluida la visualización—, excepto para poner los datos a disposición de los tribunales, el Ministerio Fiscal o las administraciones públicas competentes —en particular las autoridades de protección de datos— para exigir posibles responsabilidades derivadas del tratamiento y solo por el plazo de prescripción de estas. Una vez transcurrido ese plazo hay que destruir los datos.

En este aspecto se debe tener en consideración el plazo de prescripción de cinco años de conservación de la información establecido por el artículo 1964 del Código civil porque, si se presenta una reclamación contra un profesional sanitario por una supuesta responsabilidad contractual, la historia clínica sirve como medio de prueba en los procesos de prueba sobre responsabilidad civil.

De todo ello se desprende que el derecho a la asistencia sanitaria no podría garantizarse si determinados profesionales no pudieran tener acceso al conjunto de información incluida en una historia clínica. Por ello, el derecho de rectificación y/o el de supresión de datos de una historia clínica puede estar limitado, porque según la Guía para pacientes y usuarios de la sanidad, si se trata de datos médicos será el facultativo o la administración sanitaria los que decidan si se rectifican o cancelan. Para ello debe analizarse con rigurosidad cada caso siguiendo el procedimiento siguiente:

• Un médico funcional debe valorar si la información asistencial que se quiere suprimir en la historia clínica del paciente es necesaria y esencial para garantizar una asistencia sanitaria correcta.
• En relación con la valoración anterior:
  • Si se considera que la información clínica asistencial que quiere eliminarse es necesaria y esencial para garantizar una asistencia sanitaria correcta, se debe desestimar la solicitud del ejercicio del derecho de supresión.
  • Si el médico funcional estima que la información asistencial que se solicita suprimir no es necesaria ni esencial para garantizar una asistencia sanitaria correcta debe consultarse la fecha del proceso asistencial correspondiente a la información que se quiere eliminar.
  • Si esta fecha es inferior o igual a cinco años desde la fecha actual (plazo mínimo de conservación de los datos en la historia clínica del paciente según el artículo 17 de la LAP), la información no se puede suprimir de la historia clínica ni bloquear hasta que venza el plazo de prescripción; una vez superado, la información debe suprimirse totalmente. En este sentido, es recomendable consultar la Política de conservación del Servicio de Salud de las Islas Baleares, en la que figura una tabla que indica los plazos máximos de conservación de los datos personales en función de las distintas actividades de tratamiento que se desarrollan en el Servicio de Salud.

5) En un centro sociosanitario, ¿es posible cancelar/suprimir determinados datos de un usuario si lo solicita?

Pongamos como ejemplo el caso de un usuario que no quiere que consten algunos datos de tipo social —por ejemplo, que sus hijos no lo visitan—, considerados imprescindibles para prestar la debida atención dado que reflejan los apoyos familiares.

En este caso no es posible suprimir los datos. Dado que el consentimiento no es la base jurídica del tratamiento, no es posible revocar el consentimiento ni oponerse al tratamiento de los datos sin ponderar este derecho con la base jurídica que avala el tratamiento. A todos los efectos, la base jurídica se encontrará en el cumplimiento de una obligación legal aplicable al responsable del tratamiento, pues debe mantenerse la autenticidad de la historia sociosanitaria.

La solicitud debe ser contestada motivando las razones por las que no se cancelan los datos, de acuerdo con lo que prevé el Protocolo de actuación en el ejercicio de derechos de los interesados.

Una cautela apropiada podría ser marcar estos datos como confidenciales y establecer mecanismos para que solo sean consultados cuando sea estrictamente necesario y, en cada uno de los accesos, advertir de su carácter especialmente sensible por medio de un mensaje al profesional que accede a ellos.

6) Si los padres de un paciente menor de edad están separados, ¿pueden ejercer el derecho de acceso a la historia clínica de su hijo o hija?

Se deben tener en consideración distintos criterios de edad:

1. Según la LAP, los menores de edad emancipados o que tengan dieciséis años cumplidos pueden prestar consentimiento informado sin necesidad de representante.
2. Los menores que tengan catorce años cumplidos pueden ejercer los derechos de protección de datos sin necesidad de representante.
3. Los menores que tengan doce años cumplidos tienen derecho a ser escuchados en relación con las actuaciones que puedan afectar a su salud, pero el consentimiento debe prestarlo un representante legal.

Para responder la pregunta planteada, si el menor está emancipado o tiene catorce años cumplidos, el ejercicio del derecho de acceso a la historia clínica no se ejerce mediante un representante legal, sino que es necesario que el menor dé consentimiento o que sea representado por una persona que haya designado.

En cambio, si el menor tiene catorce años, cada uno de los padres puede ejercer el derecho de acceso a la información asistencial de su historia clínica siempre que ambos tengan la potestad parental; pero si los padres están separados, debe acreditarse la potestad parental presentando un documento judicial (sentencia o auto que aprueben el convenio regulador) que haga referencia a esta condición.

No obstante, hay que tener en cuenta lo que establece la Guía para pacientes y usuarios de la sanidad sobre el acceso de los padres a la historia clínica de los hijos menores que tengan entre catorce y dieciocho: «El Código civil establece que la patria potestad se ejerce en beneficio de los hijos menores de edad; así mismo, los padres tienen que velar por ellos, alimentarlos y educarlos. El acceso a la información sanitaria es fundamental para velar por los menores. Está limitado el derecho a las personas que ostentan la patria potestad, no a otros familiares».

