Tratamiento de datos personales de menores y consentimiento informado en psicología

psicologia

Por Javier Villegas Flores

En el ámbito de la protección de datos en Psicología, una de las consultas más recurrentes es la relativa al tratamiento de datos personales de menores de edad cuyos progenitores se encuentran inmersos en un proceso de separación, tendiéndose a confundir dos supuestos diferenciados:

  • Consentimiento para el acceso a la información clínica del menor
  • Consentimiento para la intervención psicológica como tal, lo que se conoce en la esfera sanitaria como “consentimiento informado”.

El objeto de este artículo es aclarar las diferencias entre ambos supuestos, sin ahondar en el profundo debate existente acerca del “consentimiento informado”, la valoración de la madurez o capacidad del menor, las formas de obtener dicho consentimiento, etcétera.

1.- Al tratarse en última instancia de un asunto en el que el núcleo del problema radica en la capacidad de decidir del menor y el consiguiente otorgamiento del consentimiento por parte de sus representantes legales (padres o tutores), cabe en primer lugar aclarar cuándo el menor de edad tiene capacidad de decidir, y quiénes son sus representantes legales:

  • Los progenitores son los representantes legales del menor, en tanto no tengan privada la patria potestad, con independencia de quien tenga asignada la custodia del mismo.
  • Capacidad de decidir del menor:

Antes de los 12 años se da la presunción legal de incapacidad y se obtiene en todo caso el consentimiento por representación (padres o tutores). EL MENOR NO INTERVIENE EN LA TOMA DE DECISIONES.

Entre los 12 y los 15 años, y no siendo incapaz ni estando incapacitado, habría que valorar la madurez para tener en cuenta la capacidad de decidir. Se trata de la figura del “menor maduro”, que hace referencia al “sujeto que siendo menor de edad posee un grado de madurez psicológica y humana que le permite disfrutar de los derechos de personalidad en grado mayor o menor” (Martínez C. 2009). En todo caso, se requiere escuchar su opinión antes de decidir la intervención. EL MENOR PUEDE DECIDIR EN ALGUNOS CASOS, Y SIEMPRE DEBE SER ESCUCHADO.

Los menores emancipados o a partir de los 16 años no incapaces ni incapacitados. Aquí no es posible prestar el consentimiento por representación el menor, salvo si se trata de una de actuación de grave riesgo, según el criterio del facultativo, en cuyo caso los padres serán informados y su opinión será tenida en cuenta para la toma de la decisión correspondiente. EL MENOR DECIDE, Y LOS REPRESENTANTES LEGALES PUEDEN SER OÍDOS SOLO EN CASOS DE GRAVE RIESGO.

2.- Aclarado este punto, si nos encontramos en el caso de que el consentimiento deba ser otorgado por los representantes legales del menor (padres), pueden darse dos supuestos:

  • Si no existe proceso de separación:
  • Serán válidos los actos que realice uno de ellos (1) conforme al uso social y a las circunstancias (2) o en situaciones de urgente necesidad.

En caso de desacuerdo, podrán acudir al Juez para que decida.

  • En caso de padres separados en el cual uno de ellos sea titular de la patria potestad: será el titular de la misma el que tome las decisiones y preste el consentimiento sin intervención del otro progenitor.
  • En caso de padres separados con la patria potestad compartida:
  • Serán válidos los actos que realice uno de ellos (1) conforme al uso social y a las circunstancias (2) o en situaciones de urgente necesidad, salvo en aquellos casos en que por un juez haya otorgado la capacidad de decidir en un supuesto concreto a uno solo de los progenitores.
  • En casos no ordinarios se precisará el acuerdo de ambos, y si hubiera discrepancia y el profesional estimara conveniente la intervención, se podrá acudir al juez para que decida.

La evaluación o intervención psicológica de un menor es considerada por la Jurisprudencia como un acto no ordinario, y por tanto, según se afirma mayoritariamente, requiere el acuerdo de ambos progenitores.

