Centros Sanitarios y RGPD

Tiempo de lectura: 17 minutos

Los centros sanitarios (un amplio concepto que abarca servicios relacionados con la salud, en cualquiera de sus facetas) se caracterizan por tratar intensivamente datos relativos a la misma (de cualquier tipo, física, mental, pasada, presente, futura, …) y registrar y conservar la historia clínica.

El artículo abarca la adecuación de los centros sanitarios privados, sin hospitalización y sin gran escala de pacientes. Son los consultorios que se encuentran en cualquier población, y que varían desde establecimientos especializados (óptica, audiología, ortopedia, …) hasta centros que contemplan múltiples especialidades médicas y profesionales.

Los datos relativos a la salud son datos de categoría especial (anteriormente conocidos como datos sensibles). Su tratamiento está prohibido salvo que concurra alguna de las condiciones tasadas que levanten tal prohibición; en el caso que nos ocupa, la atención sanitaria por parte de profesionales de la salud (sujetos además a secreto profesional). Además, todo tratamiento médico, requiere consentimiento del paciente, verbal o, cuando concurren las circunstancias legalmente previstas, escrito.

El personal que, por cualesquiera motivos, se relaciona con pacientes y accede a información sobre los mismos, está sujeto a la obligación de confidencialidad, incluso después de finalizada su relación laboral.

El tratamiento de datos personales en un centro sanitario exige el cuidado y diligencia debidos, para cualquier dimensión y número de pacientes. Esa necesidad de protección se refleja en distintos textos legales. El preámbulo de la Ley de Autonomía del paciente menciona un principio relevante:

…escrupuloso respeto a la intimidad personal y a la libertad individual del usuario, garantizando la confidencialidad de la información relacionada con los servicios sanitarios que se prestan y sin ningún tipo de discriminación.

Ese respeto a la intimidad ya figura en la práctica diaria de los profesionales sanitarios, de modo que las posibles exigencias adicionales del RGPD no comportarán un riesgo de quiebra de confidencialidad por desconocimiento o novedad.

El preámbulo también menciona la regulación sobre instrucciones previas que contemplan, de acuerdo con el criterio del Convenio de Oviedo, los deseos del paciente expresados con anterioridad en el ámbito del consentimiento informado.

El deber de informar de todo tratamiento sanitario al paciente se corresponde con la recíproca obligación de éste de facilitar datos sobre su salud de manera leal y verdadera.

Procesos habituales

Se recorre en los siguientes apartados los tratamientos habituales en los centros sanitarios referidos.

Registro de potenciales pacientes

Recogida de datos del potencial paciente, en la primera visita o consulta al centro: identificación, motivo de la visita, cuestionario de salud o anamnesis, mutuas a las que pertenece, … Se requiere la firma del paciente conforme la información recogida es veraz. La ausencia de una información inicial puede impedir cualquier tratamiento posterior, a criterio del centro.

Exploración inicial y diagnóstico

Suele implicar averiguación, registro y documentación (por ejemplo, fotografías intra-orales u ortopantos en clínicas dentales) de datos de salud y registro en la historia clínica.

Descripción del plan de acción a seguir

Información al potencial paciente de cuáles serían los tratamientos sanitarios a seguir; complementariamente, precios y cobertura por las mutuas.

Contratación y financiación

En ocasiones, el propio centro sanitario dispone de impresos de una entidad financiera para solicitar un crédito al consumo, relacionado con la propuesta económica del centro. La entidad financiera deviene nuevo responsable de tratamiento, y está obligada a informar al interesado sobre el uso que va a dar a sus datos. La información solicitada no guarda relación alguna con la función sanitaria.

Alguna interpretación pretende encajar esa información en una medida precontractual. Nuestra opinión es otra: se trata de una investigación previa a la concesión o denegación de un crédito financiero, o incluso el precio de tal crédito.

En este aspecto el centro de salud ejerce el papel de encargado de tratamiento: recoge datos y los transfiere a la entidad financiera, siendo razonable que los destruya una vez transferidos.