7) ¿Qué debe hacerse si la solicitud de ejercicio de derechos se cursa por un medio diferente al establecido por el Servicio de Salud?

Tal como establece el artículo 12.2 de la LOPDGDD, «el responsable del tratamiento estará obligado a informar al afectado sobre los medios a su disposición para ejercer los derechos que le corresponden. Los medios deberán ser fácilmente accesibles para el afectado. El ejercicio del derecho no podrá ser denegado por el solo motivo de optar el afectado por otro medio».

Actualmente, el Servicio de Salud pone a disposición de los interesados la posibilidad de solicitar el ejercicio de estos derechos por medio de los servicios responsables de cada gerencia, para lo cual ha diseñado formularios en los que se concreta la información que el interesado ha de aportar para cursar la solicitud.

Si el interesado opta por contactar por otros medios (por correo electrónico, por teléfono…), cada gerencia del Servicio de Salud estará obligada a atender la solicitud indicando toda la información que el interesado ha de aportar para cursar la solicitud.

8) ¿Qué diferencia hay entre una solicitud de revisión de accesos a la historia clínica y una solicitud de acceso a la historia clínica?

La solicitud de acceso a la historia clínica es un derecho de protección de datos establecido y regulado por el RGPD y la LOPDGDD. El interesado tiene derecho a obtener del Servicio de Salud el acceso a los datos personales que le conciernen y a la información siguiente sobre dichos datos: fines del tratamiento; categorías de los datos; destinatarios de los datos; plazo previsto de conservación; posibilidad de solicitar al responsable que rectifique o suprima los datos personales o que limite el tratamiento; posibilidad de oponerse al tratamiento; derecho a presentar una reclamación ante una autoridad de control; información sobre el origen de los datos, e información sobre posibles trasferencias internacionales.

Las solicitudes para ejercer el derecho de acceso se reciben en cada gerencia y es responsabilidad de cada una tramitarlas y resolverlas, para lo cual las gerencias tienen un plazo de un mes desde el momento en que las reciben. No obstante, dicho plazo puede prorrogarse dos meses por motivo de la complejidad o el número de solicitudes recibidas.

En cambio, una solicitud de revisión de accesos a la historia clínica se refiere a la lista de todos los profesionales que hayan accedido a la historia clínica de un paciente. Estas solicitudes se presentan en cada gerencia, pero estas las envían a la Oficina de Seguridad para que las revise. La Oficina de Seguridad proporciona los accesos y emite los informes correspondientes junto con el modelo de respuesta que debe darse al interesado. Toda esta información se remite a la gerencia correspondiente para que investigue los posibles accesos indebidos y para que su departamento de atención al usuario contacte con el interesado para darle la respuesta a la solicitud. En este caso no hay ninguna norma que establezca un plazo de respuesta.

9) En el caso de un menor que tenga catorce años cumplidos, ¿es necesario que autorice a sus tutores legales para que puedan ejercer los derechos del menor en representación de este?

El artículo 154 del Código civil habilita el acceso de los padres a la información sanitaria de los hijos sobre los que tengan la potestad parental a fin de velar adecuadamente por su salud, en cumplimiento de las obligaciones que les impone precisamente la potestad parental. La habilitación para acceder al historial clínico se refiere solo a los titulares de la potestad parental, no a cualquier familiar del menor. 

Por su lado, el menor de edad puede ejercer el derecho de acceso a su historia clínica a partir de los catorce años, pero no puede entenderse como una limitación del derecho de los titulares de la potestad parental del menor no emancipado a acceder a su historia clínica.

Las reclamaciones en los casos de negativa de entregar las historias clínicas de los menores a los progenitores que tengan la potestad parental deben dirigirse a las autoridades sanitarias o judiciales correspondientes.

8. Acceso y conservación de historias clínicas

1) ¿Qué requisitos debemos comprobar antes de habilitar a los psicólogos para acceder a la historia clínica con funciones de inspección?

Con carácter general, la LAP habilita el acceso a las historias clínicas al personal sanitario acreditado debidamente que tenga funciones de inspección, evaluación, acreditación y planificación, para comprobar la calidad de la asistencia, si se respetan los derechos de los pacientes/usuarios y si se cumple toda obligación del centro con estos o con la propia administración sanitaria.

En este sentido, la normativa establece que los psicólogos que trabajen en centros, establecimientos o servicios del Sistema Nacional de Salud (SNS) —o en centros concertados con este— para ofrecer las prestaciones sanitarias derivadas de la cartera de servicios comunes del SNS que les correspondan han de tener el título oficial de psicólogo/psicóloga especialista en psicología clínica. Pero si no trabajan en el marco de la cartera de servicios comunes del SNS, para tener la consideración de profesionales sanitarios han de tener también el título oficial de máster en Psicología General Sanitaria.

2) ¿Qué se entiende por anotación subjetiva?

Una anotación subjetiva son las impresiones o valoraciones personales que un profesional sanitario hace constar en una historia clínica que no están basadas directamente en datos objetivos ni en pruebas complementarias sino exclusivamente en su propia percepción, pero que son de interés para atender a un paciente, aunque no pueden tener la consideración de diagnóstico. Debe abstenerse de incluir expresiones, comentarios o datos que no tengan relación con la asistencia sanitaria del paciente o que no tengan trascendencia para saber de manera veraz y actualizada el estado de salud del paciente.

