La entrada en vigor de la nueva Ley de Protección de Datos Personales (LOPDGDD) tiene implicaciones directas e inmediatas para los hospitales que deberías conocer si no quieres quedarte en fuera de juego.
¿Quieres saber como afecta la nueva Ley RGPD LOPD (LOPDGDD) en Hospitales y Centros Sanitarios?
A continuación te lo explicamos en un nuevo post de nuestro blog en RGPDDOCTOR, el Portal Web más especializado en RGPD para todo el Sector Sanitario, donde podrás encontrar toda la información necesaria para estar totalmente adaptado al nuevo Reglamento General de Protección de Datos para Consultas Médicas, Clínicas y Hospitales. Somos expertos en LOPD, RGPD, LOPDGDD, y DPD para Centros Sanitarios y el ámbito de las empresas del sector de la Salud, durante más de 15 años.
RGPDdoctor te trae en este post...
1.- RGPD Y LOPD
Lo primero que debemos tener claro es que la nueva LOPD (ahora se denomina LOPDGDD) Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales, no es más que la adaptación de la antigua LOPD (L.O. 15/1999) al nuevo marco legal que se originó con la entrada en vigor el pasado 25 de Mayo del 2018 del RGPD (Reglamento General de Protección de Datos).
Por tanto, no estamos ante ningún tipo de revolución legal ni los hospitales requieren de un esfuerzo adicional para la adaptación a esta ley en el 2019, ni se acerca un apocalipsis legal como ya ocurrió en mayo con el RGPD.
Esta nueva ley viene a complementar al RGPD y rellenar las lagunas que ha dejado la norma Europea para que cada país las complete dentro de los márgenes de actuación establecidos.
Por tanto, debemos tener claro que la norma de cabecera para cumplir con la normativa de protección de datos en un hospital es el RGPD y la nueva LOPDGDD, es un complemento de la norma Europea.
Aclarado este tema, vamos a ir desgranando las principales novedades que nos trae esta nueva LOPD que ha sido aprobada en Diciembre de este 2018
2.- Acceso a datos de pacientes fallecidos.
El art. 18.4 de la Ley 41/2002, ya regulaba el acceso a la historia clínica de los pacientes fallecidos indicando lo siguiente:
“Los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros.”
La nueva LOPDGDD respecto a los datos de carácter personal de los fallecidos establece dos cuestiones importantes que debemos tener en consideración:
– La nueva Ley de protección de datos (al igual que la anterior) no se aplica a los datos personales de fallecidos. (Art. 2.2.b) LOPDGDD)
– Las personas con vínculo familiar o de hecho con el fallecido, así como sus herederos podrán solicitar el acceso a los datos personales del fallecido y en su caso la rectificación o supresión, salvo que el fallecido hubiera indicado lo contrario. (Art. 3 LOPDGDD)
Por tanto, ninguna novedad en sí con respecto a la legislación que ya teníamos. No obstante, habrá que estar atentos al desarrollo de este artículo ya que en la misma ley se indica que estas cuestiones se desarrollarán por vía reglamentaria.
3.- Los Menores y Los Datos de Salud
Aquí si que “Habemus lio” y me temo que de los importantes. A priori los criterios son claros, según la nueva LOPDGDD si el menor tiene mas de 14 años puede consentir por sí mismo el tratamiento de sus datos personales, en caso contrario requiere el consentimiento de sus padres o tutores. Hasta aquí igual que en la LOPD antigua
El problema nos surge si trasladamos este escenario al marco de la Historia Clínica, según el RGPD y la nueva LOPDGDD ¿Los padres o tutores de un mayor de 14 años y menor de 18 pueden acceder a la historia clínica?.
Pues me temo que es la pregunta del millón. Con la anterior legislación la AEPD en su informe 0222/2014 declaró abiertamente que el hecho de que el mayor de 14 años pueda ejercer por si mismo el acceso a su historia clínica, no era un impedimento para que los padres o tutores también pudieran acceder a la misma para el cumplimiento de las obligaciones previstas en el código civil.
