Inicio
Protección de datos
Marginales
¿Cuáles son los principios relativos al tratamiento de los datos personales en el sector sanitario?
Inicio
Protección de datos
Marginales
¿Cuáles son los principio...sanitario?
Ver Indice
»

Última revisión
04/10/2023

datos

1800 - ¿Cuáles son los principios relativos al tratamiento de los datos personales en el sector sanitario?

Tiempo de lectura: 8 min

Tiempo de lectura: 8 min

Relacionados:

Vademecum: Datos

Fecha última revisión: 22/02/2022

Resumen:

Conoce los principios relativos al tratamiento de datos personales sanitarios según el RGPD y la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP). Aprende todos los requisitos a tener en cuenta para el tratamiento lícito y transparente de los datos relativos a la salud de una persona, los datos genéticos y los datos biométricos.

 

Los principios relativos al tratamiento de datos personales en el sector sanitario son los siguientes (art. 4 RGPD):

  • Datos relativos a la salud.
  • Datos genéticos.
  • Datos biométricos.

Definiciones en relación a la protección de datos sanitarios

En relación con las definiciones aportadas por el art. 4 del RGPD, es conveniente destacar las siguientes:

  • Los «datos relativos a la salud» como los «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud» (artículo 4.15 del RGPD).
  • Los «datos genéticos» como los «datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona» (artículo 4.13 del RGPD).
  • Los «datos biométricos» como los «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos» (artículo 4.14 del RGPD).

CUESTIÓN

¿Qué considerandos del RGPD se refieren a los datos de salud, datos genéticos y datos biométricos?

a. Datos personales relativos a la salud:

- Considerando 35 del RGPD.

- Considerando 52 del RGPD.

- Considerando 54 del RGPD.

- Considerando 63 del RGPD.

- Considerando 65 del RGPD.

- Considerando 71 del RGPD.

- Considerando 159 del RGPD.

b. Datos personales genéticos:

- Considerando 34 del RGPD.

- Considerando 75 del RGPD.

c. Datos personales biométricos:

- Considerando 51 del RGPD.

- Considerando 91 del RGPD.

Principios relativos al tratamiento de datos en el RGPD

Según el artículo 5 del RGPD, los datos personales serán:

a. Tratados de manera lícita, leal y transparente en relación con el interesado.

b. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de conformidad con el apartado primero del artículo 89 de la norma de referencia, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales.

c. Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

d. Exactos y, si fuera necesario, actualizados, se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

e. Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de acuerdo con el apartado primero del artículo 89 del RGPD, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el antedicho reglamento a fin de proteger los derechos y libertades del interesado.

f. Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

En lo que nos ocupa, el responsable del tratamiento de datos será responsable del cumplimiento de los anteriores principios, y, además, tendrá que ser capaz de demostrarlo.

A TENER EN CUENTA. Tan pronto como el responsable del tratamiento tenga conocimiento de que se ha producido una violación de la seguridad de los datos personales, el responsable debe, sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, notificar la violación de la seguridad de los datos personales a la autoridad de control competente, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. En el caso de que dicha notificación no fuese posible en el plazo de 72 horas, debe acompañarse de una indicación de los motivos de la dilación, pudiendo facilitarse información por fases sin más dilación indebida (considerando 85 del RGPD).

CUESTIONES

1. En síntesis, ¿qué principios se regulan en el apartado primero del artículo 5 del RGPD?

El art. 5 del RGPD reconoce los siguientes principios en el tratamiento de datos personales:

- Principio de licitud, lealtad y transparencia.

- Principio de limitación de la finalidad.

- Principio de minimización de datos.

- Principio de exactitud.

- Principio de limitación del plazo de conservación.

- Principio de integridad y confidencialidad.

- Principio de responsabilidad proactiva.

2. ¿Cuáles son las obligaciones generales del responsable del tratamiento y del encargado del tratamiento?

Las obligaciones generales del responsable y del encargado del tratamiento se encuentran en las siguientes normas del RGPD:

- Responsabilidad del responsable del tratamiento (artículo 24 del RGPD).

- Protección de datos desde el diseño y por defecto (artículo 25 del RGPD).

- Corresponsables del tratamiento (artículo 26 del RGPD).

- Representantes de responsables o encargados del tratamiento no establecidos en la Unión (artículo 27 del RGPD).

- Encargado del tratamiento (artículo 28 del RGPD).

- Tratamiento bajo la autoridad del responsable o del encargado del tratamiento (artículo 29 del RGPD).

- Registro de las actividades de tratamiento (artículo 30 del RGPD).

- Cooperación con la autoridad de control (artículo 31 del RGPD).

En concreto, el apartado primero del artículo 24 del RGPD establece que el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el RGPD, estimando diversos factores como:

- La naturaleza del tratamiento.

- El ámbito del tratamiento.

- El contexto del tratamiento

- Los fines del tratamiento.

- Los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas.

Ahora bien, dichas medidas se revisarán y actualizarán cuando sea necesario.

Principios de protección de datos personales en la LOPDGDD

De acuerdo con la letra d) del apartado primero del artículo 5 del RGPD, los datos serán exactos y, si fuera necesario, actualizados.

A los efectos establecidos en el citado artículo no será imputable al responsable del tratamiento, siempre que este haya adoptado todas las medidas razonables para que se supriman o rectifiquen sin dilación, la inexactitud de los datos personales, con respecto a los fines para los que se tratan, cuando los datos inexactos hubiesen sido, atendiendo al art. 4 de la LOPDGDD:

a. Obtenidos por el responsable directamente del afectado.

b. Obtenidos por el responsable de un mediador o intermediario en caso de que las normas aplicables al sector de actividad al que pertenezca el responsable del tratamiento establecieran la posibilidad de intervención de un intermediario o mediador que recoja en nombre propio los datos de los afectados para su transmisión al responsable, que  asumirá las responsabilidades que pudieran derivarse en el caso de comunicación al responsable de datos que no se correspondan con los facilitados por el afectado.

c. Sometidos a tratamiento por el responsable por haberlos recibido de otro responsable en virtud del ejercicio por el afectado del derecho a la portabilidad de acuerdo con el artículo 20 del RGPD y lo establecido en la LOPDGDD.

d. Obtenidos de un registro público por el responsable.

CUESTIÓN

¿Qué personas estarán sometidas al deber de confidencialidad?

Los responsables y encargados del tratamiento de datos y todas las personas que intervengan en cualquier fase de este estarán sometidas al deber de confidencialidad del artículo 5.1.f) del RGPD

Dicha obligación general será complementaria de los deberes de secreto profesional de acuerdo con su normativa aplicable, y las citadas obligaciones se mantendrán aun cuando hubiese terminado la relación del obligado con el responsable o encargado del tratamiento (artículo 5 de la LOPDGDD).

Principios básicos inspiradores de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP)

El artículo 2 de la LAP recoge los principios que han de tenerse en cuenta a la hora de aplicar la norma, estos son:

  • La dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad orientarán toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y la documentación clínica.
  • Toda actuación en el ámbito de la sanidad necesita, con carácter general, el previo consentimiento de los pacientes o usuarios, que debe obtenerse después de que el paciente reciba una información adecuada, y se hará por escrito en los casos previstos en la ley.
  • El paciente o usuario tiene derecho a decidir libremente, después de recibir la información adecuada, entre las opciones clínicas disponibles.
  • Todo paciente o usuario tiene derecho a negarse al tratamiento, excepto en los casos determinados en la ley (su negativa al tratamiento constará por escrito).
  • Los pacientes o usuarios tienen el deber de facilitar los datos sobre su estado físico o sobre su salud de manera leal y verdadera, así como el de colaborar en su obtención, en especial cuando sean necesarios por razones de interés público o con motivo de la asistencia sanitaria.
  • Todo profesional que interviene en la actividad asistencial está obligado no solo a la correcta prestación de sus técnicas, sino al cumplimiento de los deberes de información y de documentación clínica, y al respeto de las decisiones adoptadas libre y voluntariamente por el paciente.
  • La persona que elabore o tenga acceso a la información y la documentación clínica está obligada a guardar la reserva debida.