La Agencia Española de Protección (AEPD) nos ayuda a resolver algunas cuestiones sobre la protección de datos de pacientes y usuarios de la sanidad pública y privada. Te detallamos lo más relevante:

¿Están seguros los datos de los pacientes que constan en la historia clínica?

Tanto los médicos que ejercen la medicina privada como los centros sanitarios públicos y privados están obligados a aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas. En todo caso, las medidas de seguridad implementadas han de garantizar la confidencialidad, integridad y disponibilidad de los datos, pudiendo restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico. Las medidas de seguridad incorporadas deben evaluarse periódicamente.

¿Puede acceder cualquier persona a mi historia clínica?

No. El responsable (normalmente el médico, el centro sanitario o la administración sanitaria) y el encargado del tratamiento (los prestadores de servicios externos, como los que realizan análisis de sangre y otras pruebas que se han contratado con terceras entidades, por ejemplo) deben tomar las medidas necesarias para garantizar que cualquier persona que actúe bajo su autoridad y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo sus instrucciones. Cuando un profesional sanitario accede a una historia clínica debe hacerlo porque es necesario para realizar su trabajo. No es lícito que acceda por curiosidad, para facilitar información de un paciente a un conocido, vecino, etc.

La Agencia Española de Protección de Datos ha sancionado en numerosas ocasiones a los Servicios de Salud de las distintas Comunidades Autónomas donde trabajaba algún profesional que accedió indebidamente a la historia clínica de un usuario. En este sentido, la AEPD entiende que, como responsables del tratamiento, estas entidades no habían establecido las medidas de seguridad adecuadas para evitarlo. La Agencia no sanciona habitualmente al profesional sanitario que accede sin justificación a una historia clínica ya que es un usuario del sistema, siendo el responsable su empleador. Además, hay que señalar que el profesional sanitario que accede ilícitamente a datos de salud puede incurrir en un delito de descubrimiento y revelación de secretos, previsto y penado por el Código Penal. Una sentencia del Tribunal Supremo (hay varias) ratificó la condena a un médico que accedió a las historias de pacientes de sus colegas del centro de salud, sin que fueran pacientes suyos. El médico imputado, aprovechándose de tal condición y utilizando su número de usuario y contraseña personal, entró repetidamente, sin autorización y sin que mediara relación asistencial entre ellos, hasta en un total de veinticinco ocasiones en la base de datos, consultando las historias clínicas de pacientes de sus compañeros en la zona básica de salud, descubriendo con su proceder datos reservados de estas personas de especial relieve (salud) y por tanto, vulnerando su derecho constitucional a la intimidad personal. El Tribunal, entendiendo que la actuación del médico infringía además el Código de Deontología Médica (apartado 3º del artículo 27: El hecho de ser médico no autoriza a conocer información confidencial de un paciente con el que no se tenga relación profesional) declaró culpable al acusado de un delito de descubrimiento y revelación de secretos, previsto y penado en el artículo 197.1, 2, 6 y 198 del Código Penal, imponiéndole la pena de dos años, seis meses y un día de privación de libertad, multa de diecisiete meses a razón de quince euros diarios, con responsabilidad personal subsidiaria en caso de impago, inhabilitación absoluta por tiempo de seis años y abono de las costas procesales.

¿Se pueden ceder los datos de salud a otras entidades diferentes de las que las han recogido y tratado?

Sí, se pueden ceder si existe legitimación para ello. Un ejemplo es cuando se acude a un médico o a un centro sanitario como usuarios de la sanidad privada (con la tarjeta de la compañía aseguradora), el médico facilita a la entidad la información mínima necesaria para que abone la prestación sanitaria realizada.

¿Se puede informar al empleador acerca de los datos de salud de sus empleados cuando acuden a la revisión de prevención de riesgos laborales?

No. La información que se facilita al empleador es si el trabajador es APTO o NO APTO para el trabajo, o si es apto y necesita alguna adaptación; pero no le pueden informar de los resultados de las pruebas médicas de sus trabajadores.

¿Qué información deben contener los partes de baja? ¿Se deben facilitar al empleador?

Los partes de baja son emitidos por el facultativo que sigue el proceso de incapacidad del trabajador, facilitando dos copias del parte: una para el trabajador y otra para entregar en la empresa donde trabaja. El parte médico de baja recogerá los datos personales del trabajador y, además, la fecha de la baja, la contingencia causante, el código de diagnóstico, el código nacional de ocupación del trabajador, la duración estimada del proceso y, en su caso, la aclaración de que el proceso es recaída de uno anterior, así como, en este caso, la fecha de la baja del proceso que lo origina. Asimismo, hará constar la fecha en que se realizará el siguiente reconocimiento médico.

¿Pueden los padres que ostentan la patria potestad acceder a la historia clínica de sus hijos menores con edad entre 14 y 18 años?

Sí. El Código Civil establece que la patria potestad se ejerce en beneficio de los hijos menores de edad; asimismo, los padres tienen que velar por ellos, alimentarlos y educarlos. El acceso a la información sanitaria es fundamental para velar por los menores. Está limitado el derecho a las personas que ostentan la patria potestad, no a otros familiares.

¿Pueden facilitar información telefónica a un paciente sobre su estado de salud o el resultado de las pruebas realizadas?

En principio, existiría el riesgo de estar facilitando información a un tercero y, por tanto, por motivos de seguridad debería evitarse. Se podría hacer si existe un protocolo de identificación del solicitante de la información, mediante la solicitud de nombre y apellidos, número de DNI, número de teléfono desde el que llama que coincida con el que facilitó al profesional, dirección de correo electrónico, número de tarjeta sanitaria, etc… Se debería tener la seguridad de que quien solicita la información es el titular de la misma.

¿Pueden emitirse justificantes de asistencia sanitaria a personas que no son el propio paciente para justificar ausencias laborales?

El acompañante tiene un interés legítimo para ese tratamiento y debe acreditar la vinculación con el paciente. El contenido del justificante debe cumplir el principio de minimización de datos, incluyendo el nombre y apellidos del paciente, fecha/hora ingreso, y días de ingreso aproximados. No debe especificar la enfermedad padecida ni la unidad de ingreso ni el tipo de cirugía.

¿Puede haber cámaras de videovigilancia en un Hospital o en un centro de salud?

Las cámaras de videovigilancia tienen la finalidad de garantizar la seguridad de las personas y de las instalaciones; por tanto, pueden instalarse siempre que se informe de su instalación, habitualmente mediante un cartel informativo. Se puede solicitar información de las finalidades de las cámaras, tiempo en el que se mantienen las grabaciones, posibilidad de ejercer derechos, y responsable de la instalación. Suelen estar en los lugares de acceso, pasillos, y corredores; no dentro de la consulta médica.

¿Puede informar un centro hospitalario de mi ingreso en el mismo y ubicación?

No. Deben pedir consentimiento al paciente o a sus familiares (si no está capacitado) para que se facilite esa información. Para evitar situaciones conflictivas es muy importante que esta información se facilite de forma destacada y haciendo comprender al paciente sus consecuencias prácticas.