La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, en su artículo 18, regula el derecho de acceso a la historia clínica del paciente, derecho que está conectado con el propio derecho de acceso del artículo 15 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (a partir de ahora, RGPD).

Por lo tanto, además de la información que debe proporcionarse a los pacientes por el hecho de ejercitar su derecho de acceso conforme al RGPD (fines del tratamiento, categoría de datos, destinatarios o categoría de destinatarios a los que se comunican o comunicarán sus datos…), los pacientes tienen derecho a acceder a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella, pero el ejercicio de este derecho por parte de un paciente no implica que se le deba proporcionar íntegramente los documentos de la historia clínica ya que existe determinada información que deberá excluirse.
También sucede que, en determinados casos y para finalidades concretas, otras personas diferentes al paciente o los sanitarios que le asisten pueden tener acceso a la información que contiene la historia clínica.

¿QUÉ PUEDE O NO APARECER EN LA COPIA DE LA HISTORIA CLÍNICA QUE SE PROPORCIONA AL PACIENTE?

Publicado en Blog

El derecho de acceso se puede definir como aquel que tienen las personas a obtener información sobre el tratamiento de sus datos personales. Se trata por tanto de un derecho personalísimo, que solo puede ser ejercitado el propio interesado y cuyo ejercicio queda previsto tanto en el artículo 15 del Reglamento General Europeo de Protección de Datos (RGPD) como en el artículo 13 de la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Ahora bien, ¿se puede tener acceso a los datos de los fallecidos?

Sobre esta cuestión, se ha pronunciado recientemente la Agencia Vasca de Protección de Datos (AVPD), en su Dictamen N.º D19-008.

En primer lugar, tal y como ya hemos comentado en alguna ocasión en este blog (ver aquí), los tratamientos de datos de las personas fallecidas están fuera del ámbito de aplicación de la normativa de protección de datos de carácter personal.  Esto es así en virtud del artículo 32 del Código Civil por el cual el fallecimiento de una persona determina la extinción de su personalidad civil, y dicha exclusión se recoge en el Considerando 27 del RGPD y en el artículo 2 de la LOPDGDD.

En esta misma línea cabe citar la Sentencia del Tribunal Constitucional 292/2000 de 30 de noviembre, en la que afirma que, “si el derecho fundamental a la protección de datos ha de ser considerado como el derecho del individuo a decidir sobre la posibilidad de que un tercero pueda conocer y tratar la información que le es propia, es evidente que dicho derecho desaparece por la muerte de las personas, porque los tratamientos de datos personas fallecidas no podrían considerarse comprendidos dentro del ámbito de aplicación de la Ley”.

La exclusión expresa del mencionado artículo 2 LOPDGDD, se realiza sin perjuicio de lo establecido en el artículo 3, el cual dispone por su parte, que las personas vinculadas al fallecido por razones familiares o de hecho, así como sus herederos, podrán solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión, salvo cuando la persona fallecida lo hubiese prohibido expresamente o así lo establezca una ley.

Por otra parte, en virtud del artículo 12.5 RGPD “cuando las leyes aplicables a determinados tratamientos establezcan un régimen especial que afecte al ejercicio de los derechos, se estará a lo dispuesto en aquellas”.

Y es sobre este punto sobre el cual versa el Dictamen emitido por la AVPD en su Dictamen al resolver una consulta sobre el acceso a la Historia Clínica de las personas fallecidas por parte de sus familiares al ponerse en tela de juicio la posible controversia entre dos normas aplicables:

Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica

Su artículo 18.4 dispone que:

  • Sólo se facilitará el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite.
  • En todo caso, el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes y no se facilitará información que afecte a la intimidad del fallecido, que perjudique a terceros, ni tampoco las anotaciones subjetivas de los profesionales.
Publicado en Blog

La Agencia Española de Protección de Datos (en adelante AEPD) ha procedido a sancionar a un médico por importe de 5.000€,sanción que deriva de la pérdida de un video se grabó el 14 de octubre de 2014, cuando la paciente afectada se sometió a una intervención quirúrgica en un hospital privado de Madrid, video que fue grabado con el fin de captar la técnica para futuros usos científicos y docentes.

