L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la Guía para profesionales del sector sanitario (disponible només en espanyol), un document que respon els dubtes més freqüents en relació amb el tractament de les dades que puguin tenir els professionals que presten serveis sanitaris.
Els destinataris d’aquesta guia són principalment professionals de la salut que acompleixin funcions a títol individual, tot i que és útil també per als que desenvolupin l’activitat en el marc de un establiment sanitari.
A continuació, us traslladam algunes de les principals consideracions que presenta la nova guia de l’AEPD.
Quina condició tenen les dades de salut?
Les dades de salut s’inclouen en les categories especials de dades, per la qual cosa s’hi aplica un règim reforçat de protecció i dins les anomenades dades sensibles.
Per tant, tot el personal que tengui accés a les dades de salut d’un pacient està subjecte al deure de secret, a assegurar-se que el tractament de les dades sigui lícit i a informar el pacient dels seus drets i que es tractaran les seves dades.
Quan cal obtenir un consentiment?
Basant-nos en la diferència entre el consentiment informat, que regeix l’actuació sanitària, i el consentiment per al tractament de les dades personals (incloent-hi les relatives a la salut), es pren com a referència el segon.
Tot i que generalment no cal obtenir el consentiment de l’interessat en l’àmbit de l’atenció sanitària, sí que cal informar-lo de determinats aspectes, com ara la identitat i les dades de contacte del responsable de tractament, la finalitat a la que es destinarà el tractament i el termini de conservació de les dades, entre d’altres.
Amb quines altres finalitats poden ser tractades les dades obtingudes?
Si les dades s’han obtingut en el marc d’una assistència sanitària i han estat incorporades a una història clínica, la finalitat principal és facilitar l’assistència sanitària.
No obstant això, la normativa permet en certs casos tractar dades incorporades a una història clínica amb altres finalitats, com ara finalitats judicials, epidemiològiques, de salut pública, de recerca o de docència. En aquests casos, la regla general és separar les dades identificatives de les clinicoassistencials.
Qui pot accedir a una història clínica i quan hi pot accedir?
L’accés a les històries clíniques està limitat, de manera que tant el personal sanitari com altres professionals poden accedir-hi únicament per acomplir les funcions pròpies. El responsable del tractament té l’obligació d’aplicar les polítiques de control d’accés, de registre i de traçabilitat dels accessos.
Així i tot, en els casos en què hi prevalguin l’eficàcia i l’eficiència de l’actuació mèdica —com en les emergències vitals, per exemple—, mai s’ha de limitar l’accés amb l’excusa d’haver de complir la normativa de protecció de dades.
Com cal actuar en els casos de menors?
Als menors se’ls pot concedir el dret a accedir a la seva història clínica a partir dels catorze anys, perquè tenen dret a estar informats, de manera que és bàsica aquesta informació perquè puguin exercir els seus drets, puguin ser escoltats i que la seva opinió sigui tinguda en compte en funció de l’edat i la maduresa.
En aquests casos, els progenitors poden accedir també a la història clínica dels seus fills fins a la majoria d’edat, atès que en són els titulars de la potestat parental i tenen l’obligació de vetlar per aquells i complir els deures de cura i assistència.
Quin tipus de responsabilitat recau sobre un accés no autoritzat?
Independentment de les obligacions del responsable, el personal sanitari o professional que accedeixi a una història clínica sense justificació es pot veure subjecte a diferents tipus de responsabilitat penal, disciplinària i administrativa, i alguns casos es poden donar fins i tot de manera conjunta.
La guia esmentada és complementària a la Guía para pacientes y usuarios de la sanidad i la pàgina web de l’AEPD dedicada a la informació sanitària (tots dos recursos exclusivament en espanyol).
A més, l’Oficina de Seguretat del Servei de Salut de les Illes Balears us recomana consultar alguns butlletins de seguretat anteriors relacionats amb aquesta guia de l’AEPD i visitar la nostra secció «Preguntes freqüents sobre seguretat de la informació».