3.- Una vez que hemos estudiado quién tiene que prestar el consentimiento para la intervención del menor, toca ahora explicar quién tiene derecho a acceder a los resultados o el seguimiento de dicho tratamiento o evaluación, esto es, QUIÉN TIENE EL DERECHO DE ACCESO A LA HISTORIA CLÍNICA O INFORMES PSICOLÓGICOS DEL MENOR.

Hay que destacar que el acceso a datos de salud por parte de una persona no autorizada es susceptible de ser objeto de sanción de hasta 600.000 euros por la Agencia Española de Protección de Datos, por lo que es indudable que no estamos hablando de un tema menor. El derecho a la protección de datos es un derecho fundamental reconocido en la Constitución Española y desarrollado en la Ley Orgánica 15/99, de Protección de Datos de carácter personal, y los datos de salud tienen además la consideración de “datos especialmente protegidos”.

En primer lugar conviene aclarar que el paciente objeto de un informe psicológico (sea menor o no) tiene derecho a conocer el contenido del mismo, siempre que de ello no se derive un grave perjuicio para el mismo o para el o la profesional, aunque la solicitud de su realización haya sido hecha por otras personas.

Este derecho de acceso a la historia clínica, contemplado en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, puede ser ejercido por los representantes legales del menor, que como hemos visto anteriormente serán los padres en tanto no se encuentren privados de la patria potestad de sus hijos,  independientemente de que tengan la custodia o no.

Si a alguno de los progenitores le fuera privada la patria potestad, se requerirá el consentimiento del cónyuge para el acceso a los datos.

Por tanto, y a diferencia de lo que ocurre con el consentimiento informado para la intervención o evaluación psicológica, el padre o madre que ostente la patria potestad del menor no emancipado, podrá ejercer el derecho de acceso a la historia clínica del mismo (documentos relativos a los procesos asistenciales del paciente, como evaluaciones informes psicológicos, …etc), sin necesidad del consentimiento del otro progenitor.

Como solución práctica se recomienda que cuando se produzca una situación de estas características, lo más recomendable para el médico es solicitar al padre o madre que acreditando su patria potestad asista con el menor a la consulta o clínica, la firma de una autorización para la retirada del informe por parte del otro progenitor, a fin de obtener el consentimiento del representante legal del menor para la cesión o acceso a los datos del mismo.

Bibliografía y Normativa:

  • Código Deontológico del Consejo General de Colegios Oficiales de Psicólogos, aprobado en la Junta General de 6 de marzo de 2010, para su adaptación a la Ley 25/2009, de 22 de diciembre, de modificación de diversas leyes para su adaptación a la Ley sobre el libre acceso a las actividades de servicios y su ejercicio (Ley Ómnibus).
  • Informe Comisión de Ética y Deontología de Colegio Oficial de Psicología de Andalucía Occidental
  • “El consentimiento informado en menores y adolescentes: Contexto ético-legal y algunas cuestiones problemáticas”. Carmen del Río Sánchez
  • Código Civil
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica
  • Ley Orgánica 15/99, de Protección de Datos de carácter personal

Servicios Sociales, historias clínicas y protección de datos

servicios_sociales

Por Martín S. Moro Losada

En relación al posible acceso a las Historias Clínicas de los Pacientes por parte de la Inspección de Servicios Sociales, y sus implicaciones en materia de protección de datos, comencemos explicando que la Historia Clínica de un paciente siempre forma parte de un Fichero (Art. 5, RD1720/2007) de nivel alto (Art. 81, RD1720/2007).