La argumentación jurídica que permitía este acceso, se centraba en calificarlo como una cesión de datos amparada por una ley, por lo que no requería del consentimiento del menor de edad.
El problema surge ahora cuando ni en el RGPD ni en la LOPDGDD encontramos ninguna previsión que legitime esa cesión de datos.
3.1- Examinando el art.9 del RGPD
Si examinamos el art.9 del RGPD nos encontramos con que las únicas bases legitimadoras que permiten el tratamiento de datos de salud en el ámbito sanitario podrían ser las siguientes:
– Art. 9.2.a): Cuando el interesado ha dado su consentimiento explícito. Para el caso que nos ocupa obviamente no nos sirve puesto que precisamente se trata de buscar una base legitimadora que no se apoye en el consentimiento del menor.
– Art. 9.2.c): El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona, en el supuesto de que el interesado no esté capacitado, física o jurídicamente para dar su consentimiento. Tampoco nos vale.
– Art. 9.2.g): El tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros. Tampoco nos sirve.
– Art. 9.2.h): El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social o en virtud de un contrato con un profesional sanitario. Evidentemente esta base legitima en si mismo el tratamiento de los datos del menor y de cualquier paciente, pero no veo que pueda amparar la cesión de datos a los padres de menores de edad que sean mayores de 14 años, básicamente porque la finalidad de esa cesión era como decía la AEPD en sus informes anteriores “el cumplimiento de las obligaciones previstas en el código civil” y esa finalidad no encaja a priori con la legitimación de este apartado.
– Art. 9.2.i): El tratamiento es necesario por razones de interés público en el ámbito de la salud pública. Pues sinceramente tampoco creo que sea el caso aplicable.
3.2- Un panorama sombrío
Como hemos visto se nos queda un panorama sombrío si queremos defender el acceso por parte de padres y tutores a historias clínicas de menores de edad que sean mayores de 14 años.
El problema es que si acudimos a la nueva LOPDGDD en busca de auxilio, poco o nada encontramos para llevarnos a la boca, mas bien lo contrario ya que el art. 12.6 establece “En cualquier caso, los titulares de la patria potestad podrán ejercitar en nombre y representación de los menores de catorce años los derechos de acceso, rectificación, cancelación, oposición o cualesquiera otros que pudieran corresponderles en el contexto de la presente ley orgánica.”
En resumen, no encontramos el amparo legal que teníamos con la antigua LOPD y además el nuevo art. 12.6 de la LOPDGDD deja muy claro que los titulares de la patria potestad podrán ejercer el derecho de acceso en nombre de los menores de 14 años, pues a sensu contrario, cabe deducir que no podrá hacerlo para los mayores de 14.
Así que a falta de un pronunciamiento expreso de la AEPD sobre este punto, nuestro consejo es ser muy prudentes y requerir el consentimiento de los mayores de 14 años para facilitar el acceso de los padres o tutores a sus historias clínicas.
Soy consciente de que esto es una bomba a efectos prácticos, pero el panorama es el que es, así que o la AEPD lo arregla sacándose alguna interpretación ingeniosa de la chistera o mala pinta tiene esto.
4.- El Delegado de Protección de Datos en los Hospitales
Aunque la figura del Delegado de Protección de Datos en el sector sanitario ha sido ya tratada ampliamente en otro artículo, conviene recordar que con la entrada en vigor de la nueva LOPDGDD ya no cabe la más mínima duda de que un hospital debe contratar sí o sí un DPD, dotándole de los recursos e independencia suficiente para que pueda desempeñar sus funciones de forma correcta.
5.- La Videovigilancia en Hospitales
La entrada en vigor del nuevo RGPD y la nueva LOPDGDD nos obligan a realizar algunos cambios en aquellos hospitales que tengan sistemas de videovigilancia.
En primer lugar debemos tener claro que debemos modificar el contenido de los carteles informativos, con la nueva norma cambia por completo el contenido del cartel aunque el formato si que se mantiene (color amarillo, pictograma de videocámara… etc).