Consentimiento

Es habitual que, en esta fase, se solicite el consentimiento explícito del interesado para tratar los datos (por ejemplo, almacenarlos para fines comerciales y sanitarios). Se solicita la firma autógrafa, bien en papel o en soporte electrónico. En este último caso, existen dispositivos que recogen características biométricas de la firma (aspecto que se tratará más adelante).

El paciente debe recibir una copia (impresa o por cualquier otro medio) de lo que ha firmado.

Pruebas clínicas

El epígrafe anterior aplica igualmente a los tratamientos clínicos en los cuales el centro debe obtener siempre consentimiento previo (por la Ley de Autonomía del Paciente), verbal o, en casos previstos en tal ley, por escrito.

Historia clínica

La historia clínica está conformada por los datos, en forma textual, tabular o mixta, referentes a las intervenciones de los profesionales sanitarios, así como la documentación anexa (análisis, radiografías, opiniones, …). Todo ello debe ser custodiado por el centro con las máximas garantías de confidencialidad, integridad y disponibilidad, de idéntica forma que cualquier información crucial para la buena marcha del centro. Interviene aquí la cadena de encargados asociadas a la gestión de esa historia clínica: el software que la soporta, su mantenimiento informático y el de los dispositivos que lo almacenan o comunican, el alojamiento de software y datos y sus copias de seguridad.

Esos sucesos muy posiblemente tengan lugar físicamente en el Espacio Económico Europeo. De no ser así, el Centro sería responsable de comunicación de datos a terceros países (conocidas como Transferencias Internacionales de datos, si bien la descripción del RGPD Capítulo V las nombra Transferencias de datos personales a terceros países u organizaciones internacionales), y debería asegurar las garantías previstas por la ley. 

Al mismo tiempo, si esa gestión informática recae en empresas externas, el Centro deberá mantener los acuerdos contractuales (obligatoriamente por escrito) conformes al RGPD y a la LOPD para garantizar el cumplimiento y la seguridad de los datos y procesos. Cabe que esos acuerdos asignen responsabilidades directas a los encargados para asegurar la cadena, buscando el encargado la eximente en caso de incumplimiento de cualquier encargado, al haber desoído las instrucciones del responsable (el Centro).

Prescripciones

Los profesionales facultados para emitir prescripciones pueden simplemente rellenar la receta y firmarla, sin guardar copia para su custodia personal. En el cual caso no estarán tratando ellos mismos datos personales y serán simplemente personas autorizadas por el centro sanitario. En cualquier otro caso, pasan a ser encargados o incluso responsables, dada sus atribuciones que los habilitan para ignorar instrucciones contrarias a su deber profesional.

Facturación. Paciente y mutua

La facturación es un tratamiento que deriva de la relación contractual para cada tratamiento sanitario.

Si, además, el paciente pertenece a una mutua (la cual ya es responsable de ciertos datos del paciente), se producirá comunicación de datos de responsable (centro sanitario) a mutua, legitimada por las respectivas relaciones contractuales del paciente con el centro y la mutua.

Archivo

La historia clínica se mantendrá por el plazo vigente en cada Comunidad Autónoma (de forma similar a la de las radiografías y otros procesos de diagnóstico por imagen)

Destrucción

Vencidos los plazos legales, la documentación puede destruirse, de forma similar a los supuestos en los que el paciente solicite supresión, si procede. La destrucción, al ser de documentos intensivos en datos de categoría especial, debe ejercerse de forma estricta, evitando filtraciones y asegurando un proceso rápido, eficaz y certificado por la empresa especialista.

En caso de medios electrónicos, hay que obtener igualmente un certificado de borrado o destrucción seguros (el Instituto Nacional de Ciberseguridad INCIBE comercializa certificados)

Productos o medicinas asignadas

En casos de medicinas que pueden mantenerse a medio usar para un mismo paciente, la medicina suele portar un identificador del paciente. Es un dato personal, de salud, y por tanto deberá figurar en el registro de tratamiento y tener asociadas medidas de seguridad organizativas y técnicas pertinentes.

Delegado de Protección de Datos

Estrictamente hablando, un centro sanitario donde presten servicios dos o más profesionales de especialidades asimilables (a efectos de Protección de Datos Personales, ver Anexo Especialidades), debe designar un Delegado de Protección de Datos. La AEPD ha mostrado flexibilidad de criterio si el número es muy limitado (el caso concreto era 1 y medio); pero si hay 3 profesionales o más sería conveniente contar con la figura del Delegado de Protección de Datos y no hay garantías de que ese número.

Gremios, Patronales, Asociaciones

Los Delegados de Protección de Datos colectivos son una solución adecuada para los centros sanitarios de escasa dimensión. Las asociaciones empresariales sectoriales o geográficas, Colegios profesionales y, en general, cualquier agrupación de centros sanitarios, pueden designar la figura colectiva para asesorar y supervisar el cumplimiento de los centros adheridos.

Obligaciones adicionales

La Ley de Autonomía del Paciente, art 23, indica que los profesionales sanitarios deben cumplimentar los protocolos, registros, informes, estadísticas y demás documentación asistencial o administrativa, que guarden relación con los procesos clínicos en los que intervienen, y los que requieran los centros o servicios de salud competentes y las autoridades sanitarias, comprendidos los relacionados con la investigación médica y la información epidemiológica. En estos casos debe procederse con diligencia si los datos personales deben ser incluidos en los procesos y no hay posibilidad de anonimizar. Se trata de un ámbito particular (el archivo o investigación por interés público) que usualmente no sucederá en los centros sanitarios que se tratan en este artículo.

Datos de convicciones religiosas

Es posible encontrar casos de revelación de creencias religiosos si hay voluntad previa de tratamiento sin sangre. Dato igualmente de categoría especial y, por tanto, adecuadamente protegido y confidencial.

Informe de Alta

A entregar exclusivamente al paciente o persona autorizada.

Datos biométricos

Los datos biométricos son motivo de otro artículo y el debate no está jurídicamente claro a fecha de hoy (Junio 2019). En los centros sanitarios suele encontrarse la firma biométrica para registrar el consentimiento (el consentimiento informado de la Ley de Autonomía del Paciente. El mecanismo para levantar la prohibición de tratamiento debería encontrar acomodo en RGPD 9.2h, entendiendo un medio necesario para “prestación de asistencia sanitaria o social”, si bien cabe dudar de que sea necesario en sentido estricto; puede calificarse de conveniente, adecuado, seguro y con mayores garantías técnicas. Todo lo cual debería ser resuelto por una clara posición de las autoridades de control respecto de la no prohibición y legitimación de los tratamientos biométricos para identificación de personas.

La madeja conceptual se encona si una persona aduce motivos religiosos para no firmar biométricamente. El resultado sería una situación donde un mismo acto contendría dos injerencias de datos de categoría especial (dato biométrico y convicción religiosa). Una situación difícil, si no imposible, de vencer.

Adicionalmente, hoy la doctrina imperante recomienda que el responsable (el Centro) desarrolle una Evaluación de Impacto de esa sola firma biométrica, o bien la obtenga directamente de su proveedor tecnológico. Lo cual es una dificultad añadida para asegurar el cumplimiento.

Certificados de acompañamiento

La emisión de certificados de acompañamiento a familiares del paciente debe estar protocolizado por el centro, y contar siempre con el consentimiento del paciente. Ante la duda, no es prudente entregar un certificado conteniendo datos personales y de salud (del paciente) a un tercero. Es de facto imposible acreditar o probar que una persona es pariente en tal o cual grado de afinidad o consanguinidad como también lo es contar con el consentimiento granulado del paciente respecto del elenco de acompañantes (este sí, aquél no). De forma que, en el extremo, un derecho reconocido (al familiar) en el Estatuto de los Trabajadores o un mejor Convenio Colectivo o de empresa, sería de imposible verificación por el empresario si no media documento del centro.

Una alternativa es la declaración responsable del acompañante, testificado por un representante de los trabajadores a la vista del certificado médico expedido al paciente. Procedimiento engorroso e incluso débil, pero que encaja perfectamente en el derecho del paciente a que datos, siquiera livianos, sobre su salud, hospitalización, etc.. estén al alcance de empresarios que emplean a sus familiares. En situaciones crónicas o repetidas es comprensible que alguien no desee airear sus circunstancias familiares e intente otros mecanismos que permitan acceder al permiso retribuido.

Centros públicos. Hospitales.