Una de las prioridades respecto a este tipo de ficheros es que sólo debe ser accedida por aquellas personas debidamente autorizadas porque necesiten utilizarlos para realizar su trabajo, como son los empleados del centro sanitario. También puede ser cedido a terceros para que nos presten un servicio necesario para la atención que requiere el paciente (por ejemplo: análisis de las muestras de un paciente por parte de un laboratorio). Incluso podrían ser accedidos por terceros que nos presten un servicio necesario para el funcionamiento del centro sanitario, como aquella empresa que nos realice el mantenimiento informático. (Art. 10, RD1720/2007)

Lo que no contempla la normativa de Protección de Datos es que esos datos deban ser accedidos con fines distintos a los médico-asistenciales, salvo en 3 excepciones (Art. 16, Ley 41-2002):

  • Para fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia de manera que, como regla general, quede asegurado el anonimato, a menos que el interesado haya prestado su consentimiento para ello.
  • Cuando se solicite por una autoridad judicial y la identificación del paciente sea necesaria para la tramitación del proceso, limitando el acceso estrictamente a los fines específicos de cada caso
  • Cuando el acceso se realice por parte de los órganos de inspección sanitaria con la finalidad de la comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria.

Por tanto, a esta última excepción se puede acoger la Inspección de Servicios Sociales, y ese acceso tendrá el alcance de la labor encomendada a la Autoridad que accede, y debe respetar el derecho a la intimidad personal y familiar de los pacientes o usuarios.

 En todo caso se deberá registrar la salida de los soportes y la información que contienen (Art. 97, RD1720/2007).

Inclusión de historias clínicas en códigos QR para emergencias sanitarias

qr_vida

Por Javier Villegas Flores

La Agencia Española de Protección de Datos ha publicado recientemente un informe acerca de la inclusión de datos sanitarios en códigos QR, con el fin de que los pacientes puedan llevar en una pequeña medalla dicho código, facilitando así el acceso inmediato a dichos datos mediante un sencillo escaneo. El objeto de esta medida sería facilitar a los servicios sanitarios la asistencia a enfermos en caso de emergencia.

El código QR (“quick response”) es un módulo útil para almacenar información en una matriz de puntos o un código de barras bidimensional, que se puede descifrar con una simple aplicación de móvil.

Como no podía ser de otra forma, la Agencia ha puesto reparos, matizando y acotando los supuestos. Se trataría de un tratamiento y cesión de datos personales en un soporte automatizado, sujeto por tanto a los principios consagrados en la Ley:

Consentimiento: es necesario el consentimiento expreso del paciente para el tratamiento de sus datos de salud. Como bien señala la Agencia, “la mera prestación de un consentimiento inequívoco por el paciente usuario de la medalla con código QR no implica que quepa cualquier tratamiento de cualquier dato personal”, ya que la Ley también impone el principio de…:

Calidad: “los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.

Esto es, aunque el interesado haya consentido el tratamiento y cesión de sus datos, esto no justifica un tratamiento ilimitado de los mismos, sino que debe ceñirse a aquellos necesarios para la finalidad concreta.

En este caso, el código QR incluiría datos personales del portador de la medalla junto con “su historial médico de los últimos años, la medicación que viene tomando regularmente por un determinado tratamiento, y la información sobre determinadas recomendaciones de su Médico general o especialista”.

Dependerá de la emergencia en cuestión si existe o no proporcionalidad en el tratamiento de los datos.

Por otra parte, será necesaria la implantación de medidas de seguridad de nivel alto (datos de salud) en el tratamiento de estos datos. En particular, se deberían articular mecanismos que garanticen el acceso a los mismos exclusivamente por profesionales sanitarios.

Así lo establece la Agencia en sus conclusiones, señalando que:

“no existe obstáculo en la inclusión de datos personales en un código QR, siempre que, existiendo consentimiento informado del portador de la medalla en los términos indicados, sólo se incluyan en el mismo los datos estrictamente necesarios para el cumplimiento de las finalidades pretendidas, (…) deberán adaptarse las medidas de seguridad que correspondan en cada caso, en los términos del Título VIII del Real Decreto 1720/2007 de 21 de diciembre. Y si la finalidad es que únicamente accedan a dichos datos el personal sanitario que vaya atender al paciente en situación de emergencia o accidente, deberían implantarse medidas que no permitieran el acceso a esta información por terceros”.

