Datos especialmente protegidos. Historia clínica María José Blanco Antón Secretaria General Agencia Española de Protección de Datos Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 1 Datos especialmente protegidos DATOS DE CARÁCTER PERSONAL: • ORDINARIOS O CORRIENTES • ESPECIALMENTE PROTEGIDOS (ARTÍCULO 7 LOPD) • SUPERSENSIBLES • SENSIBLES • FICHEROS DE INFRACCIONES PENALES Y ADMINISTRATIVAS Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 2 Datos especialmente protegidos • SUPERSENSIBLES: CONSENTIMIENTO EXPRESO TRATAMIENTO DE DATOS Y POR ESCRITO PARA EL IDEOLOGÍA AFILIACIÓN SINDICAL RELIGIÓN CREENCIAS EXCEPCIONES: FICHEROS MANTENIDOS POR PARTIDOS POLÍTICOS, SINDICATOS, IGLESIA, CONFESIONES O COMUNIDADES RELIGIOSAS Y ASOCIACIONES, FUNDACIONES Y OTRAS ENTIDADES SIN ÁNIMO DE LUCRO, EN LO RELATIVO A SUS ASOCIADOS O MIEMBROS. SE EXIGE PREVIO CONSENTIMIENTO PARA LA CESIÓN. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 3 Datos especialmente protegidos • SENSIBLES LEY O CONSENTIMIENTO EXPRESO (claro, patente, especificado) PARA EL TRATAMIENTO, LA RECOGIDA Y LA CESIÓN DE DATOS ORIGEN RACIAL SALUD VIDA SEXUAL Quedan prohibidos los ficheros creados con la finalidad exclusiva de almacenar datos que revelen ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 4 Datos especialmente protegidos EXCEPCIONES DEL CONSENTIMIENTO: Profesional sanitario sujeto al secreto profesional o persona sujeta a obligación equivalente de secreto, con la finalidad: tratamiento necesario para prevención o diagnóstico médico. prestación de asistencia sanitaria o tratamientos médicos. gestión de servicios sanitarios. salvaguardar el interés vital del afectado o de otra persona, si el afectado está física o jurídicamente incapacitado para dar su consentimiento. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 5 Datos especialmente protegidos ARTÍCULO 8 DE LA LOPD. Datos relativos a la salud Las instituciones y los centros sanitarios públicos y privados y los profesionales podrán proceder al tratamiento de datos de salud de las personas que acudan a ellos o hayan de ser tratados en los mismos, de acuerdo con la legislación estatal o autonómica sobre sanidad. LAP 41/2002 uso de la hª clínica. RLOPD: no consentimiento entre Sistema Nacional Salud para atención sanitaria. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 6 Datos de salud El conocimiento de los datos de salud por terceras personas puede tener consecuencias perjudiciales para el afectado. ¾ Punto de partida: ni la LOPD ni la Directiva 95/46/CE establecen un concepto de dato de salud. ¾ Semántica: salud es el estado en que el ser orgánico ejerce normalmente todas sus funciones o las condiciones físicas en que se encuentra un organismo en un momento determinado. ¾ OMS: el estado de completo bienestar físico, mental o social, y no solamente la ausencia de afecciones o enfermedades. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 7 Datos de salud ¾ Consejo de Europa. Memoria Convenio 108: “Datos de carácter personal relativos a la salud” informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo, pudiendo tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Igualmente comprenden las informaciones relativas al abuso del alcohol o al consumo de drogas. ¾ Recomendación nº R (97) 5: “Datos médicos” hacen referencia a todos los datos de carácter personal relativos a la salud de una persona, afectando a los datos manifiesta y estrechamente relacionados con la salud así como a las informaciones genéticas. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 8 Datos de salud ¾ Reglamento de desarrollo de la LOPD. Datos de carácter personal relacionados con la salud: Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. ¾ (no solo enfermedades o problemas de salud, sino datos que indiquen un buen nivel de salud, también datos de carácter personal). Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 9 Datos genéticos ¾ Recomendación nº R (97) 5: “Datos genéticos” todos los datos, de cualquier tipo, relacionados con los caracteres hereditarios de un individuo o que, vinculados a dichos caracteres, compongan el patrimonio de un grupo de individuos emparentados. Hace referencia de la misma manera a todos los datos que afecten a intercambios de información genética (genes) de un individuo o línea genética, con relación a cualquier aspecto de la salud o de una enfermedad, constituya o no un carácter identificable. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 10 Protección de datos clínicos • La historia clínica: ¿un conflicto de derechos? – El debate sobre la titularidad de la historia clínica: • El derecho del paciente (derechos de autonomía del paciente / derechos de protección de datos / derechos a la tutela judicial efectiva). • El derecho del profesional sanitario (la asistencia sanitaria al paciente / derechos de propiedad intelectual). • La legitimación de la Administración Sanitaria (la historia clínica como fuente de información sanitaria: Epidemiología / Investigación / Docencia / Inspección / Evaluación de la Calidad. • La legitimación de otras Instituciones (Jueces y Tribunales / Fiscalía / Defensoría del Pueblo / Policía judicial en investigaciones criminales). Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 11 Protección de datos clínicos • Cont. – La concurrencia de derechos y legitimaciones sobre la historia clínica. – La necesidad de un equilibrio delimitado por el legislador. • La utilidad de los principios de protección de datos personales (consentimiento / excepción legal – información – finalidad-y proporcionalidad – calidad de datos – seguridad y secreto). Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 12 Protección de datos clínicos • RÉGIMEN JURÍDICO – Convenio 108 del Consejo de Europa (1981) – Directiva 95/46/CE, de 24 de octubre – Ley Orgánica 15/1999, de 13 de diciembre (LOPD) – Ley 41/2002, de 14 de noviembre, de Autonomía del Paciente y Derechos y Obligaciones en Materia de Información y Documentación Clínica (LAP) Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 13 Protección de datos clínicos • LOS DATOS DE SALUD COMO DATOS ESPECIALMENTE PROTEGIDOS – Art. 8 DPD, Art. 6 Convenio 108 del Consejo de Europa y Art. 7 LOPD. • CONCEPTO DE DATO DE SALUD • STJCE 06-11-2003, Linqvist, Asunto C-101/01 – Es preciso dar una interpretación amplia a la expresión “datos relativos a la salud” empleada en su Art. 8 (1) , de modo que comprenda la información relativa a todos los aspectos tanto fíisicos como psíquicos de la salud de las personas. – La indicación de que una persona se haya lesionado un pie y está en situación de baja parcial constituye un dato personal relativo a la salud en el sentido del Artículo 8 (1) DPD. – Reglamento de desarrollo de la LOPD (RD 17/2007). Datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 14 Protección de datos clínicos • CONCLUSIÓN – Concepto amplio – Interpretación expansiva no restrictiva – Interpretación restrictiva de las excepciones Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 15 Protección de datos clínicos • INFORMACIÓN CLÍNICA E HISTORIA CLÍNICA (LAP) – INFORMACIÓN CLÍNICA “Todo dato, cualquiera que sea su forma, clase o tipo, que permite adquirir o ampliar conocimientos sobre el estado físico y la salud de una persona o sobre la forma de preservarla, cuidarla, mejorarla o recuperarla” – HISTORIA CLÍNICA “Conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y evolución clínica de un paciente a lo largo del proceso asistencial” • ELEMENTOS ADICIONALES: – Identificación médicos y profesionales que intervienen – Documentación clínica ordenada y secuencial – Máxima integración posible, al menos en cada centro – Contenido mínimo (anotaciones subjetivas) Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 16 Protección de datos clínicos LEGITIMACIÓN PARA EL TRATAMIENTO (ART. 8 D. 95/46/CE Y ART. 7 LOPD) • Consentimiento explícito. • Interés vital. • Prevención o diagnóstico médicos, protección asistencia sanitaria o gestión de servicios sanitarios. – Profesional sanitario sujeto a secreto profesional o persona sujeta a obligación equivalente. • Otras excepciones (EEMM): – Motivos de interés público importantes. – Legislación nacional o decisión autoridad de control. Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 17 Protección de datos clínicos - FINALIDADES • Principal. Facilitar la asistencia sanitaria. Instrumento destinado a garantizar asistencia adecuada (obligaciones del paciente y del profesional sanitario). • Otros fines: – Epidemiológicos – Salud pública – Docencia e investigación – Inspección, evaluación, acreditación y planificación de la calidad de la asistencia sanitaria – Administración y gestión sanitaria (acceso limitado: vinculado a sus funciones / baremos o parámetros para evaluación de costes) – Investigación judicial Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 18 Protección de datos clínicos • ACCESOS A LA HISTORIA CLÍNICA (LOPD Y LAP) – LOPD y Normas de desarrollo: • Reconocimiento del derecho (personalísimo) • Prioridad en su ejercicio (opción del paciente) • Modalidades de acceso (opción del paciente) – Visualización en pantalla, escrito, copia o fotocopia por correo, telecopia o cualquier otro procedimiento adecuado a la configuración e implantación del fichero – Acceso incompleto • Plazos (un mes para resolver y 10 días para el ejercicio