Al respecto, la Guía para pacientes y usuarios de la sanidad establece que los profesionales sanitarios que elaboren la documentación de una historia clínica pueden oponer la reserva de sus anotaciones subjetivas al derecho de acceso a dicha documentación.

3) ¿Quién debe revisar el contenido de la historia clínica antes de facilitar una copia al paciente?

De acuerdo con el artículo 18.3 de la LAP, hay que tener en cuenta dos limitaciones importantes para recopilar la información que se entregará al paciente:

• Anotaciones subjetivas: se reconoce el derecho a eliminar las anotaciones subjetivas de la documentación que se entregará.
• Datos relativos a terceras personas implicadas en el diagnóstico o conocimiento del paciente: no se pueden facilitar datos de terceras personas que puedan incluirse en la historia de un paciente por interés terapéutico. Esta información debe ocultarse o eliminarse antes de entregar la documentación al paciente.

Por ello se considera que lo más adecuado es que la dirección médica o el coordinador del centro revise la documentación que se entregará y retire dichos datos i anotaciones.

4) ¿Se puede facilitar al paciente la información relativa a los procesos asistenciales de psiquiatría o psicología?

Dado que el paciente tiene el derecho de acceder a la documentación de su historia clínica, ello incluye la información relativa a los procesos asistenciales de psiquiatría o psicología. Por lo tanto, se reconoce el derecho de acceso al contenido de esta información aunque esté en un soporte separado del resto del contenido de la historia clínica o en historias clínicas separadas. 

No obstante, en estos casos hay que prestar una atención especial a las limitaciones al derecho de acceso, porque hay que separar la información relativa a terceras personas implicadas en el diagnóstico o el reconocimiento del paciente, de manera que no se faciliten sus datos que consten en la historia clínica del paciente. Es decir, estos datos no pertenecen al paciente y no es posible facilitárselos, de modo que deben ocultarse o eliminarse antes de entregarle la documentación.

5) ¿Son posibles los tratamientos con fines de investigación médica en un centro sociosanitario?

Sí, de conformidad con el artículo 9.2.j) del RGPD, está permitido el tratamiento de categorías especiales de datos para fines de investigación científica, sobre la base del derecho de la Unión Europea o de sus estados miembros, siempre que se cumplan estas condiciones:

• El tratamiento ha de ser proporcional al objetivo establecido.
• Debe respetarse la protección de datos en lo esencial.
• Hay que establecer medidas adecuadas y específicas para proteger los intereses y los derechos fundamentales del interesado.
• Los tratamientos han de supeditarse a las garantías adecuadas, a la normativa sectorial sanitaria, a la LAP y, en particular, a la disposición adicional decimoséptima de la LOPDGDD disponiendo medidas técnicas y organizativas adecuadas, sobre todo para garantizar la minimización de los datos.

6) ¿Durante cuánto tiempo deben conservarse la documentación y las muestras de anatomía patológica?

Según las conclusiones de conservación de muestras y documentos en anatomía patológica del Libro blanco de la Sociedad Española de Anatomía Patológica, con carácter general se recomiendan los plazos de conservación siguientes:

• Informes: diez años desde el diagnóstico, como mínimo.
• Bloques de parafina: diez años, como mínimo.
• Peticiones: hasta el diagnóstico, como mínimo.

Por otro lado, el artículo 17 del RGPD establece que el paciente tiene derecho a que el responsable del tratamiento de sus datos los suprima sin dilación indebida cuando ya no sean necesarios para las finalidades para las que fueron recogidos. En este mismo sentido, el artículo 32 de la LOPDGDD determina que el responsable del tratamiento está obligado a bloquear los datos cuando sea procedente rectificarlos o suprimirlos. (Véase la definición de bloqueo de datos en el punto 4 del capítulo «Ejercicio de derechos de protección de datos»). Transcurrido ese plazo deben destruirse los datos, de conformidad con las instrucciones definidos en el Procedimiento de destrucción de documentos y soportes con datos personales del Servicio de Salud de las Islas Baleares.

Respecto a las peticiones, no hay regulación específica al respecto. Siguiendo la recomendación de la Sociedad Española de Anatomía Patológica, parece adecuado conservarlas hasta el diagnóstico, como mínimo.

7) ¿Qué hay que tomar principalmente en consideración al habilitar el acceso a la historia clínica con fines de investigación y/o docencia?

De acuerdo con el Protocolo de protección de datos en proyectos de investigación y docencia, hay que tratar los datos en un entorno con datos disociados. De acuerdo con la LAP, el acceso a la historia clínica con fines de investigación o docencia se rige por la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (actualmente derogada casi totalmente por la LOPDGDD), y la Ley 14/1986, de 25 de abril, general de sanidad, y el resto de normas aplicables en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente separados de los de carácter clínico-asistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el paciente haya dado consentimiento para no separarlos.

Para ello hay que tratar los datos de forma disociada, a fin de que no sea posible identificar al interesado, es decir, que no sea posible establecer por medios razonables el nexo entre un dato y una persona identificada o identificable gracias al hecho de haber destruido el nexo con toda información que identifique al interesado o que la asociación exija un esfuerzo (plazo de tiempo o gasto) desproporcionado.