Protección de datos, Inspección de Hacienda e historias clínicas

agenci_tributaria_2

Por Francisco R. González-Calero Manzanares

El punto de partida para la resolución de esta cuestión parte de la obligación que tiene toda persona física o jurídica de proporcionar a la Administración Tributaria  datos, informes o antecedentes con “trascendencia tributaria” relacionados con el cumplimiento de sus propias obligaciones tributarias o deducidos de sus relaciones económicas, profesionales o financieras con otras personas. Es decir, la HC ¿puede ser considerada como un hecho con “trascendencia o relevancia tributaria?.

El asunto ha sido abordado en dos ocasiones y en ambas ha sido resuelto de manera  similar. Por un lado, el Tribunal Superior de Justicia de Castilla-La Mancha en su sentencia de 2 de junio de 2003 en la que estudiaba la sanción por obstrucción a la actividad inspectora de 6000 euros impuesta a un médico que, requerido por la Agencia Tributaria para que enseñara las HC de sus pacientes ocultando previamente su identidad, y tras consultar con su Colegio Profesional se negó a hacerlo. El tribunal aplica en este asunto el artículo 16.3 de la Ley 41/2002 de Autonomía del Paciente que regula el acceso a la HC con fines judiciales, epidemiológicos, de investigación o de docencia, todo ello en virtud de lo establecido en la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal. Para el Tribunal, el acceso durante la inspección se realizará ocultando el nombre y demás datos de filiación del paciente, en presencia del médico y sin que puedan hacerse copias de los documentos, es decir, la Administración Tributaria sólo puede acceder a la historia que previamente haya sido anonimizada.

Por otro lado, el informe del Gabinete Jurídico de la Agencia Española de Protección de Datos de 27 de septiembre de 2010, en contestación a la consulta planteada por el Ilustre Colegio Oficial de Médicos de Navarra sobre si la Administración Tributaria  está habilita para acceder a datos clínicos, tras analizar lo establecido en la Ley 41/2002 de Autonomía del Paciente, Ley Foral 13/2000 Tributaria de Navarra y la propia Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal, concluye lo siguiente:

1º El acceso por parte de la Administración Tributaria a la HC es una cesión o comunicación de datos conforme a lo establecido en la LO 15/1999  y, de acuerdo con su regulación, para que una cesión de datos sea válida tiene que estar amparada por la normativa o haber sido expresamente autorizada por el titular de la misma (en este caso, el paciente)

2º De acuerdo con lo establecido en el artículo 16 de la Ley 41/2002 de Autonomía del Paciente (y sus correlativas en las CCAA que han legislado esta materia: Navarra, Decreto 38/2012, de 13 de marzo, sobre historia clínica y derechos y obligaciones de pacientes y profesionales de la salud en materia de documentación clínica del Gobierno Vasco y  la Ley 21/2000, de 29 de diciembre, sobre los derechos de información concernientes a la salud y la autonomía del paciente, y la documentación clínica de Cataluña), no tratándose de accesos a la HC destinados a la prevención, diagnostico y asistencia sanitaria del paciente, los mismos requerirán el consentimiento expreso del paciente. Para los supuestos de investigación con fines judiciales, epidemiológicos, de salud pública, de investigación o docencia se estará a lo establecido en la LO 15/1999, Ley 41/2002 y demás normativa aplicable separando los datos de identificación del paciente de los clínico-asistenciales para salvaguardar el anonimato del mismo (art. 16.3 de la Ley 41/2002).

3º Quedan exceptuados de la regla anterior los jueces y magistrados que decidirán en cada caso correspondiente que datos de la HC son relevantes para ese procedimiento y el personal sanitario que debidamente acreditado ejerza labores de inspección, evaluación, acreditación y planificación, es decir, la Inspección Sanitaria.

4º Puesto que la Administración Tributaria  no se encuentra habilitada en las excepciones anteriores para acceder a la HC, la única manera de acceder a la misma es a través de dos supuestos: o bien se cuenta con el consentimiento expreso del paciente para que su HC sea entregada a la Administración Tributaria o bien se debe facilitar separando los datos de identificación del paciente de los clínico-asistenciales, es decir, entregar la HC anonimizada. Concluye finalmente el informe que fuera de estos dos supuestos se estaría vulnerando el artículo 7.3 de la LO 15/1999 que regula la finalidad de la recogida de los datos salvo que se obtuviera el consentimiento expreso del afectado, ya que el acceso a la HC en ningún caso está previsto en la Ley 41/2002 con fines de inspección fiscal.

A la vista de los dos supuestos estudiados, cabe afirmar que ante una inspección tributaria y alegando que la clínica se encuentra adaptada a la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, la Administración Tributaria  no podrá sancionarnos por obstrucción a la actividad inspectora al negarnos a facilitar la HC sin anonimizar, o bien esta sanción será recurrible en el orden jurisdiccional contencioso-administrativa al faltar el elemento de la culpabilidad o intencionalidad necesario para la imposición de cualquier sanción administrativa o penal.

Sanción por facilitar datos de ancianos a una farmacia

farmacia_5

Por Daniel A. López Carballo

El Tribunal Supremo confirmaba la sanción de la Agencia Española de Protección de Datos a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.

Tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.

El titular de la farmacia reconoció que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.

El listado aportado por la residencia de ancianos contenía los siguientes campos de información de sus residentes: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.

En los contratos suscritos entre la residencia y los residentes, tal y como quedó probado, no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por su parte, la residencia de ancianos argumentó que presta a los residentes un servicio de atención integral, que permita cubrir todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añadiendo que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.

La Sala del Tribunal Supremos, mantiene que no está en condiciones de determinar el modo en que se debería proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.

El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico. Por todo ello, se desestima el recurso de casación interpuesto por la Residencia, contra sentencia de la Audiencia Nacional, que confirma la sanción de la Agencia Española de Protección de Datos de 300.506 euros. (TS 08/10/2010, Rº 4353/06).

Detenido por publicar la analítica de un paciente

laboratorio_3

Por Daniel A. López Carballo

Diferentes medios aragonses se hacían eco de la noticia sobre la detención por parte de la Policía Nacional de una persona en Zaragoza por colgar datos médicos de otra. El implicado, responsable del sistema de mantenimiento informático de un centro sanitario, difundio en su blog datos sanitarios de un enfermo.

Según informaba la Jefatura Superior de Policía de Aragón, las investigaciones se iniciaron a raíz de la denuncia interpuesta por el paciente afectado tras lcoalizar por internet los resultadios íntegros de una análitica a la que se habia sometido recientemente. En el marco de la llamada “Operación Nood”, los agentes del Grupo de Delitos Tecnólogicos inicaron una investigación que llevo a instar la eliminación de lso datos publciados y averiguar el origen de la filtración. Se comprobo que en la cadena médica no se había producido ninuna filtración en la custodia de los datos, desde el momento de la extracción hasta la comunciación de los resultados al paciente.

La investigación concluyó que la filtración provenía del sistema de mantenimiento informático, y que el rpesunto autor era. además, el propietaio del alojamiento web donde aparecían expuestos los resultados de forma pública, imputándosele un delito de descubrimiento y revelación de secretos.

Al amparo de la legislación vigente en materia de protección de datos, a la información sanitaria se le otorga el nivel máximo de protección. La Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal, establece las medias de seguridad que se deben tomar, entre ellas el registro de quien accede a la información, así como sus funciones y niveld e acceso, además se establece que los datos no podran ser utilziados con otra finalidad diferente de aquella por la que fueron recogidos, y que deberá mediar el consentimiento y conocimiento del propio paciente, en aras a una mayor protección de su intimidad y salvaguarda de su honor y privacidad.

Confirmación sanción por acceso ilegítimo a historia clínica

Historia_clinica_4

Por Daniel A. López Carballo

Según informaban diferentes medios de comunicación y el propio Tribunal Superior de Justicia de Navarra, a través de su twitter, la Sala de lo Contencioso-Administrativo del Tribunal ha confirmado la condena de 125.000 euros al Servicio Navarro de Salud por el acceso “ilegítimo” y masivo al historial clínico de una paciente fallecida.

La sentencia obliga a retirar las fotografías de la historia clínica, al considerar que se ha producido un duncionamiento fuera de lo normal, en la medida en que se ha permitido accesos ilegítimos a la historia clínica informatizada de la paciente.

Los demandantes, según informa el Diario Vasco, exponían que se habían permitido accesos “ilegítimos” a la historia clínica informatizada de la paciente “que vulneran el derecho a su intimidad personal y familiar” y también “el derecho a la protección de datos personales, que incide no solo en la intimidad personal, sino también en la familiar”. Pese a que Salud alegó que era “práctica habitual” de los servicios de Medicina Intensiva y Cirugía Plástica sacar fotografías “para fines estrictamente terapéuticos, de tratamiento y de diagnóstico”, el tribunal cree que fueron muchas las instantáneas que se sacaron y que todas ellas eran “especialmente duras del cuerpo de una mujer muy joven desnudo y en un estado impactante”. De hecho, precisa que hubo 2.825 accesos a estas fotografías, realizados por 417 usuarios integrados en 55 servicios y procedentes de todos los centros sanitarios, cuando la paciente “sólo estuvo en un hospital y en cuatro servicios”.

Considera la parte demandante, “claramente evidenciado” que ha existido un funcionamiento “anormal” del servicio sanitario “porque no ha podido impedir el acceso casi indiscriminado de profesionales no implicados en el diagnóstico y tratamiento de la paciente al historial clínico informatizado de la misma”, accesos que por ello se han considerado “ilegítimos”. Evidenciándose, además, que las medidas de seguridad y protocolo de trabajo en la Administración sanitaria para garantizar la protección de datos y del acceso a los historiales clínicos informatizados “no son suficientes”, porque en este caso no han garantizado la confidencialidad.

Con esta Sentencia, el Tribunal Superior de Justicia de Navarra desestima el recurso presentado por el Servicio Navarro de Salud contra la sentencia dictada el 25 de mayo de 2011, en la que se admitía la responsabilidad patrimonial formulada por el padre y la hermana de la fallecida.

Infracción grave por extraviar una historia clínica

historia_clinica_5

Por Daniel A. López Carballo

Los hechos ocurrieron en 2009, cuando la denunciante solicitó al Hospital Clínico de Valladolid su historial clínico y tuvo constancia de que la información había sido extraviada, recibiendo contestación por parte de la dirección del centro hospitalario mediante carta, en la que se decía “que su historial clínico ha sido reconstruido y archivado para su utilización en sucesivas ocasiones, a la espera de su próxima localización. El hospital se encuentra inmerso en un proceso de digitalización de la historia clínica, que evitará en un futuro situaciones como la que usted relata en su escrito”.

En su resolución R/02182/2010, La Agencia Española de Protección de Datos, en relación a la conservación de la historia clínica, tal y como se recoge en el artículo 18 de la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, expone que “los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado para cada caso y, como mínimo, cinco años, desde la fecha de alta de cada proceso asistencial”, continuando citando el artículo 19 de la Ley, por el que se establece que “el paciente tiene derecho a que los centros sanitarios establezcan un mecanismo de custodia activa y diligente de las historias clínicas”.

El artículo 14 de la citada Ley define historia clínica como conjunto de los documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro. Estableciendo que cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal atribuye al responsable del fichero, o en su caso el encargado de tratamiento, la responsabilidad de adoptar cuantas medidas, técnicas y organizativas, fueren necesarias para garantizar la seguridad de los datos, evitando así su pérdida, alteración o acceso no autorizado, independientemente de que los riesgos provengan de la acción humana o del medio físico o natural.

El Reglamento de desarrollo de la Ley Orgánica de protección de datos, en su articulo 5.1.g) dispone que se entenderá por “datos de carácter personal relacionados con la salud: las informaciones concernientes a la saluda pasada, presente y futura, física o mental, de un individuo”. Conforme a la clasificación de niveles de seguridad recogidos en la norma, a los datos referentes a la salud pasada, presente o futura de las personas deberán aplicarse la medidas de nivel alto. El artículo 81.3.a) del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece que “además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual”.