Una de las novedades de la nueva LOPDGDD es que aunque se sigue prohibiendo la captación de imágenes de la vía pública, parece permitir ciertas licencias en aras a la protección de la seguridad de las personas, bienes y sus instalaciones, indicándose en el art. 22.2 que “solo podrán captarse imágenes de la vía pública en la medida en que resulte imprescindible para la finalidad mencionada” (protección de la seguridad de las personas, bienes y sus instalaciones).
La nueva norma también establece la obligación de poner las imágenes a disposición de la autoridad competente en un plazo máximo de 72 horas, cuando en ellas se aprecien actos que atenten contra la integridad de personas, bienes o instalaciones.
6.- Evaluaciones de Impacto sobre Protección de Datos para un Hospital
Con el RGPD ya quedaba claro que un centro hospitalario está obligado a realizar una EIPD (Evaluación de Impacto sobre Protección de datos), pero el mayor grado de detalle introducido en el art.28. de la Ley, nos permite afirmar con rotundidad la obligación de un hospital de realizar una Evaluación de Impacto sobre Protección de Datos.
Para ello, deberá seguirse la metodología recomendada por la Agencia Española de Protección de Datos (AEPD) a través de la guía que puedes descargarte aquí —> Guía de Evaluación de impacto sobre Protección de Datos
7.- Como afecta la nueva LOPDGDD al Personal de un Hospital
Uno de los mayores puntos donde puede tener una mayor incidencia esta nueva LOPD del año 2018, es en lo relativo a los recursos humanos.
Entre las principales novedades debemos destacar:
– Se reconoce el derecho a la protección de la intimidad de los empleados en el uso de dispositivos digitales puestos a su disposición por la empresa. No obstante, se podrá acceder a sus contenidos siempre que se cumplan una serie de requisitos
– Se reconoce el derecho a la desconexión digital del empleado
– Se regula la videovigilancia en el ámbito laboral permitiéndose su utilización con fines de control de los empleados siempre que se haya informado con carácter previo y expreso a los trabajadores y en su caso a sus representantes.
– Se permite igualmente el uso de dispositivos de geolocalización para el control de los empleados siempre que se cumplan con los mismos requisitos fijados para la videovigilancia (información previa y expresa al empleado y sus representantes)
8.- Tratamiento de Datos en la Investigación de Salud
Este es otro de los aspectos destacados de la nueva norma respecto al sector sanitario, puesto que en la Disposición Adicional Decimoséptima, se introduce una amplia regulación sobre el tratamiento de datos personales en la investigación de salud.
Aunque este tema será tratado en profundidad en otro post, os adelantamos las principales novedades en este tema:
– Se autoriza el tratamiento de datos personales en estudios científicos sin necesidad de consentimiento del interesado, cuando lo realicen autoridades sanitarias e instituciones públicas con competencias en vigilancia de la salud pública en situaciones de excepcional relevancia y gravedad
– Se permite la reutilización de datos personales con fines de investigación en materia de salud y biomédica para estudios conexos o derivados de otros en los que se hubiera prestado el consentimiento.
– Se considera lícito (bajo ciertos requisitos), el uso de datos personales seudonimizados con fines de investigación en salud pública y biomédica.
– El uso de datos personales seudonimizados con fines de investigación deberá ser sometido al informe previo del comité de ética
9.- Las sanciones hospitalarias por incumplir la Ley de Protección de Datos
Se que es el tema tabú del que nadie quiere ni oír hablar, pero mucho me temo que debemos ser conscientes que los hospitales son un sector de riesgo. Y lo son, ya que tratan datos de salud que según el nuevo RGPD son considerados como una categoría especial de datos personales.
Las cuantías máximas de una sanción podrían llegar a los 20 Millones de Euros o el 4% de la facturación anual de la entidad (lo que resulte más alto). En nuestra vecina Portugal ya podemos encontrar el “primer hospital agraciado” con una multa por una infracción del RGPD. La cuantía impuesta al hospital portugués ha sido de 400.000€. Así que si no quieres poner “tus barbas a remojar” consúltenos cualquier duda o inquietud que tengas.