efectivo) Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 19 Protección de datos clínicos • LAP – Paciente: • Directa o por representación • Conocer y obtener copia de los datos • Contenido mínimo de la historia clínica y datos adicionales (documentación original, copias de las pruebas e informes) • Limitaciones: – Perjuicio de terceros cuyos datos consten en interés del paciente – Reserva de los profesionales a sus anotaciones subjetivas: • Derecho reconocido normativamente • Interpretación restrictiva • Derecho de los profesionales que la elaboran, no de los centros • Excluye contenido mínimo • Protocolos y estandares Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 20 Protección de datos clínicos – Profesionales: • Que realicen el diagnóstico o tratamiento del paciente • Finalidad: Garantizar su adecuada asistencia sanitaria – Terceros: • Reconocimiento normativo por razones de interés general • Respeto al principio de finalidad que legitima el acceso • Supuestos (epidemiológicos, salud pública, judiciales, etc.) Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 21 Protección de datos clínicos – Modalidades de acceso • Regla general: Anonimato • Excepciones: – Consentimiento – Investigación judicial (la proporcionalidad). – Otros (epidemiología …) • Proporcionalidad Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 22 Protección de datos clínicos – Fallecidos: • Personas vinculadas por razones familiares o de hecho • Proporcionalidad: Acceso a los datos pertinentes • Limitaciones: – Prohibición expresa del paciente – Respeto intimidad del fallecido – Reserva anotaciones subjetivas – Perjuicio de terceros (datos que consten en la historia clínica) Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 23 Protección de datos clínicos - - DERECHO DE RECTIFICACIÓN (LOPD) - Modificación del diagnóstico (contrainforme) - Procedimientos específicos (seguridad social, etc.) - Denegación motivada DERECHO DE CANCELACIÓN (LOPD y LAP) - Denegación motivada - Obligaciones de conservación - Tiempo necesario para la asistencia sanitaria - Necesidades epidemiológicas, investigación u organización y funcionamiento del Sistema Nacional de Salud - Mínimo 5 años (legislación autonómica) Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 24 Protección de datos clínicos – SEGURIDAD • Integridad y recuperación de la información • Accesos no autorizados • Medidas de seguridad según normativa de protección de datos (Documento de seguridad. Funciones y obligaciones del personal. Registro de incidencias. Control de acceso. Gestión de soportes o documentos. Identificación y autenticación. Copias de respaldo y recuperación. Transmisión de datos) • Informe sobre hospitales – SECRETO • Profesional sanitario o equivalente Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 25 Protección de datos clínicos • Prestaciones de servicios (custodia documentación clínica) (encargado de tratamiento). – Contrato escrito. – Instrucciones del responsable. – Advertencia sobre prohibición de usos distintos. – Devolución al término de la prestación. – Modalidad de seguridad. – Diligencia. – RLOPD (Subcontratación. Cambio de prestador de servicio). – Cloud computing: Guía y orientaciones AEPD Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 26 Protección de datos clínicos • CENTRALIZACIÓN E INTERCAMBIO DE LA INFORMACIÓN SANITARIA (DERECHO A LA MOVILIDAD) (Historia clínica electrónica). – Habilitación legal (Ley 16/2003, de 28 de mayo, de cohesión y calidad del SNS) • Previsiones: – Sistema de Información Sanitario del SNS – Intercambio de información de salud entre los servicios del SNS – Red de Comunicaciones del SNS (art. 54) Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 27 Protección de datos clínicos – Intercambio de información (art. 56) • Finalidad: – Permitir al interesado y a los profesionales que participen en la asistencia el acceso a la historia clínica – Limitación a datos estrictamente necesarios para garantizar: • Calidad asistencial • Confidencialidad e integridad de la información • Intercambio electrónico de información clínica • RLOPD (art. 10.2.c) Cesión entre AAPP del SNS • Atención sanitaria conforme a Ley 16/2003. • Garantías: Sujeción a LOPD y LAP Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 28 Protección de datos clínicos – Red de Comunicaciones del SNS (art. 54) – Certificación electrónica, firma electrónica y cifrado – Datos: • Código identificación personal único • Información clínica y registros sanitarios • Receta electrónica Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 29 MUCHAS GRACIAS Impulso al desarrollo normativo de la protección de datos personales en Centroamérica y el Caribe. Guatemala. 11-14 febrero 2014 30