Responsabilidad del tratamiento y cesión de datos en el ámbito sanitario


Manuel Castilleja Toscano     22/04/2024

TRATAMIENTO DE DATOS EN EL ÁMBITO SANITARIO

1. Responsabilidad con respecto al tratamiento de datos de pacientes derivados de un Centro Sanitario a otro

Para determinar la condición de Responsable o Encargado del tratamiento por parte de un Centro Sanitario que recibe datos de pacientes (ficha de pacientes, informes médicos, etc.) de otro Centro, como resultado de una prestación de asistencia sanitaria, analizaremos los siguientes artículos de:

  • GDPR:
    • Art. 4.7: define al responsable del tratamiento como, “la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento(..)”.
    • Art. 4.8: define al encargado del Tratamiento como, “la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento”.
    • Art. 28.3: exige la existencia de un contrato u otro acto jurídico con arreglo al derecho de la Unión o de los Estados miembros que vincule al encargado respecto del responsable, y entre las estipulaciones que debe contener dicho contrato se establece que “el encargado tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, (…)"
  • Ley 41/2002 básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica:
    • Art. 14.2: dispone que “cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información”.
    • Art. 17.1: establece que “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial”.

Del análisis de dichos artículos podemos concluir que:

  • El criterio que determina la condición de responsable del tratamiento viene dado por la potestad de determinar los fines y los medios del tratamiento, en tanto que el encargado debe limitar su actuación a seguir las instrucciones del responsable.
  • Junto con el posible tratamiento que pudiera derivarse de la relación jurídica existente entre el Centro que presta el servicio y la entidad que lo solicita (ya se trate de otro centro sanitario o de una aseguradora), la Ley 41/2002 impone al Centro al que se deriva al paciente y presta la asistencia sanitaria, la obligación del tratamiento de los datos personales que tengan que incorporarse a la historia clínica del paciente, excediendo obviamente dicho tratamiento de “las instrucciones del responsable del tratamiento (centro que solicita el servicio)”.
  • Dadas estas circunstancias, el centro al que se deriva el paciente se considerará responsable del tratamiento por la imposibilidad de aplicar el artículo 28 del GDPR.

2. Licitud y requisitos para la comunicación de datos personales desde un Centro Privado Concertado a cualquier Servicio Público de Salud

Para determinar si se precisa o no el consentimiento del paciente para integrar los datos sanitarios incorporados a una única historia clínica en el sistema informático de un Servicio Público de Salud, como resultado de una asistencia privada prestada en el Centro Concertado, analizaremos los siguientes artículos de:

  • GDPR:
    • Art. 6.1.e: en lo referente a la base jurídica que puede legitimar un tratamiento de datos, dispone que este sería lícito cuando “sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”.
    • Art. 9.2.h: en lo referente al levantamiento de la prohibición del tratamiento de datos de categoría especial, dispone que sería lícito cuando “sea necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado 3”.
  • Ley 41/2002 básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica:
    • Art. 14.1: en lo referente a la máxima integración de la historia clínica, dispone que “la historia clínica comprende el conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro”.
    • Art. 15.2: en lo referente a la finalidad de la historia clínica dispone que “La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud”.
    • Art. 17.4: establece que “la gestión de la historia clínica por los centros con pacientes hospitalizados, o por los que atiendan a un número suficiente de pacientes bajo cualquier otra modalidad asistencial, según el criterio de los servicios de salud, se realizará a través de la unidad de admisión y documentación clínica, encargada de integrar en un solo archivo las historias clínicas. La custodia de dichas historias clínicas estará bajo la responsabilidad de la dirección del centro sanitario”.
    • Art. 17.5: establece que “los profesionales sanitarios que desarrollen su actividad de manera individual son responsables de la gestión y de la custodia de la documentación asistencial que generen”.
  • Ley 16/2003 de cohesión y calidad del Sistema Nacional de Salud:
    • Art. 56: dispone en su párrafo primero que “con el fin de que los ciudadanos reciban la mejor atención sanitaria posible en cualquier centro o servicio del Sistema Nacional de Salud, el Ministerio de Sanidad y Consumo coordinará los mecanismos de intercambio electrónico de información clínica y de salud individual, previamente acordados con las comunidades autónomas, para permitir tanto al interesado como a los profesionales que participan en la asistencia sanitaria el acceso a la historia clínica en los términos estrictamente necesarios para garantizar la calidad de dicha asistencia y la confidencialidad e integridad de la información, cualquiera que fuese la Administración que la proporcione”.
    • Art. 15.2: en lo referente a la finalidad de la historia clínica dispone que “La historia clínica tendrá como fin principal facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud”.
  • Ley 14/1986 General de Sanidad:
    • Art. 44.1: señala que “todas las estructuras y servicios públicos al servicio de la salud integrarán el Sistema Nacional de Salud”.
    • Art. 44.2: señala que “el Sistema Nacional de Salud es el conjunto de los Servicios de Salud de la Administración del Estado y de los Servicios de Salud de las Comunidades Autónomas en los términos establecidos en la presente Ley”.
    • Art. 45: señala que “el Sistema Nacional de Salud integra todas las funciones y prestaciones sanitarias que, de acuerdo con lo previsto en la presente Ley, son responsabilidad de los poderes públicos para el debido cumplimiento del derecho a la protección de la salud”.
    • Art. 90: habilita la celebración de conciertos con entidades sanitarias para la prestación de servicio, cuando señala “que las Administraciones Públicas Sanitarias, en el ámbito de sus respectivas competencias, podrán establecer conciertos para la prestación de servicios sanitarios con medios ajenos a ellas”.

Del análisis de dichos artículos podemos concluir que:

  • Aun no formando parte integrante del sistema Nacional de Salud, los Centros Privados Concertados desarrollan acciones asistenciales directamente vinculadas con el sistema, pudiendo incluso entenderse que las mismas constituyen, en cuanto sea objeto de concierto, servicios propios del mencionado Sistema.
  • No se precisa consentimiento del interesado para llevar a cabo la cesión:
    • La incorporación a la historia clínica electrónica de los datos originados como consecuencia de una asistencia prestada al paciente en el marco del concierto que un Centro Privado mantenga con un Servicio Público de Salud constituiría una cesión de datos que resultaría conforme con el GDPR por encontrarse amparada en el artículo 56 de la Ley 16/2003.
    • El levantamiento de la prohibición de la cesión de los datos relativos a la salud de los pacientes del Centro Privado al Servicio Público estaría amparado en que la cesión sería necesaria para diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario, o gestión de los sistemas y servicios de asistencia sanitaria, sobre la base de una Ley.