Los centros públicos están sujetos a disposiciones adicionales en lo que se refiere a medios técnicos y normativa de seguridad (ENS Esquema Nacional de Seguridad).

Los hospitales (centros sanitarios con múltiples servicios, pernoctación, áreas especializadas, soporte a familiares, …  que dan servicio a un gran número de ciudadanos, decenas de miles), suelen utilizar software sectorial (sistemas de gestión, bases de datos no relacionales y voluminosas) y tecnologías de seguridad específicas. Tal es el caso de la pseudonimización de datos, que aparece trece veces en el RGPD, utilizada en los grandes operadores sanitarios. En unos años aparecerán soluciones asequibles (por precio y disponibilidad de servicio técnico local) y se incrementará su uso y, por ende, el nivel de protección de los datos personales en el tráfico empresarial e institucional.

Servicios Sociales

A primera vista, los servicios sociales, entendidos como servicios de atención generalista y especializada a personas vulnerables (por cualesquiera motivos), pueden parecer alejados del sector sanitario que se ha expuesto en este texto. Sin embargo, hay factores que los enlazan (atención profesional por psicólogos, psiquiatras, asistentes sociales, técnicos municipales, voluntarios, … ). Los datos personales tratados no están calificados como de categoría especial, pero pertenecen sin duda a la esfera más íntima de la persona. La vulnerabilidad no es en el RGPD factor de riesgo.

Pese a ello, una reflexión más detenida lleva a concluir que estamos ante un escenario más complejo que en el caso de la sanidad, por la variedad de medios utilizados, la escasez de recursos, la abundancia (a veces larvada) de personas en esa situación que, incluso siendo temporal, puede durar meses o años, …

Cruce entre lo sanitario y lo social están los centros socio-sanitarios que presentan características comunes a ambos.

Antonio March | amc@datium.eu
Marzo – Junio 2019

Imagen: Peter Heeling – Holanda – Skitterphoto


ANEXO

Especialidades con obligación de historia clínica

  • Especialidades médicas
  • Podología
  • Psicología
  • Fisioterapia
  • Óptica
  • Audiología
  • Logopedia
  • Ortopedia
  • Enfermería

Odontología

  • Odontología, que abarca cualquiera de las especialidades siguientes
  • Periodontología
  • Higienista
  • Ortodoncista
  • Endodontología
  • Anestesista
  • Prostodoncista
  • Odontólogo cirujano bucal
  • Cirujía maxilo-facial

La situación económica

Si bien la prevención de la discriminación es una fuerza motriz del RGPD, su presencia en el texto no es explícita, y se refiere a diversos y esperables aspectos (origen étnico, religión, orientación sexual, …). Sin embargo, también figura en el repertorio la situación económica. Se ilustra con las decisiones que se puedan tomar automáticamente para alterar condiciones de un servicio dependiendo, sin causa justificada, de esa situación económica. Un terreno quizá inexplorado y no enlazado con la sanidad pública, que en nuestro país es universal y gratuita.

Por otra parte, en ocasiones la situación económica se deriva certeramente de signos externos e inmediatos. De forma que establecer una relación entre la situación económica y una posible discriminación no es fácil.

Los centros sanitarios privados no deben, por tanto, establecer mecanismos para averiguarla sin causa justificada (y relacionada con el tratamiento de salud).

Adecuación de un grupo empresarial

Es frecuente que los centros sanitarios pertenezcan a un grupo. Habitualmente, además, se dedican a las mismas especialidades médicas (por ejemplo, odontología). Desde el punto de vista fiscal pueden darse dos escenarios: NIF común a todos los centros del grupo, o NIF individual para cada uno.

La adecuación a RGPD es por NIF, de forma que en el segundo escenario de un NIF por centro, las adecuaciones serían independientes, si bien posiblemente muy parecidas. La metodología habitual es adecuar un centro (el prototipo), y a continuación, replicar la misma adecuación en los demás.

El caso de NIF común implica tratar cada centro como una sede, y considerar las sedes como parte fundamental de la identificación de los tratamientos, los empleados, los documentos generados. Sin duda algo más complejo de gestionar, pero más flexible cuando un centro incorpora tratamientos que antes no tenía (recogida del consentimiento informatizado, por ejemplo).