Además de la carencia de medidas de seguridad en cuanto a su localización, la acción del Hospital pone de manifiesto otras irregularidades en el cumplimiento normativo en materia de protección de datos, como son el inventariado de soportes, o el registro de personas que acceden a la información, entre otros, cuya correcta llevanza habría facilitado la localización del historial clínico y su entrega a la paciente solicitante. La resolución sancionadora de la Agencia Española de Protección de Datos califica los hechos como infracción grave, en virtud al artículo 44.3.h) de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, “mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad”.

La resolución, de diciembre de 2010, no lleva aparejada sanción económica por tratarse de una administración pública, pero si sienta un precedente aplicable a cualquier centro de trabajo, y con mayor relieve a aquellos que tratan datos especialmente protegidos, la falta de celo profesional o el descuido en las medidas de seguridad, puede conllevar un riesgo en la confidencialidad de la información de la que somos responsables, el extravío de la misma lleva consigo la posibilidad de que un tercero no autorizado pudiera acceder a la misma y, utilizarla con fines no autorizados, pudiendo poner en riesgo el honor e intimidad del afectado.

En relación a las medidas de seguridad, cabe recordar las expuestas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, artículos 101 y siguientes en lo relativo a datos informatizado y, 111 y siguientes en lo referente a datos en formato papel; además de las referentes a los niveles medio y básico.

Reconocimientos de conductores y datos sanitarios

historia_clincia_4

Por Daniel A. López Carballo

En relación a la posibilidad de que la Jefatura Provincial de Tráfico pueda acceder a los datos sanitarios contenidos en los informes de especialista y valoraciones de los pacientes en los reconocimeintos médicos necesarios para la tramitación o renovación de la licencia de conducción, de conformidad al artículo 5.1.g) del Real Decreto 1720/2000, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante RPD), las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo tendrán consideración de datos de carácter personal relacionados con la salud, en particular, se consideran (…) los referidos a su porcentaje de discapacidad y a su información genética; otorgándoles la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante LOPD), el nivel máximo de protección, junto con los referidos al origen racial, vida sexual, ideología, afiliación política y/o sindical, …

Cabe reseñar que en los centros de reconocimientos de conductores se tratan datos de nivel alto de seguridad, ya que, además de los citados datos relativos a la salud de las personas, se realizan informes y pruebas psicológicas, a los que la LOPD les transfiere el mismo nivel de seguridad.

El artículo 7.3 de la LOPD establece que los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (en adelante LAP), dispone en su artículo 14.1 que la historia clínica comprende el conjunto de documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro.

Dichos datos de salud tienen la finalidad, en virtud del artículo 14.2 de la LAP, de facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud. En su caso, serían todas aquellas valoraciones e informaciones de especialistas que, componiendo el examen o reconocimiento médico, están encaminados a determinar si las personas son, desde el punto de vista sanitario, aptas o no aptas para la obtención o renovación del carné de conducir.

El acceso a los datos de salud, deberá realizarse atendiendo al principio de proporcionalidad, debiendo limitarse los datos necesarios, no pudiendo extenderse a otros no vinculados a la finalidad por la que se accede a los mismos.

A mayor abundamiento, el artículo 2.1 de la LAP fija que, la dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad orientarán toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y la documentación clínica; y en su apartado 7 que, la persona que elabore o tenga acceso a la información y la documentación clínica está obligada a guardar la reserva debida.

El artículo 7.1 de la citada Ley prosigue, toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley; así mismo en su apartado 2 afirma, los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.

El artículo 16.3, al hablar de los usos de la historia clínica, limita el acceso a la información, afirmando que, el acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico-asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente.

La finalidad de los centros es el reconocimiento de la aptitudes psicofísicas de los conductores, siendo necesaria la correspondiente autorización, para ejercer su actividad, por parte de la administración sanitaria, así como la autorización administrativa de la Jefatura Provincial de Tráfico, acreditando los requisitos sobre elementos materiales y personales que se prevén en el Real Decreto 170/2010, de 19 de febrero, por el que se aprueba el Reglamento de centros de reconocimiento destinados a verificar las aptitudes psicofísicas de conductores (en adelante RCRC).