En el momento en el que la paciente solicitó las imágenes grabadas al doctor, con la intención de poder contrastar opiniones de distintos facultativos sobre la operación que se le había realizado, fue cuando se encontró con una respuesta vía e-mail que ni mucho menos se esperaba, en la cual el médico le decía textualmente lo siguiente;

“Como te he comentado lamento no haber podido encontrar las imágenes de tu cirugía, pero los niños me perdieron varios pendrives y es posible que en ellos se fuera tu intervención”

Fue a partir de este momento cuando la afectada decidió denunciar al facultativo, entendiendo que este había actuado con una grave falta de diligencia y dejando en manos de la AEPD la valoración de la tipología de falta cometida, cabe en este punto traer a colación los tipos de infracciones que encontramos reguladas en la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (en adelante LOPD) , dedica en concreto en su artículo 44 la regulación de los Tipos de infracciones, refiriéndose en su punto 1º a que estas pueden ser de distintos tipos dependiendo de lo acaecido en cada caso concreto:

“Las infracciones se calificarán como leves, graves o muy graves”

Respecto a esto, la AEPD determinó en el Acuerdo de Inicio del expediente sancionador que los hechos enjuiciados fueron calificados como una infracción del artículo 9.1 LOPD:

“El responsable del fichero, y, en su caso, el encargado del tratamiento deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”

Se hace en relación con el artículo 102 del RLOPD 1720/2007, sobre las copias de respaldo y recuperación. Ampliándose con el artículo 106 del RLOPD sobre los criterios de archivo, que dice deberán, entre otras cosas, posibilitar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación.
Esto supone una infracción grave, como ya hemos adelantado anteriormente en referencia a la LOPD, y que trae aparejadas consigo multas que van de los 40.001 a los 300.000 euros.

Para intentar evitar esta sanción el médico formuló una serie de alegaciones, entre las cuales nos gustaría destacar las siguientes:

Publicado en Blog

Una semana más seguimos con el análisis de algo tan importante como son los derechos de los interesados recogidos en el RGPD.

Semanas atrás hemos hablado del derecho de transparencia y del derecho de información donde el RGPD introduce importantes novedades.

En el artículo de hoy nos centraremos en el derecho de acceso, un derecho que no es nuevo para nosotros pues ya se regula en nuestro derecho interno.

A pesar de lo antedicho el RGPD introduce cuestiones interesantes, como por ejemplo respecto del acceso a los datos relativos a la salud. En el considerando 63 se indica “Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables (...). Ello incluye el derecho de los interesados a acceder a datos relativos a la salud, por ejemplo los datos de sus historias clínicas que contengan información como diagnósticos, resultados de exámenes, evaluaciones de facultativos y cualesquiera tratamientos o intervenciones practicadas.”

Publicado en Blog
Miércoles, 24 Diciembre 2014 10:29

Algunas peculiaridades del derecho de acceso

El derecho de acceso, es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. De esta forma se describe en el artículo 27 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Además, en el apartado 2 del mismo artículo, se establece que en virtud del derecho de acceso, el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

Por otro lado, el artículo 28 del Real Decreto 1720/2007 indica que, el afectado podrá optar por recibir la información a través de uno o varios sistemas de consulta del fichero, como son la visualización en pantalla, escrito, copia o fotocopia remitida por correo, certificado o no, telecopia, correo electrónico u otros sistemas de comunicaciones electrónicas.

De la lectura de los mencionados artículos, a priori, se podría entender que el legislador establece en términos absolutos el derecho de los afectados a acceder a cuanta información de ellos se esté tratando por parte de un responsable del fichero.

En la práctica, el derecho de acceso no es absoluto, y por tanto tienen sus limitaciones, vamos a verlo a través de dos situaciones en las que ya sea como titulares de datos o como responsables de ficheros nos podemos encontrar:

Publicado en Blog

El recien publicado DECRETO 164/2013, DE 24 DE OCTUBRE, POR EL QUE SE MODIFICA EL DECRETO 29/2009, DE 5 DE FEBRERO, POR EL QUE SE REGULA EL USO Y ACCESO A LA HISTORIA CLÍNICA ELECTRÓNICA (DOG DEL 7-11-2013) recoge una actualizacion procedimental aplicada a la la normativa sanitaria en el ambito de la informacion de los pacientes, apoyada en los principios recogidos en la Ley de autonomia del paciente, así como, el tratamiento de la historia clínica y el acceso a la misma .

Publicado en Blog

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal