Protección de datos / Historia clínica
(algunas cuestiones relevantes)
Pedro Grimalt Servera
Prof. Titular de Derecho civil
Universitat de les Illes Balears
Normativa de referencia



Ley Orgánica 15/1999, de 13 de diciembre, de
protección de datos de carácter personal (LOPDP) y su
normativa de desarrolla (en especial la que desarrolla
el deber de seguridad del art. 9 LOPDP).
Ley 41/2002, de 14 de noviembre, Ley básica
reguladora de la autonomía del paciente y de derechos
y obligaciones en materia de información y
documentación clínica (ley del paciente).
Ley 5/2003. de 4 de abril, de Salud de las Illes Balears
(Ley de salud IB)
La intimidad del afectado/paciente



Protección de datos y derecho a la intimidad.
“Toda persona tiene derecho a que se respete el carácter
confidencial de los datos referentes a su salud, y a que
nadie pueda acceder a ellos sin previa autorización amparada
por la Ley” (art. 7.1 Ley del paciente).
“El derecho a la intimidad del paciente se concreta en el
respeto a la confidencialidad de los datos que hacen referencia
a su salud y a la asistencia o al tratamiento. Las personas que
no estén autorizadas debidamente no pueden acceder a estos
datos. ” (art. 10.1 Ley de salud IB)
Tratamiento de datos/historia clínica
La LOPDP se aplica a los tratamientos
de datos.
 La historia clínica es un tratamiento de
datos personales

Sujetos principales de la protección de
datos (I)


El afectado versus el responsable del tratamiento.
El afectado (paciente)
– “persona física titular de los datos que sean
objeto del tratamiento a que se refiere el apartado
c) del presente artículo. ” (art. 3.c LOPDP).
– “Datos
de carácter personal: cualquier
información concerniente a personas físicas
identificadas o identificables” (art. 3.a LOPDP)
Sujetos principales de la protección de
datos (II)



“Responsable del fichero o tratamiento: el que decide sobre la
finalidad, contenido y uso del tratamiento
Sujeto sometido al estatuto del responsable del fichero: deberes
que impone la LOPDP; sujeto pasivo de los derechos del
afectado; responsabilidad
Respecto a la historia clínica: ¿quién es el responsable?
–
–
–
¿Los centros sanitarios?
¿Los profesionales sanitarios?
¿Sólo los profesionales sanitarios que ejerzan su actividad
de “manera individual”?
Otros sujetos en la protección de
datos.


Encargado del tratamiento: trata datos personales
por cuenta del responsable del tratamiento
La Agencia de Protección de datos (Estatal):
– Ente de Derecho Público.
– Principales funciones: velar por el cumplimiento
de la LOPDP; inspeccionar; sancionar
Finalidad del tratamiento de datos



las finalidades determinadas, explícitas y
legítimas
Entre otras funciones:
 Asegurar la transparencia del tratamiento.
 Permitir el control del tratamiento de datos
personales
Finalidad fundamental de la historia clínica:
garantizar una asistencia adecuada al paciente
Principio de racionalidad o de
pertinencia (I)

Principio de “racionalidad” o de pertinencia:
los datos tratados tienen que seer
adecuados, pertinentes y no excesivos en
relación con las finalidades para las que se
hayan obtenido” (art. 4.1 LOPDP)
Principio de racionalidad o de
pertinencia (II)


“La historia clínica incorporará la información que se
considere trascendental para el conocimiento veraz
y actualizado del estado de salud del paciente [...]”
(art. 15.2 Ley del paciente)
“La historia clínica ha de contener, en todo caso, los
datos personales, los de la asistencia y los clínicoasistenciales. Constarán asimismo las acciones, las
intervenciones y las prescripciones hechas por cada
profesional sanitario. ” (art. 14.2 Ley de salud IB)
Principio de congruencia

Principio de “congruencia”: “Los datos de
carácter personal objeto de tratamiento no
podrán
usarse
para
finalidades
incompatibles con aquellas para las que
los datos hubieran sido recogidos. No se
considerará incompatible el tratamiento
posterior de éstos con fines históricos,
estadísticos o científicos” (art. 4.2 LOPDP).
Principio de exactitud

Principio de “exactitud”: “Los datos de carácter personal serán
exactos y puestos al día de forma que respondan como veracidad
a la situación actual del afectado” (art. 4.3 LOPDP).

“La historia clínica incorporará la información que se considere
trascendental para el conocimiento veraz y actualizado del estado
de salud del paciente [...]” (art. 15.1 Ley del paciente)
–
“La historia clínica tendrá como fin principal facilitar la
asistencia sanitaria, dejando constancia de todos aquellos
datos que, bajo criterio médico, permitan el conocimiento
veraz y actualizado del estado de salud [...]” (art. 15.2 Ley
del Paciente)
El consentimiento en la LOPDP (I)

Principio de “autodeterminación (o del consentimiento)”. Reglas
generales:
– Necesidad consentimiento inequívoco del afectado (art.
6.1 LOPDP).
– Necesidad de consentimiento expreso para tratar datos
personales relativos a la salud y a la vida sexual (art. 7.3
LOPDP)
– Necesidad del previo consentimiento del interesado para
comunicar datos a terceros (art. 11.1 LOPDP)
El consentimiento en la LOPDP (II). Algunas
excepciones a la regla general (I)


“[...] podrán ser objeto de tratamiento los datos de carácter personal a que se
refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte
necesario para la prevención o para el diagnóstico médicos, la prestación de
asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios,
siempre que dicho tratamiento de datos se realice por un profesional sanitario
sujeto al secreto profesional o por otra persona sujeta asimismo a una
obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el
párrafo anterior cuando el tratamiento sea necesario para salvaguadar el
interés vital del afectado o de otra persona, en el supuesto de que el afectado
esté física o jurídicamente incapacitado para dar su consentimiento ” (art. 7.6
LOPDP).
“Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las
instituciones y los centros sanitarios públicos y privados y los profesionales
correspondientes podrán proceder al tratamiento de los datos de carácter
personal relativos a la salud de las personas que a ellos acudan o hayan de
ser tratados en los mismos de acuerdo con lo dispuesto en la legislación
estatal o autonómica sobre sanidad.” (art. 8 LOPDP)
El consentimiento en la LOPDP (III). Algunas
excepciones a la regla general (II)


No es necesario el consentimiento del afectado para una
comunicación “Cuando el tratamiento responda a la libre y
legítima aceptación de una relación jurídica cuyo desarrollo,
cumplimiento y control implique necesariamente la conexión de
dicho tratamiento con ficheros de terceros. En este caso la
comunicación sólo será legítima en cuanto se limite a la
finalidad que la justifique ” (art. 11.c LOPDP).
No es necesario el consentimiento del afectado para una
comunicación “Cuando la cesión de datos de carácter personal
relativos a la salud sea necesaria para solucionar una urgencia
que requiera acceder a un fichero o para realizar los estudios
epidemiológicos en los términos establecidos en la legislación
sobre sanidad estatal o autonómica ” (art. 11.f LOPDP)
El acceso de los datos a la historia
clínica por parte de los profesionales
asistenciales



Los profesionales asistenciales del centro que realizan el diagnóstico
o el tratamiento del paciente tienen acceso a la historia clínica de éste
como instrumento fundamental para su adecuada asistencia” (art. 16.1
Ley del paciente). ¿A toda la historia clínica? ¿se puede desglosar?
“El personal de administración y gestión de los centros sanitarios sólo
puede acceder a los datos de la historia clínica relacionados con sus
propias funciones” (art. 16.4 Ley del paciente).
“El personal sanitario debidamente acreditado que ejerza funciones de
inspección, evaluación, acreditación y planificación, tiene acceso a las
historias clínicas en el cumplimiento de sus funciones de
comprobación de la calidad de la asistencia, el respeto de los
derechos del paciente o cualquier otra obligación del centro en
relación con los pacientes y usuarios o la propia Administración
sanitaria” (art. 16.5 Ley del paciente).
El deber de informar al afectado

El deber de informar
protecciónde datos
– ¿De qué?
– Algunas excepciones
en
materia
de

“El deber de informar en la ley del paciente y
en la Ley de salud IB: distinta signifiación
(información asistencial)
El deber de seguridad (I)


Debe garantizarse la seguridad, la correcta conservación y la
recuperación de la información que aparece en las historias
clinicas” (art. 14.2 de la Ley del paciente).
Garantizar la autenticidad del contenido de la historia clínica y
de los cambios operados en ella (art. 14.3 de la ley del paciente).
–

Medidas para proteger las historias clínicas y evitar su
destrucción o su pérdida accidental” (art. 14.4 de la Ley
del paciente)
Derecho del paciente a una custodia activa y diligente de las
historias clínicas. (art. 19 de la Ley del paciente)
El deber de seguridad (II)



”“Son de aplicación a la documentación clínica las medidas
técnicas de seguridad establecidas por la legislación
reguladora de la conservación de los ficheros que contienen
datos de carácter personal y, en general, por la Ley Orgánica
15/1999, de Protección de Datos de Carácter Personal ” (art.
17.6 ley del paciente).
El deber de seguridad
– seguridad de los datos de carácter personal y evite su
alteración, pérdida, tratamiento o acceso no autorizado (art.
9.1 LOPDP)
– Deber que se articula no solo en torno a los ficheros, sino
también los centros de tratamiento, locales, equipos,
sistemas y programas ” (art. 9.2 LOPDP)
El desarrollo reglamentario de las medidas de seguridad.
El deber de secreto



El deber de secreto (art. 10 LOPDP): “El responsable del
fichero y quienes intervengan en cualquier fase del tratamiento
de los datos de carácter personal están obligados al secreto
profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus
relaciones con el titular del fichero o, en su caso, con el
responsable del mismo”
“El personal que accede a los datos de la historia clínica en el
ejercicio de sus funciones queda sujeto al deber de secreto ”
(art. 16.6 Ley del paciente)
“El personal que tenga acceso a la documentación clínica
queda sujeto al deber de guardar el secreto sobre los datos
consultados ” (art. 15.1 Ley de salud IB)
Derecho de consulta del afectado (el
deber de notificar la creación del
fichero)


Derecho de consulta (art. 14 LOPDP)
Notificació e inscripción registral de los
ficheros en la Agencia de Protección de
Datos.
Derecho de acceso (I)


Derecho de acceso (art. 15.1 LOPDP): “El interesado tendrá
derecho a solicitar y obtener gratuitamente información de sus
datos de carácter personal sometidos a tratamiento, el origen de
dichos datos, así como las comunicaciones realizadas o que se
prevén hacer de los mismos. ”
“El paciente tiene el derecho de acceso, con las reservas
señaladas en el apartado 3 de este artículo, a la documentación
de la historia clínica y a obtener copia de los datos que figuran en
ella. Los centros sanitarios regularán el procedimiento que
garantice la observancia de estos derechos” (art. 18.1 Ley del
paciente)
Derecho de acceso (II)


“El derecho al acceso del paciente a la documentación de la historia
clínica no puede ejercitarse en perjuicio del derecho de terceras
personas a la confidencialidad de los datos que constan en ella
recogidos en interés terapéutico del paciente, ni en perjuicio del
derecho de los profesionales participantes en su elaboración, los
cuales pueden oponer al derecho de acceso la reserva de sus
anotaciones subjetivas ” (art. 18.3 Ley del paciente)
“Los centros sanitarios y los facultativos de ejercicio individual sólo
facilitarán el acceso a la historia clínica de los pacientes fallecidos a
las personas vinculadas a él, por razones familiares o de hecho, salvo
que el fallecido lo hubiese prohibido expresamente y así se acredite.
En cualquier caso el acceso de un tercero a la historia clínica
motivado por un riesgo para su salud se limitará a los datos
pertinentes. No se facilitará información que afecte a la intimidad del
fallecido ni a las anotaciones subjetivas de los profesionales, ni que
perjudique a terceros. ” (art. 18.4 de la Ley del paciente)
Derecho de rectificación y cancelación

Derechos de rectificación y de cancelación:
“Serán rectificados o cancelados, en su
caso, los datos de carácter personal cuyo
tratamiento no se ajuste a lo dispuesto en la
presente Ley y, en particular, cuando tales
datos resulten inexactos o incompletos. ”
(art. 16.2 LOPDP)
La conservación/cancelación de los
datos en la historia clínica



“Los centros sanitarios tienen la obligación de conservar la documentación
clínica en condiciones que garanticen su correcto mantenimiento y seguridad,
aunque no necesariamente en el soporte original, para la debida asistencia al
paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco
años contados desde la fecha del alta de cada proceso asistencial” (art.
17.1 Ley del paciente).
– “Los profesionales sanitarios tienen el deber de cooperar en la creación y
el mantenimiento de una documentación clínica ordenada y secuencial del
proceso asistencial de los pacientes” (art. 17.3 Ley del Paciente)
“La documentación clínica también se conservará a efectos judiciales de
conformidad con la legislación vigente. Se conservará, asimismo, cuando
existan razones epidemiológicas, de investigación o de organización y
funcionamiento del Sistema Nacional de Salud. Su tratamiento se hará de
forma que se evite en lo posible la identificación de las personas afectadas ”
(art. 17.2 de la ley del paciente)
“Los datos de carácter personal deberán ser conservados durante los plazos
previstos en las disposiciones aplicables o, en su caso, en las relaciones
contractuales entre la persona o entidad responsable del tratamiento y el
interesado ” (art. 16.5 LOPDP)
Derecho de oposición

Derecho de oposición: “En los casos en los que no
sea necesario el consentimiento del afectado para el
tratamiento de los datos de carácter personal, y
siempre que una ley no disponga lo contrario, éste
podrá oponerse a su tratamiento cuando existan
motivos fundados y legítimos relativos a una
concreta situación personal. En tal supuesto, el
responsable del fichero excluirá del tratamiento los
datos relativos al afectado ” (art. 6.4 LOPDP)
RESPONSABILIDAD

Penal/Administrativa
–
–

Tipificadas (prisión/multas)
Órganos jurisdiccionales (penal)/Agencia
Protección de datos (administrativa)
Civil:
–
–
–
Independiente
Cumulativa
Objetiva
de
Descargar

LA RESPONSABILIDAD CIVIL EN EL TRATAMIENTO DE …