Dades de salut

tratamiento_datos_salud_rgpd_pymelegal

Les dades personals relatives a pacients d’un centre sanitari són catalogades per la normativa de protecció de dades com a dades sensibles especialment protegides, ja que són dades de salut (art. 9 RGPD). 

Aquest tractament de dades té moltes qüestions a resoldre com, per exemple, si s’ha de sol·licitar el consentiment per a què tractin les nostres dades, si ens han d’informar dels fins per als que s’usaran aquestes o informar-nos de qui o quins poden accedir a la història clínica, entre altres. Passem, doncs, a donar resposta a aquestes i altres qüestions; així que, comencem.  

Què són les dades de salut?  

Són una de les categories especials de dades que recull el Reglament 2016/679 de 27 d’abril de 2016 relatiu a la protecció de dades personals de les persones físiques (RGPD), tant en l’article 9 com en el Considerant 35 del RGPD, que recull com a dades relatives a la salut

– totes les dades relatives a l’estat de salut: l’estat de salut física mental passat, present o futur del pacient; 

– la informació sobre la persona física recollida en la seva inscripció efectes d’assistència sanitària;

– tot nombresímbol o dada assignada a una persona física que la identifiqui de manera unívoca a efectes sanitaris;

– la informació obtinguda de proves o exàmens d’una part del cos o d’una substància corporal, inclosa la procedent de dades genètiques i mostres biològiques;

– qualsevol informació relativa, per exemple, a una malaltia, una discapacitat, el risc de patir malalties, l’historial mèdic, el tractament clínic o l’estat fisiològic o biomèdic de l’interessat.

Tota la informació anterior serà dada de salut independentment de la font de la qual provingui (un metge professional sanitari, un hospital, un dispositiu mèdic o una prova diagnòstica).

Per tant, les dades de salut són de dos tipus: els identificatius, és a dir, nom i cognoms, adreça, etc. i els de l’estat de salut, com proves diagnòstiques o cirurgies, entre altres. 

Què és la història clínica?

La història clínica és el conjunt de documents relatius a tots els processos d’assistència sanitària de cada pacient. La finalitat de la història clínica és facilitar l’assistència sanitària, deixant totes aquelles dades que permetin als metges el coneixement veraç i actualitzat de l’estat de salut del pacient.

Pot accedir qualsevol a la història clínica?

Quan un professional sanitari accedeix a una història clínica ha de fer-ho perquè és necessari per a realitzar el seu treball. Els responsables i encarregats del tractament prendran les mesures necessàries per a garantir que qui accedeix i tracta les dades, només segueix les seves instruccions. A més, cal senyalar que el professional sanitari que accedeix il·lícitament a dades de salut pot incórrer en un delicte de descobriment i revelació de secrets, previst i penat en el Codi Penal.

El decàleg de protecció de dades per al personal sanitari i administratiu recull els punts que el personal ha de tenir en compte per al tractament de les dades personals dels pacients, com per exemple, tancar la sessió de l’ordinador al sortir del despatx, no enviar dades de salut per xarxes públiques o xifrant les dades en cas de fer-ho o, no deixar les històries clíniques a la vista sense supervisió.
Les persones que tractin les dades han de ser professionals subjectes a l’obligació de secret professional o que estiguin sota la seva responsabilitat.

Es necessita el consentiment per al tractament de les dades de salut?

Les bases jurídiques per les que es regirà el tractament de les dades de salut són les següents:

– Per a la recollida i utilització de dades personals i de salut, si es van a utilitzar per a fins de  medicina preventiva o laboral, avaluació de la capacitat laboral del treballador, diagnòstic mèdic, prestació d’assistència o tractament de tipus sanitari o social o, gestió dels sistemes i serveis d’assistència sanitària i social, s’empararà en l’art. 6.1.b) (execució d’un contracte); si el tractament és realitzat per entitats asseguradores de salut privades i l’art. 6.1.c) (obligació legal) per a la Sanitat Pública. Quan el tractament s’efectua per raons d’interès públic, en l’àmbit de la salut pública (per exemple, per a la protecció front a amenaces transfrontereres greus per a la salut o garantir la qualitat i seguretat de medicaments/productes sanitaris), s’empararà en el 6.1.e del RGPD (compliment d’una missió realitzada en interès públic o en l’exercici de poders públics).

-Quan el tractament sigui necessari per a protegir interessos vitals de l’interessat o d’una altra persona física, si aquests no estan capacitats (físicament o legalment) per a donar el seu consentiment, en aquest cas la base legal serà el 6.1.d RGPD (protecció d’interessos vitals de l’interessat o uns altra persona física).

