La Agencia Española de Protección de Datos ha publicado la ‘Guía para pacientes y usuarios de la Sanidad’, un documento que busca dar respuesta a las dudas más frecuentes de los ciudadanos respecto a la privacidad de sus datos médicos.

No es necesario que el médico o el centro sanitario solicite el consentimiento a los pacientes para la recogida y utilización de datos personales y de salud si se van a utilizar para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. (La base de legitimación para este tratamiento de datos está establecida en el artículo 6.1.b) del RGPD para las entidades aseguradoras de salud privadas, y en el artículo 6.1.c) del mismo Reglamento para la sanidad pública).

Tampoco es necesario si el tratamiento de datos se efectúa por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios o la inspección de reclamaciones de los ciudadanos. (La base de legitimación está establecida en el artículo 6.1.e) del RGPD). También se pueden tratar los datos de salud sin solicitar el consentimiento cuando el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento, o cuando lo solicite un órgano judicial. (La base de legitimación está establecida en el artículo 6.1.d) del RGPD). Las personas que traten los datos deben ser profesionales sujetos a la obligación de secreto profesional, o que estén bajo su responsabilidad. Se deberá pedir el consentimiento, por ejemplo, en el caso de que el odontólogo o el fisioterapeuta nos quieran enviar publicidad.

Ahora bien, como se ha indicado, generalmente, cuando un usuario acude al médico o al centro sanitario, público o privado, no tienen que pedir el consentimiento al paciente para el tratamiento de sus datos personales, puesto que casi siempre acude para que le presten asistencia sanitaria, pero sí es obligatorio que sea informado de lo siguiente:

La identidad y los datos de contacto del responsable y, en su caso, de su representante. (Puede ser el médico privado, profesional sanitario de la compañía de seguro médico suscrito, hospital público o privado, o Servicio de Salud de la Comunidad Autónoma)
Los datos de contacto del delegado de protección de datos.
Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento. (Los fines: prestar asistencia sanitaria, investigación, docencia… La base jurídica: consentimiento, contrato, ejercicio de una potestad pública, proteger intereses vitales de una persona).
Los destinatarios o las categorías de destinatarios de los datos personales, en su caso. Por ejemplo, en las consultas de médicos a los que se acude a través de una aseguradora privada, el médico que presta asistencia al paciente facilitará los datos mínimos imprescindibles a la aseguradora para que le abone el servicio prestado. Cuando se acude a una mutualidad para la revisión de la aptitud de los trabajadores, la mutua facilitará el dato de “Apto”, o “No apto” al empleador, pero no le informará del resultado del reconocimiento efectuado.
La intención del responsable de transferir datos personales a un tercer país u organización internacional.
El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo. Hay que tener en cuenta que los datos de la historia clínica se conservaran mientras sean necesarios para garantizar la adecuada asistencia sanitaria de los pacientes y, como mínimo, cinco años. Algunas leyes autonómicas han ampliado este plazo mínimo.
El derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos. No obstante, debe tenerse en cuenta que estos derechos pueden tener limitaciones por razones de interés público relacionadas con la salud o por el cumplimiento de obligaciones legales.
El derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
El derecho a presentar una reclamación ante una autoridad de control. Estas reclamaciones se presentarán en la Agencia Española de Protección de Datos, o las autoridades de protección de datos catalana, vasca o andaluza, cuando el responsable esté integrado en la sanidad pública de estas comunidades autónomas”.
Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.
La existencia de decisiones automatizadas, es decir, tomadas mediante procesos informáticos sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o le afecten significativamente de modo similar. El afectado tendrá derecho como mínimo a obtener información significativa sobre la lógica aplicada, así como la intervención humana, a expresar su punto de vista y a impugnar la decisión sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o le afecten significativamente de modo similar. El afectado tendrá derecho como mínimo a obtener información significativa sobre la lógica aplicada, así como la intervención humana, a expresar su punto de vista y a impugnar la decisión.
Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información aclaratoria.

La información ha de ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Puede hacerse por capas, es decir, una información de lo fundamental y una remisión a la página web, a un folleto… para conocer la totalidad de la información.

Cuando los datos personales se obtienen de un tercero hay que informar al titular de los datos, a la mayor brevedad posible, de los mismos apartados reseñados, así como del origen de sus datos.

Ponte en contacto con nosotros

Si necesitas asesoramiento no dudes en ponerte en contacto con nosotros rellenando el siguiente formulario.

Relacionados

Denuncia del incumplimiento del derecho a la protección de datos

6 de febrero de 2023 No hay comentarios

La persona que considere que se ha vulnerado su derecho a la protección de datos podrá, en primer lugar, dirigirse al responsable del tratamiento –empresario–,

Protección de datos en vacaciones

2 de agosto de 2022 No hay comentarios

La prestigiosa Agencia Española de Protección de Datos nos avisa que durante las vacaciones no podemos bajar la guardia y debemos seguir siendo activos en

Su tarjeta SIM en manos de criminales. Conoce el SIM Swapping

7 de marzo de 2022 No hay comentarios

La Agencia Española de Protección de Datos sanciona a las cuatro grandes empresas de telecomunicaciones con 5,81 millones por no proteger los datos personales de

¿Es necesario que el médico pida el consentimiento al paciente para recoger y usar sus datos personales?