Adicionalmente, en el protocolo citado se establece el procedimiento de autorización y registro de accesos a la historia clínica a fin de controlar los que tengan la finalidad descrita, pero el tratamiento disociado de los datos es esencial si no se puede conseguir el consentimiento del paciente.

8) ¿Se puede facilitar el acceso a la historia clínica de un paciente fallecido?

De acuerdo con el artículo 3 de la LOPDGDD, los centros sanitarios y los facultativos de ejercicio individual solo pueden facilitar el acceso a la historia clínica de un paciente fallecido a las personas vinculadas a este por razones familiares o de hecho, y a los herederos de aquel, salvo que el paciente fallecido lo hubiese prohibido expresamente o así lo establezca una ley.

Al respecto, la AEPD ha manifestado en la Guía para pacientes y usuarios de la sanidad que «los centros sanitarios y los facultativos de ejercicio individual solo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso, el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros. Salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a la historia clínica».

9) ¿Puedo acceder a la historia clínica de un amigo o de un familiar suyo si aquel me lo pide para informarle de su estado de salud?

No, usted solo puede acceder a la información que necesite para desempeñar sus funciones. Si un amigo le pide esa información, indíquele que no está autorizado y que puede solicitarla formalmente a su facultativo.

En este sentido se ha expresado la AEPD en la Guía para pacientes y usuarios de la sanidad:

Cuando un profesional sanitario accede a una historia clínica debe hacerlo porque es necesario para realizar su trabajo. No es lícito que acceda por curiosidad, para facilitar información de un paciente a un conocido, vecino…

La Agencia Española de Protección de Datos ha sancionado, en numerosas ocasiones, a los Servicios de Salud de las distintas Comunidades Autónomas donde trabajaba el profesional que accedió indebidamente a la historia clínica de un usuario al entender que, como responsable del tratamiento, no había establecido las medidas de seguridad adecuadas para evitarlo.

[…] Además, hay que señalar que el profesional sanitario que accede ilícitamente a datos de salud puede incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado en el Código Penal. Una Sentencia del Tribunal Supremo (hay varias) ratificó la condena a un médico que accedió a las historias de pacientes de sus colegas del centro de salud, sin que fueran pacientes suyos.

10) ¿Es factible facilitar datos de salud de un paciente y de sus hijos a la Comisión de Tutela del Menor?

Sí, siempre que lo haya autorizado el responsable del tratamiento, puesto que existe habilitación legal.

11) ¿Cuál es el periodo de conservación y retención de la documentación clínica?

Plazo de conservación de historias clínicas activas

La normativa aplicable es la LAP, cuyo artículo 17.1 determina la obligación de conservar la documentación clínica durante el tiempo adecuado a cada caso y, como mínimo, cinco años desde la fecha del alta de cada proceso asistencial. En este sentido, si el paciente no solicita que se suprima cierta información de su historia clínica, esta debe conservarse hasta que deje de ser necesaria para procesos asistenciales futuros.

Así pues, si a criterio del facultativo se considera que la información de la historia clínica es relevante a efectos preventivos, asistenciales o epidemiológicos puede conservarse durante el tiempo que se considere oportuno, que podría ser toda la vida del paciente.

Plazo de conservación de historias clínicas de pacientes fallecidos

Tras el fallecimiento del paciente, la información que contiene la historia clínica deja de ser necesaria para la finalidad de prestarle una asistencia sanitaria adecuada; por ello debe suprimirse una vez que hayan transcurrido cinco años desde la fecha del fallecimiento.

No obstante, de conformidad con el artículo 17.2 de la LAP hay ciertas excepciones que pueden justificar prolongar el plazo de conservación cuando sea necesario:

1. A efectos judiciales:
   • De conformidad con la normativa aplicable en materia de protección de datos en estos supuestos, los datos deben mantenerse debidamente bloqueados durante el plazo de prescripción aplicable, o hasta que finalice el proceso judicial o el procedimiento administrativo correspondientes.
   • En relación con el plazo de prescripción en procesos judiciales sobre responsabilidad civil, es de cinco años desde que pueda exigirse el cumplimiento de la obligación (artículo 1964 del Código civil). No obstante, si se toma en consideración que las historias clínicas pueden ser consideradas como elemento probatorio de un delito, también hay que tener en cuenta la vía penal, y entonces debe conservarse la documentación clínica como mínimo hasta que el delito haya prescrito, un plazo que puede llegar hasta los veinte años, como máximo (artículo 131 del Código penal).
2. Por razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud: en relación con este supuesto hay que tener en cuenta que el artículo 17.2 de la LAP exige que el tratamiento se haga de manera que se evite en lo posible identificar a las personas afectadas. En estos casos, la Guía para pacientes y usuarios de la sanidad prevé que los datos personales puedan pseudonimizarse, es decir, separar los datos identificativos del paciente de los de salud, aunque puedan volverse a asociar si es necesario.

Por todo ello las historias clínicas de los pacientes fallecidos pueden conservarse durante más tiempo. Según la Comisión Central de Deontología, aunque el Código de Ética y Deontología Médica de la Organización Médica Colegial de España, al igual que otros códigos deontológicos europeos, no establece la extensión temporal del deber de los médicos de conservar las historias clínicas de sus pacientes, estas deberán conservarse al menos 20 años desde el fallecimiento del paciente.

