La Agencia Española de Protección de Datos (AEPD) acaba de publicar una nueva sección en su página web dedicada exclusivamente al tratamiento de datos de salud. A través de esta iniciativa, la Autoridad española resalta la importancia de un uso y tratamiento lícitos de los datos considerados de categorías especiales y, además, pretende dar respuesta a cuestiones que, en materia de protección de datos, surgen en el ámbito sanitario.

Tal y como ha indicado la AEPD, ésta nueva sección busca “dar respuesta al planteamiento manifestado por representantes del sector sanitario y asociaciones de usuarios de contar con un compendio de legislación, criterios, doctrina y precedentes en materia de salud y protección de datos”.

La sección se compone de siete apartados que recogen diversas cuestiones relacionadas con el tratamiento de datos sanitarios, desde información general sobre el tratamiento de los datos de salud y cómo ejercer el derecho de acceso a la historia clínica hasta cuestiones relacionadas con la investigación médica. Además, recoge los criterios marcados por la Agencia a partir de consultas planteadas por el sector sanitario, además de información sobre expedientes e inspecciones que se han realizado de oficio.

En concreto, una de las cuestiones tratadas en la nueva sección, y que en la práctica diaria suscitan numerosas dudas, versa sobre la responsabilidad de los datos clínicos, debiendo entenderse como tales los que se incorporen a la historia clínica de los pacientes, en un centro sanitario y, en concreto, a quién corresponde el deber de conservación y custodia de las historias clínicas generadas en el ámbito de la prestación sanitaria.

Aclara la AEPD que en el ámbito público el responsable del tratamiento será siempre la autoridad sanitaria, pues es quien tiene encomendadas por la normativa las competencias sanitarias, lo que le permite determinar los fines y medios del tratamiento. En consecuencia, exponemos a continuación, en el ámbito privado los tres escenarios más recurrentes:

El primer supuesto, que resulta el más frecuente, se refiere a un profesional o una sociedad que presta sus servicios en base a un contrato – laboral o mercantil- firmado con el centro. En este caso, el profesional sanitario, si bien toma todas las decisiones sobre la atención sanitaria de los pacientes, se encuentra contratado para ello por el hospital o la clínica. En consecuencia, el centro, como responsable del tratamiento, tiene encomendadas todas las obligaciones en materia de protección de datos. Por ello, será el encargado de suministrar instrucciones al profesional sobre cómo actuar en relación con la historia clínica, la cumplimentación de la misma, la determinación de las medidas de seguridad a seguir o qué hacer si solicitan los pacientes el ejercicio de uno de los derechos previstos en los artículos 15 a 22 del RGPD, entre otras cuestiones.

Un ejemplo de ello lo encontramos en la reclamación dirigida por un médico contra un hospital y que finalmente se archivó. En dicha reclamación, el profesional sanitario, tras haber finalizado su relación con el centro, exigía copia de la historia clínica de los pacientes que había atendido durante la vigencia de su contrato. Dado que el contrato no era laboral, sino mercantil, consideraba que la titularidad de los datos personales de las historias clínicas de los pacientes que había atendido en dicho centro hospitalario no podían mantenerse en el sistema informático del hospital y debían ser custodiados por el médico.

Sin embargo, exponía la AEPD que, tras una práctica de prueba muy minuciosa durante la instrucción del procedimiento, se constató que el reclamante no cumplía requisito alguno para poder ser considerado responsable del tratamiento, al no decidir ni sobre los fines ni sobre los medios del tratamiento.

En el segundo supuesto, un profesional sanitario presta sus servicios en un hospital o en una clínica mediante el correspondiente arrendamiento de una consulta. En este caso, es el profesional el que toma todas las decisiones sobre la atención sanitaria de sus pacientes, incluyendo el tratamiento de sus datos personales, y la relación con el hospital o la clínica se limita al arrendamiento de un local. La AEPD considera al profesional sanitario responsable del tratamiento de los datos personales de sus pacientes dado que es quien decide sobre los fines y medios del tratamiento. En consecuencia, se le atribuyen como responsable del tratamiento todas las obligaciones derivadas del RGPD en relación con el tratamiento efectuado.

Por último, en ocasiones nos encontramos con un tercer supuesto donde los profesionales sanitarios comparten espacios, herramientas, medios, personal, etc., con el hospital. Estos supuestos pueden tener una configuración confusa dado que la relación jurídica entre el profesional sanitario y la clínica u hospital se desdibuja. En tales ocasiones acontece que el profesional sanitario atiende a sus propios pacientes en una consulta de la clínica u hospital, que compagina con la atención a los pacientes pertenecientes al centro sanitario; así será necesario realizar un análisis de la relación de las partes con los pacientes y asignar las responsabilidades en cada caso concreto.

Y todo ello sin perjuicio de las obligaciones de secreto profesional que en todo cabo tienen que mantener los profesionales sanitarios respecto de los datos de salud que conozcan en el ejercicio de su profesión.

Andrea Camps.