El tratamiento incorrecto de los datos personales de los pacientes, una vía de entrada a las reclamaciones

Cualquier trabajo tiene siempre una vertiente burocrática en la que existe el papeleo. Suelen tratarse de tareas ingratas pero necesarias para cumplir con los requisitos legales de la profesión o de la actividad que se realiza. En los últimos años se ha hecho un especial énfasis en la protección de los datos privados de las personas, lo cual es competencia de la Agencia de Española de Protección de Datos.

La consecuencia principal de este tipo de procedimiento es que ante la reclamación de un paciente, sus familiares o cualquier otra persona autorizada, se puede recibir una multa considerable, en este caso para médicos o dentistas, por la gestión de los datos de sus pacientes. Las multas pueden oscilar entre los 3.000 € hasta los 300.000 o 600.000 €.
Las causas de estas sanciones tienen su origen normalmente en que el centro médico, consulta u hospital, no cumple con la normativa y el tratamiento de datos de alta protección como son los datos relacionados con la salud.

La Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) es una norma general y no una regulación sectorial para el ámbito sanitario, se aplica plenamente a los tratamientos de datos de salud. No podía ser de otra forma ya que esta ley tiene como objeto “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, de su honor, intimidad personal y familiar”.
La LOPD, es especialmente aplicable a la historia clínica ya que ésta es un tratamiento de datos personales, bien informatizado, bien manual estructurado, y esta Ley tiene como ámbito de aplicación “los datos personales registrados en soportes físicos, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos”.

La LOPD establece que el “responsable del fichero, o en su caso, el encargado del tratamiento, debe adoptar medidas tanto técnicas como organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos”.

Entre estas medidas de seguridad debemos destacar el establecimiento de un registro de accesos –que velan por la confidencialidad de las historias clínicas–, las copias de seguridad –que persigue la integridad de las mismas- y el cifrado de las comunicaciones. Hay que destacar que el reglamento de desarrollo de la LOPD incorpora un conjunto de medidas de seguridad para los ficheros o tratamientos no automatizados, entre los que se encuentran los ficheros de historias clínicas en papel.

Para evitar sanciones la primera tarea que se debe realizar es la declaración de ficheros que contengan datos de carácter personal de cualquier centro o servicio sanitario mediante su identificación (qué tratamientos de datos se están realizando y en qué ficheros se almacena la información) e inventariado (enumeración detallada) de los mismos.

Es también preciso declarar los ficheros manuales estructurados (albergados en archivadores, armarios, salas de archivo, etc.) siempre que el fichero manual sea susceptible de ser objeto de tratamiento diferente del fichero informatizado, es decir, pueda ser utilizado para conseguir una determinada finalidad, siendo necesaria su inscripción en el Registro de Ficheros de Datos Personales. Tras el inventariado de los ficheros debe notificarse a la Agencia de Protección de Datos su existencia a través del Formulario NOTA.

Siempre es obligatorio que el centro o institución responsable del tratamiento de los datos informe a los interesados en el momento de la recogida de los mismos sobre sus derechos relativos a sus propios datos personales. En particular, en todos los impresos o formularios de recogida de datos, con independencia del soporte de los mismos, debe incluirse información relativa a los derechos que asisten a los ciudadanos y dónde y cómo ejercerlos.

La legislación actual impone al responsable del fichero o tratamiento la carga de la prueba de que ha cumplido con su deber de información, por lo que lo razonable es siempre tener constancia documental de ello para poder demostrar su cumplimiento. El responsable del fichero o su tratamiento deberá conservar el soporte en el que conste el cumplimiento del deber de informar.

Con carácter general, el centro o institución responsable del fichero tendrá que implantar medidas de seguridad adecuadas al grado de protección de cada uno de los ficheros con datos de carácter personal de que disponga, incluyendo:

– La designación de un responsable de seguridad, al que debe dotarse de autoridad suficiente.

– La asignación de medios materiales (personal, presupuesto, equipos informáticos, etc.).

– Definir una política de seguridad incluyendo obligaciones y recomendaciones para el personal del centro o institución.

– La concienciación de los usuarios, mediante notificaciones internas, sesiones de difusión o formación sobre protección de datos personales y sobre la política de seguridad adoptada por el centro u otros medios.

Además los ficheros con niveles de seguridad medio o alto han de someterse a una auditoría, interna o externa, al menos, cada dos años.

Las auditorías se realizarán tanto respecto a los sistemas de información como a las instalaciones de tratamiento de datos de carácter personal y en ellas se deberá verificar el cumplimiento de las medidas de seguridad establecidas reglamentariamente.
La auditoría tendrá que concluir con un informe que deberá dictaminar sobre la adecuación a las medidas y controles, identificar las deficiencias y proponer las medidas correctoras o complementarias necesarias.

Es importante por lo tanto, un correcto asesoramiento legal en esta materia, así como la protección a través de seguros que garanticen el pago de las posibles sanciones en caso de incumplimiento voluntario de estas obligaciones. Existe la falsa creencia de que el seguro de responsabilidad civil profesional cubre estas sanciones o el asesoramiento jurídico ante este tipo de reclamaciones.

Las reclamaciones más habituales frente a los centros sanitarios suelen tener su origen en:

– La falta de acceso a la historia clínica, normalmente cuando el médico o el centro sanitario se niegan a entregar la historia clínica al paciente.

– Pérdida, abandono o descuidos en el tratamiento de historias clínicas de los pacientes: se manejan mal las historias clínicas y se procede a su abandono en la calle, su archivo en cualquier lugar, etc.

– Incumplimiento de inscripción de los ficheros y auditorias bienales por parte de los centros.

– Falta de medios o instrumentos para la cancelación de los datos personales por parte de los pacientes.

– Uso inadecuado o sin consentimiento del paciente de datos clínicos de su historia médica.

Dejenos su comentario.