9. Derecho a la propia imagen y grabaciones

1) ¿Está permitido que un usuario tome fotografías de empleados en las instalaciones de un centro sanitario para denunciar o presentar una queja por la atención o el servicio recibidos?

El derecho de imagen que resultaría afectado por la captación de las fotografías está regulado por la Ley orgánica del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Tomar fotografías se considera una intromisión ilegítima en este derecho —en particular de los empleados que trabajan en el centro, extensible también, por ejemplo, a usuarios, familiares de pacientes, etc.— cuando el titular del derecho (es decir, el empleado fotografiado) no haya dado consentimiento expresamente para hacerle fotografías, salvo en las excepciones previstas por la Ley:

1. Personas que ocupen un cargo público o una profesión de notoriedad o proyección pública, siempre que la imagen se capte durante un acto público o en lugares abiertos al público.
2. En los casos de información gráfica sobre un suceso o acontecimiento público, si la imagen de una persona determinada aparece como meramente accesoria.

Como a priori no se puede saber si se trata de uno de los dos supuestos excepcionales, tomar estas fotografías es una intromisión ilegítima en el derecho a la propia imagen de la persona afectada, por lo que está prohibido.

Asimismo, la AEPD manifiesta que «parece difícil entender que la captación de imágenes o videos por particulares de los empleados públicos sea realizada en el ámbito de la esfera íntima de aquellos particulares, en las relaciones familiares o de amistad. Solo el hecho de que las grabaciones sean realizadas en el ámbito laboral, en el lugar donde los empleados públicos prestan sus servicios, y sin relación alguna con ellos que exceda de la puramente profesional, parece llevarnos a la conclusión que en el supuesto planteado no es de aplicación la excepción doméstica. En definitiva, si las imágenes captadas o grabadas por particulares no se refieren a su esfera más íntima, serán de aplicación las normas sobre protección de datos personales, tanto para la obtención de la imagen como para su difusión o publicación posterior». Si las imágenes se utilizan para fines concretos —para presentar denuncias en expedientes disciplinarios o incluso penales contra determinados empleados públicos, o para difundirlas por internet, por ejemplo— hay que actuar de la manera siguiente:

• Cumplir el principio de transparencia e información, de conformidad con el artículo 11 de la LOPDGDD, informando al interesado sobre el tratamiento que se aplicará a los datos que le conciernan (finalidad del tratamiento y otros aspectos indicados en el apartado 2 del artículo citado).
• Cumplir el principio de minimización de los datos establecido en el artículo 5.1.c) del RGPD, que determina que los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; por lo tanto, la finalidad de la captación ha de existir y ser legítima; en caso contrario, no se puede llevar a cabo el tratamiento.
• Tratar los datos lícitamente, de conformidad con el artículo 6 del RGPD, solicitando el consentimiento para fines específicos.

2) ¿Está permitido grabar conversaciones con el personal del centro sanitario?

De conformidad con la jurisprudencia, deben distinguirse dos supuestos: por una parte, la grabación de una conversación de otros y, por otra, la grabación de una conversación mantenida con otros. En el segundo caso no se infringe el secreto de las comunicaciones. En concreto, tal como se ha expuesto en varias sentencias, «la grabación de una conversación privada por un interlocutor que participa en la misma no puede considerarse obtenida ilícitamente por cuanto no puede vulnerar el derecho al secreto de las comunicaciones quienes son destinatarios de las mismas» (Sentencia del Tribunal Supremo 652/2016).

No obstante, aunque sea legal que alguno de los interlocutores de una conversación la grabe sin recabar previamente el consentimiento de los otros, difundirla sin consentimiento sí es una conducta delictiva. En este sentido se ha pronunciado el Tribunal Supremo (STS 652/2016): «El acto de la grabación por uno de los interlocutores de la conversación no conculca secreto alguno impuesto por el art. 18.3 y tan solo, acaso, podría concebirse como conducta preparatoria para la ulterior difusión de lo grabado. Por lo que a esta última dimensión del comportamiento considerado se refiere, es también claro que la contravención constitucional sólo podría entenderse materializada por el hecho mismo de la difusión (art. 18.1 CE)».

Así pues, para difundir grabaciones hechas a profesionales de los centros sanitarios del Servicio de Salud se necesita previamente su consentimiento; en caso contrario, sería una vulneración del derecho al honor y a la intimidad. De este modo, los profesionales sanitarios no pueden negarse a que sus pacientes graben las conversaciones que mantienen con ellos, pero sí pueden negarse a que se difundan.

Sin embargo, debe tenerse en cuenta que estas grabaciones —en las que la persona que graba es parte de la grabación— pueden utilizarse como medio probatorio en un procedimiento judicial.

En ambos supuestos, el personal sanitario no puede negarse a prestar la asistencia médica.

3) ¿Se pueden publicar en un blog de internet fotografías de pacientes o usuarios tomadas en las instalaciones de un centro sanitario?

