La aplicación del Reglamento General de protección de datos (RGPD) suele generar bastantes dudas en cuanto a su aplicación en la recolección de datos personales en las clínicas privadas. Si bien son conocidas las medidas de seguridad que debe tener el fichero de datos, ciertos aspectos de la protección (que se suelen realizar porque se venían haciendo desde la publicación de la ley anterior) no siempre son necesarios.

En ese sentido, la Agencia Española de protección de datos ha editado la interesante Guía para los profesionales del sector sanitario, con la idea de mejorar la protección de los datos de salud de los pacientes y facilitar su gestión por parte de las clínicas.

De dicho texto, extraemos los siguientes puntos clave:

1. No es necesario solicitar el consentimiento para el tratamiento de datos de salud en los siguientes casos:

• Cuando el tratamiento es necesario para diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario social. Es decir, si se solicitaran datos médicos a un cliente fuera de una asistencia médica (por ejemplo, si solicita un crédito), sí sería necesaria autorización por escrito para el tratamiento de datos de salud. Sin embargo, si se utilizan esos datos de salud para poder realizar un diagnóstico o tratamiento médico, no sería necesario dicho consentimiento, ya que el paciente sabe que sin ellos no se puede trabajar correctamente.
• En el caso de emergencias.
• Cuando los datos se traten dentro de un procedimiento judicial (por ejemplo, si ejercemos de peritos en un caso, no habría que solicitar el consentimiento de tratamiento de datos al paciente).
• Cuando se realice con fines de investigación científica, de archivo en interés público o estadísticos, en los términos establecidos en la ley. Se entiende que en este caso que los datos deben estar anonimizados.

La Agencia advierte que, aunque no se solicite el consentimiento, se debe informar al paciente de (al menos): identidad y datos de contacto del responsable; datos de contacto del delegado de protección de datos, cuando éste exista; fines del tratamiento de los datos (asistencia sanitaria, investigación, etc.) y su
base legítima (prestación de asistencia sanitaria, protección de intereses vitales, etc.); destinatarios a quienes serán entregados sus datos; plazo de conservación de los mismos y posibilidad de ejercitar los derechos reconocidos en la normativa de protección de datos o de presentar reclamación ante la agencia de protección de datos que corresponda.

Para ello se puede colocar, por ejemplo, un cartel en la sala de espera del centro con los datos indicados.

Es importante tener en cuenta que el consentimiento para el tratamiento de datos, no es el consentimiento informado que los pacientes firman cuando se les realiza un tratamiento. Son consentimientos distintos.

2. La identificación del profesional mediante tarjetas identificativas no vulnera la protección de datos. Que el profesional esté identificado en el centro de trabajo se considera justificado y proporcional. Lo mismo si aparece su nombre en una reclamación realizada por un paciente.

3. El personal de gestión y administrativo solo puede acceder a los datos de la historia clínica necesarios para el ejercicio de sus funciones. No podrían, entonces, acceder a la historia clínica completa del paciente. Es ideal, en estos casos, poder crear diferentes tipo de usuarios (si tenemos la gestión de las historias informatizada) para poder cumplir esta obligación.

4. El personal de inspección sanitaria tiene acceso a la historia clínica del centro. En estos casos se debe dar acceso al inspector sanitario a la historia ya que debe comprobar que el proceso ha sido realizado por profesionales sanitarios, lo cual debe constar en el historial. Deben mantener, eso sí, el deber de secreto.

5. El profesional puede usar los datos de los pacientes con fines docentes (clases, cursos…) siempre que no sea posible su identificación. Para que se puedan utilizar datos en los que el paciente es identificable es necesario su consentimiento expreso (por escrito).

6. El acceso por parte de un profesional a los datos de un paciente de manera injustificada es punible. El delito de descubrimiento y revelación de secretos está penado en el Código Penal (con penas de hasta 5 años de prisión e inhabilitación). Esto es aplicable a todo aquel que accede a la historia sin justificación.

Estos son los puntos que se podrían destacar del documento. Se debe insistir en que la protección de datos de salud tiene una enorme importancia, ya que tienen el nivel de protección más alto. Recomendamos, igualmente, las entradas sobre protección de datos que están publicadas en nuestra web.