Per al cas que el metge, fora d’aquests casos, vulgui utilitzar les dades per a una altra finalitat (per exemple, l’enviament de publicitat) sí que serà necessari el consentiment del pacient (6.1.a) RGPD).

Com s’ha d’informar al pacient?

Al pacient, se l’ha d’informar del següent:

– la identitat del responsable del tractament; 

– les dades del Delegat de Protecció de Dades en el cas que sigui obligatori; 

– les finalitats del tractament, com per exemple, assistència sanitària, investigació, videovigilància, etc. Si la finalitat posteriorment es canvia, el responsable haurà d’informar al pacient amb anterioritat al nou tractament;

– la base jurídica en la que s’empara el tractament (consentiment, interessos vitals, contracte, etc.);

– els destinataris de les dades. Per exemple, el cas d’un metge de mútua privada que pot enviar les dades del pacient a l’asseguradora per al cobrament de la visita o el cas de la revisió mèdica per part de la mútua de previsió, que enviarà a l’ocupador si el treballador és apte o no apte per a l’exercici de les seves funcions;

– informar de si la comunicació de dades personals és un requisit legal o contractual i, si l’interessat està obligat a facilitar les dades personals i està informat de les possibles conseqüències de no facilitar tals dades;

– si hi ha transferències internacionals o no;

– el termini de conservació de les dades;

– els drets que el pacient pot exercitar (accés, rectificació, supressió, limitació del seu tractament, oposició o portabilitat). Així mateix, es comunicarà el dret a retirar el consentiment sense que això afecti a la licitud del tractament basat en el consentiment previ a la seva retirada i el dret a reclamar davant l’AEPD;

– si hi haguessin decisions automatitzades preses mitjançant processos informàtics sense intervenció humana, inclosa l’elaboració de perfils, s’haurà d’informar al pacient i informar-lo de la lògica aplicada i, que se li doni l’oportunitat d’expressar el seu punt de vista i d’impugnar la decisió. 

Quins drets pot exercitar el pacient?

El pacient té dret a:

accedir a la seva història clínica, demanar una còpia i sol·licitar la informació. Hi ha particularitats del dret d’accés exposades en la Llei d’Autonomia del Pacient que són: 

  • que l‘accés del pacient a la documentació de la història clínica no pot exercitar-se en perjudici del dret de terceres persones a la confidencialitat de les dades que consten en ella recollides en interès terapèutic del pacient (art. 18.3 de la Llei d’Autonomia del pacient);
  • que els centres sanitaris i els facultatius d’exercici individual sols facilitaran l’accés a la història clínica dels pacients morts a les persones vinculades a ell, per raons familiars o de fet, llevat que la persona morta ho hagués prohibit expressament i així s’acrediti (art. 18.4 de la Llei d’Autonomia del pacient).

rectificar dades inexactes o incompletes. Si la rectificació és de dades sanitàries, serà el professional el que determini si s’han de rectificar; 

-el dret de supressió de dades de la història clínica està molt limitat. Tan sols el professional sanitari pot determinar si es pot suprimir la dada de salut.

Qui pot accedir a la història clínica de menors? 

Els pares amb pàtria potestat de fills menors d’entre 14 a 18 anys podran accedir a la història clínica ja que l’accés a la informació sanitària és fonamental per a vetllar pels menors. Està limitat el dret a les persones que ostenten la pàtria potestat, no a altres familiars. 

Amb relació a les dades dels treballadors: 

Quan un treballador acudeix a una revisió de PRL, es pot informar a l’ocupador sobre les dades de la seva salut?

No, l’ocupador només haurà de conèixer la informació relativa a si és APTE o NO APTE per exercir la seva feina o necessita alguna adaptació, mai del resultat de les proves mèdiques efectuades.

Quina informació contindran els comunicats de baixa?

El metge que realitzi el comunicat de baixa emetrà dues còpies del mateix, una per al treballador i l’altra per a l’empresari; el comunicat de baixa mèdica recollirà les dades personals del treballador, la data de la baixa, la contingència de la qual deriva la baixa, el codi de diagnòstic, el codi nacional d’ocupació del treballador, la durada estimada del procés i, en el seu cas, l’aclariment de si és recaiguda d’un anterior, així com, en aquest supòsit, la data de la baixa del procés que l’origina. Mai es recollirà informació relacionada amb la salut del treballador.

I, si ens sol·liciten informació via telefònica de l’estat de salut?

Per motius de seguretat, hauria d’evitar-se donar informació relativa a la salut per via telefònica. En cas de què es doni, hauria de ser tenint alguna mesura d’identificació del sol·licitant, com el sol·licitar el seu nom i cognoms, DNI, verificar que el telèfon des del que truca la persona sigui el que té el professional, el número de la targeta sanitària, entre altres.