El derecho de imagen que resultaría afectado por la captación de las fotografías está regulado por la Ley orgánica del derecho al honor, a la intimidad personal y familiar y a la propia imagen, de manera que el supuesto planteado sería una intromisión ilegítima en este derecho si el titular del derecho (en este caso, el paciente afectado o cualquier otra persona que aparezca en la fotografía) no haya dado consentimiento expresamente para que se tome y se publique. Incluso si la fotografía está tomada durante una actividad que forme parte de un programa o una iniciativa del centro —en este caso sería el centro quien incurriría en responsabilidad por la intromisión— es necesario el consentimiento expreso de las personas que aparecen en la fotografía. No obstante, dar este consentimiento es revocable; por tanto, también deben retirarse las fotografías de las personas que, aun habiendo consentido que se publiquen, expresen oposición a mantenerlas publicadas.

Por otro lado, si se trata de actividades o iniciativas privadas —que se desarrollan en el ámbito exclusivamente personal o doméstico de un grupo de personas— conviene advertir de la conveniencia de retirar las fotografías publicadas sin el consentimiento expreso de las personas que aparezcan en ellas, sobre todo en los casos en que alguna haya manifestado oposición a publicarlas.

4) ¿Pueden instalarse cámaras de videovigilancia en un centro sanitario?

Suelen estar en los lugares de acceso, en los pasillos y en las salas, pero no dentro de las consultas.

Las cámaras de videovigilancia tienen la finalidad de garantizar la seguridad de las personas y de las instalaciones; por lo tanto, pueden instalarse siempre que se informe de ello (habitualmente con un cartel). Se puede solicitar información de las finalidades de las cámaras, durante cuánto tiempo se conservan las grabaciones, sobre la posibilidad de ejercer los derechos correspondientes y sobre el responsable de la instalación.

5)¿Se puede instalar una cámara web para observar una sala de pacientes psiquiátricos con el fin de valorar el nivel de agresividad?

De acuerdo con el Procedimiento de adecuación del tratamiento de sistemas de videovigilancia del Servicio de Salud, para instalar cámaras de videovigilancia es necesario examinar de forma crítica si es adecuado para lograr el objetivo y si es necesario en relación con ese objetivo.

En este sentido, instalar una cámara web en una sala de pacientes psiquiátricos para evitar agresiones se enmarca en la finalidad de preservar la seguridad de las personas y de los bienes y las instalaciones. Por lo tanto, en principio se puede instalar una cámara web.

Para considerar si la videovigilancia es una medida apropiada, necesaria y proporcional hay que comprobar si se cumplen los requisitos siguientes:

• Si la medida es susceptible de lograr el objetivo propuesto (juicio de idoneidad).
• Si, además, es necesaria, en el sentido de que no haya otra medida más moderada para conseguir el objetivo con igual eficacia (juicio de necesidad).
• Si es ponderada o equilibrada por el hecho de derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

La duda es si es posible observar a los pacientes psiquiátricos por otros medios, como a través de un cristal-espejo desde una sala contigua. Si se puede instalar este sistema u otro similar, se recomienda vigilar la sala de este modo, pues no supone un tratamiento de datos de carácter personal. Si no es posible, la alternativa sería la cámara web teniendo en cuenta que, tanto si se visualizan las imágenes en tiempo real como si se graban, supone un tratamiento de datos personales, del cual hay que informar por medio de los carteles oportunos: expuestos en lugares visibles y notificando el tratamiento, la identidad del responsable y la posibilidad de ejercer los derechos de protección de datos.

6) ¿Se puede acceder a grabaciones captadas por cámaras de videovigilancia cuando se tengan sospechas de algún incidente (p. ej., rotura de una puerta)?

Según el Procedimiento de adecuación del tratamiento de videovigilancia del Servicio de Salud, el responsable de tratamiento puede acceder a las grabaciones en vídeo siempre que esté legítimamente justificado y que la finalidad sea la misma por la que se recogieron los datos. Se puede considerar el ejemplo planteado en el enunciado de la pregunta como legítimo y con la misma finalidad (preservar la seguridad de las personas, los bienes y las instalaciones).

7) ¿Puede el interesado solicitar el acceso a las grabaciones de cámaras de videovigilancia en las que aparezca? En caso afirmativo, ¿en qué condiciones?

De acuerdo con el Procedimiento de adecuación del tratamiento de videovigilancia del Servicio de Salud, si un interesado —como particular— solicita una copia de los datos, el responsable del tratamiento ha de tener en cuenta que en algunos casos puede suponer la vulneración de los derechos de otras personas que también aparezcan en las grabaciones. Por ello, en este caso hay que tomar las medidas oportunas para entregar únicamente grabaciones en las que no se pueda identificar a otras personas físicas o bien enmascarar su rostro para que no sean identificables.

Si es necesario saber la identidad de otra persona para poder llevar a cabo determinadas acciones judiciales y/o contractuales, el acceso a las imágenes está legitimado siempre que la finalidad de la comunicación de los datos sea compatible con la finalidad para la que se recogieron. Por ejemplo, si el sistema de videovigilancia está instalado con fines de seguridad, pueden cederse imágenes si el interés legítimo invocado por el solicitante se refiere al ejercicio del derecho fundamental a la tutela judicial efectiva, en la medida que las imágenes se utilizarán para obtener pruebas para formular una denuncia por delito o una reclamación por responsabilidad contractual o extracontractual a una compañía de seguros, ya que sería compatible con la finalidad inicial.

