A la hora de estudiar el tratamiento de datos relativos a la salud, hay que tener en cuenta la Ley General de Sanidad de 25 de abril de 1986 y la Ley 41/ 2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de derechos y obligaciones en materia de información y documentación clínica, y la regulación en materia de protección de datos de carácter personal que se constituye por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,  en lo que respecta al tratamiento de los datos personales de las personas físicas y a la libre circulación de estos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y la Ley Orgánica Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos y garantía de los Derechos digitales.

Para entender qué son los datos relativos a la salud debemos establecernos en lo indicado en el RGPD. Más concretamente, su Considerando 35 indica que entre los datos personales relativos a la salud se deben incluir todos los datos relativos al estado de salud del interesado que se refieren a su estado de salud física o mental pasado, presente o futuro.

Se incluye la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria o con ocasión de la prestación de tal asistencia, de conformidad con la Directiva 2011/24/UE del Parlamento Europeo y del Consejo:

  • Todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios.
  • Información obtenida en pruebas o exámenes de una parte del cuerpo o de sustancias corporales, incluida aquella que proceda de datos genéticos y muestras biológicas.
  • Cualquier información relativa, a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades
  • Historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente. Por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.

Además, la normativa en materia de protección de datos de carácter personal indica necesidad de proteger y gestionar estrictamente los datos de categorías especialmente protegidos. Como los relativos a nuestra salud física y mental, así como los datos personales como la dirección, el documento de identidad y a veces incluso los datos fiscales.

Por este motivo, el personal médico está obligado por ley a proporcionar a todos sus pacientes el Consentimiento explícito y por escrito. Además, para el tratamiento de los datos de carácter personal de los pacientes para la gestión sanitaria, se deberá facilitar a los pacientes un legal de protección de datos donde ser incluya, entre otros (i) quién será el responsable del tratamiento, (ii) qué derechos tienen los pacientes en materia de protección de datos, (iii) dónde pueden ejercer dichos derechos, etc.

En general, podemos decir que la piedra angular del Reglamento general de protección de datos está representada por el “principio de responsabilidad“. Este principio exige que los responsables del tratamiento de datos sean proactivos en el cumplimiento de los requisitos de protección de datos.

Se demanda a los responsables del tratamiento de datos que analicen, apliquen y supervisen cómo se aplican las medidas técnicas y organizativas adecuadas para garantizar y demostrar que el tratamiento de los datos cumple los requisitos del Reglamento general de protección de datos.

El propio RGPD proporciona una orientación general sobre las medidas que debe tomar el responsable del tratamiento. Y hace que la definición de estas medidas dependa de la naturaleza, el alcance, las contingencias, el contexto y el propósito del tratamiento correspondiente.

En Letslaw podemos ayudar a los profesionales médicos-sanitarios a mejorar sus procesos de tratamiento de datos y también a adecuarse a la realidad jurídica europea y española en materia de protección de datos de carácter personal.