8) ¿Qué se puede hacer si, en un acto en el centro sanitario con público, un usuario es grabado por algún asistente pero aquel (o su tutor) no ha dado consentimiento para el tratamiento de las imágenes?

Se recomienda que, en dichos actos, el centro sanitario informe sobre la posibilidad de que los asistentes tomen imágenes para uso doméstico, lo cual está fuera del ámbito de aplicación del RGPD según su artículo 2.2.c), que establece la inaplicabilidad de esta norma al tratamiento de datos personales recogidos por una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Igualmente es una buena práctica informar antes de empezar el acto (por ejemplo, con carteles) de que la grabación solo puede reproducirse en el ámbito doméstico (actividades privadas, familiares y de amistad) y no públicamente.

Adicionalmente, si se trata de actividades o iniciativas privadas —en el sentido de que se hagan en el ámbito exclusivamente personal o doméstico de un grupo de personas—, hay que advertirlas de que conviene retirar las imágenes publicadas sin el consentimiento expreso de las personas que aparecen en ellas, especialmente si alguna ha manifestado oposición a publicarlas.

9) Si, en un acto en el centro sanitario con público, el personal del centro capta imágenes de los asistentes, ¿se pueden publicar en un blog de internet?

Siempre hay que informar a los asistentes (o a sus representantes legales o tutores en caso de incapacitación legal de aquellos) sobre la finalidad de la captación de las imágenes y de la difusión que se pretende hacer, es decir, si se publicarán en internet (web, redes sociales…) o en cualquier otro medio de publicación, y pedirles su consentimiento inequívoco y explícito.

El derecho de imagen que sería afectado si se publican estas imágenes está regulado en la Ley orgánica del derecho al honor, a la intimidad personal y familiar y a la propia imagen. Captar y difundir imágenes se considerará una intromisión ilegítima en este derecho si el titular del derecho (en este caso, cualquier persona que aparezca en las imágenes) no ha dado consentimiento expreso para tomarlas y publicarlas. En este sentido, si el acto forma parte de un programa o iniciativa del centro —en este caso, sería el centro quien incurriría en responsabilidad por la intromisión— hay que tener el consentimiento expreso de las personas que aparezcan en las imágenes. No obstante, el consentimiento es revocable; por lo tanto, también hay que retirar las imágenes de las personas que, aun habiendo consentido la publicación, expresen oposición a mantenerlas publicadas.

Si no se obtiene el consentimiento o se deniega, de acuerdo con el Plan de inspección de oficio de la atención sociosanitaria, de la AEPD, hay que publicar las imágenes de manera que no sea posible identificar a las personas que aparecen (por ejemplo, pixelándolas).

10) ¿Se pueden instalar cámaras de videovigilancia dentro de las ambulancias?

Si se instalan con la finalidad de vigilancia y seguridad de personas, bienes e instalaciones, es el mismo tratamiento de la videovigilancia, por lo que se pueden instalar con este fin, tal como recoge el Procedimiento de adecuación del tratamiento de videovigilancia del Servicio de Salud.

Si se requiere videovigilancia con otra finalidad, hay que valorar la necesidad de la instalación y la base legal para el tratamiento. Para ello recomendamos contactar con la Oficina de Seguridad (Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.).

11) ¿Cuál es la finalidad del tratamiento de datos personales recogidos por cámaras térmicas?

En la toma de la temperatura por medio de cámaras térmicas no se registran ni almacenan en ningún sistema datos sobre la temperatura corporal. Si se detecta que una persona tiene una temperatura elevada y esta acude al centro sanitario como paciente, los datos relacionados con su temperatura corporal serán registrados en su historia clínica para garantizar una asistencia sanitaria correcta.

10. Otras preguntas

Con carácter general, se puede diferenciar entre información pública (información publicada a disposición del público) e información confidencial, clasificada en tres niveles: uso interno, uso restringido y uso altamente restringido. Tan solo en el caso de la información pública no se establecen restricciones en cuanto al tratamiento, las copias o el reciclado. Para el resto de la información, sí hay que seguir lo que estipula el Procedimiento de destrucción de documentos y soportes con datos personales del Servicio de Salud de las Islas Baleares.

1) ¿Qué datos se pueden publicar en el censo de electores en unas elecciones sindicales?

El artículo 44 del Estatuto básico del empleado público regula el procedimiento para la elección de las juntas de personal y delegados de personal y establece los criterios generales siguientes:

• Son electores y elegibles los funcionarios que estén en la situación de servicio activo. No tienen la consideración de electores ni elegibles los funcionarios que ocupen puestos cuyo nombramiento se efectúe por medio de real decreto o por decreto de los consejos de gobierno de las comunidades autónomas y de las ciudades de Ceuta y Melilla.
• Pueden presentar candidaturas las organizaciones sindicales legalmente constituidas o las coaliciones de estas, y los grupos de electores de una misma unidad electoral, siempre que el número de ellos sea equivalente, al menos, al triple de los miembros que vayan a elegirse.
• Las juntas de personal son elegidas por medio de listas cerradas, por medio de un sistema proporcional corregido; y los delegados de personal son elegidos por medio de listas abiertas y sistema mayoritario.

Asimismo, el artículo 43 —relativo a la promoción de elecciones a delegados y juntas de personal— establece que «los legitimados para promover elecciones tendrán, a este efecto, derecho a que la administración pública correspondiente les suministre el censo de personal de las unidades electorales afectadas, distribuido por organismos o centros de trabajo».

En dicha normativa no se regula el contenido de la lista del censo electoral. Sin embargo, el artículo 6 del Reglamento de elecciones a órganos de representación de los trabajadores en la empresa establece el contenido del censo laboral, en el que deben constar, de todos los trabajadores, el nombre y los apellidos, el sexo, la fecha de nacimiento, el número del documento de identidad, la categoría o el grupo profesional y la antigüedad en la empresa.

Asimismo, teniendo en cuenta que en el artículo 1.2 de la Ley orgánica 11/1985, de 2 de agosto, de libertad sindical, se considera que son trabajadores tanto los que sean sujetos de una relación laboral como los que lo sean de una relación de carácter administrativo o estatutario al servicio de las administraciones públicas, podría asemejarse el contenido mínimo exigido en los censos laborales de elecciones a órganos de representación de los trabajadores en empresas a los que trabajen en el sector público.

En este sentido, la AEPD determina que este censo laboral debe ajustarse al modelo núm. 2 del anexo del Reglamento de elecciones a órganos de representación de los trabajadores en la empresa —publicado por medio del Real decreto 1844/1994, de 9 de septiembre—, en el que se detallan los datos personales pertinentes para esa finalidad (Resolución R/00485/2009, de 16 de marzo, en el procedimiento de declaración de infracción de administraciones públicas AP/00059/2008, instruido a la entidad Gerencia de Atención Primaria 061 Islas Baleares).

Asimismo, hay que tener en cuenta el principio de minimización de los datos, descrito en el artículo 5 del RGPD, en el que se señala que los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

2) ¿Es legítimo que comercios, centros de trabajo y otros establecimientos tomen la temperatura corporal de sus clientes o usuarios?

Tomar la temperatura corporal es un tratamiento de datos personales, por lo que se rige por los principios establecidos en el RGPD:

• Licitud, lealtad y transparencia: el tratamiento debe basarse en una causa legitimadora de las previstas en la normativa de protección de datos para las categorías especiales de datos (artículos 6.1 y 9.2 del RGPD). Esta base jurídica debe analizarse en cada caso y puede ser diferente en cada ámbito, pero aun así nunca puede basarse en el consentimiento del interesado, puesto que las personas no pueden negarse a que se les tome la temperatura corporal sin perder por ello la posibilidad de entrar en un centro de trabajo, en otros establecimientos o en medios de transporte.
• Limitación de la finalidad y minimización de los datos: los datos sobre la temperatura corporal solo pueden obtenerse con la finalidad específica de detectar posibles personas contagiadas y evitar que accedan a un lugar determinado y contacten ahí con otras personas. Estos datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, y no pueden ser utilizados para ninguna otra finalidad. Esto es especialmente aplicable en los casos en que la temperatura corporal se tome con algún dispositivo que puedan grabar y conservar los datos (como las cámaras térmicas) o tratar información adicional (en particular, información biométrica).
• Exactitud: los equipos de medición de la temperatura corporal han de ser adecuados para registrar con fiabilidad los intervalos de temperatura que se consideren relevantes.
• Limitación del plazo de conservación: es importante establecer plazos y criterios de conservación de los datos en los casos registrados. Según la AEPD, no deben conservarse salvo que pueda justificarse suficientemente por la necesidad de responder a eventuales acciones legales derivadas de la decisión de denegar el acceso a una persona por haberse negado que se le tome la temperatura corporal.

Asimismo, hay que tener en cuenta las medidas relativas a la información a los trabajadores, clientes o usuarios sobre estos tratamientos, en particular si se grabará y conservará la información, y otras medidas para permitir que las personas en quienes se haya detectado una temperatura superior a la normal puedan reaccionar a la decisión de impedirles acceder a un recinto (por ejemplo, justificando que su temperatura elevada es debida a otra razón).

3) ¿Se pueden poner carteles con el nombre y los apellidos de los usuarios de un centro sanitario en la puerta de las habitaciones para que no se extravíen o entren por error en otra habitación y para facilitar las visitas? ¿Se pueden poner carteles en las mesas del comedor con la identificación (nombre y apellidos o fotografía) de los usuarios e información sobre las alergias que padecen o sobre si tienen disfagia u otras características especialmente relevantes para las comidas?

Hay que valorar la necesidad de identificar a los pacientes o exponer los datos referidos en los diferentes momentos de la prestación del servicio, siempre considerando otras medidas menos intrusivas para la privacidad y que ofrezcan garantías de seguridad equivalentes. Por ejemplo, se podría valorar la alternativa de poner el número de la habitación en una ficha o un distintivo que el usuario lleve encima.

Sobre la información que se puede mostrar en el comedor a que se refiere la pregunta, debe ser la mínima necesaria para permitir administrar de manera segura alimentos o medicamentos, pero hay que valorar las alternativas que permitan que la información esté exclusivamente a disposición de los trabajadores del comedor.

4) ¿Se puede comprobar la colegiación de los trabajadores de un centro consultando a su colegio profesional?

Sí, siempre que la colegiación sea obligatoria para desempeñar la actividad laboral. Este tratamiento está amparado por la Ley 2/1974, de 13 de febrero, de colegios profesionales.