Entendemos que el artículo 2 del citado RCRC, determina una dualidad en los centros, por un lado la naturaleza sanitaria de los mismos, que dependerá de la administración sanitaria y, por otro la vía administrativa y material dependiente de la Jefatura Provincial de Tráfico, de lo que se refleja que ambas son inconexas, estableciéndose en la legislación vigente diferentes vías de control e inspección. Por tanto, nos hayamos ante administraciones distintas, con diferentes competencias y diferentes procedimientos.

Dentro del ámbito sanitario quedarían las diferentes pruebas y exploraciones necesarias para verificar que los interesados pueden obtener o prorrogar la vigencia del permiso o licencia de conducción, para lo cual podrán solicitar cuantos informes y valoraciones sean necesarias para dicha determinación. El resultado de dichas pruebas y exploraciones se consignara en el informe de aptitud psicofísica, según recoge el artículo 3 del RCRC.

El artículo 16.5 de la LAP, establece que, el personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria.

Los centros, para ello, contarán con un director facultativo, que no tiene que coincidir con el titular del centro y, un equipo integrado por un médico general, un médico oftalmólogo (pudiendo ser externalizado y concertarlo con clínicas oftalmológicas externas, con la correspondiente autorización de la administración sanitaria) y un psicólogo.

El artículo 6.2.d) del RCRC, al enumerar las funciones y obligaciones de la dirección del centro, establece que se deberá facilitar al organismo autónomo de la Jefatura Provincial de Tráfico, o en su caso, a la autoridad sanitaria, los informes de aptitud emitidos que le sean solicitados. Así mismo, será obligación del mismo, estar presente en las inspecciones, cuando sea requerido para ello con antelación suficiente y colaborar con la autoridad inspectora (sanitaria o administrativa en su doble vertiente).

En relación a las inspecciones realizadas por cualquier administración pública (como acto administrativo), según recoge el artículo 53.1 de la Ley 30/1992, de 26 de noviembre, de régimen jurídico de las administraciones públicas y del procedimiento administrativo común (en adelante LPAC), los actos administrativos que dicten las administraciones públicas, bien de oficio o a instancia del interesado, se producirán por el órgano competente, ajustándose al procedimiento establecido; en su apartado 2 establece que, el contenido de los actos se ajustará a los dispuesto por el ordenamiento jurídico y será determinado y adecuado a los fines de aquellos. Para finalizar, el artículo 54.1.b de la LPAC, recoge que, serán motivados (dichos actos administrativos) con sucinta referencia de hechos y fundamentos de derecho (…).

En su capítulo VII, bajo el epígrafe inspecciones, infracciones y sanciones, el RCRC, recoge, en su artículo 26, que: 1. Sin perjuicio de las que puedan corresponder a la autoridad sanitaria competente, el personal del organismo autónomo Jefatura Provincial de Tráfico podrá realizar inspecciones a los centros de reconocimiento destinados a verificar las aptitudes psicofísicas de los conductores en cualquier momento, en cuantas ocasiones se considere conveniente, a los únicos efectos de comprobar que cumplen los requisitos exigidos por este reglamento. (…) 2. Las inspecciones que se realicen por el personal del organismo autónomo Jefatura Provincial de Trafico en ningún caso podrá referirse a los aspectos sanitarios. 3. Para efectuar la inspección, los funcionarios comisionados, tendrán acceso a los locales, documentación reglamentaria y material de exploración, identificando al titular, director, director facultativo, en su caso, y facultativos que presten servicio en el centro.

A tenor de la legislación citada, y sepodría concluir que bajo ningún concepto, la Jefatura Provincial de Tráfico, podrá acceder a los datos de salud relativos a las personas (artículo 26.2 del RCRC), ya que dentro de sus funciones sólo cabría la inspección y valoración de los elementos materiales y organizativos, así como el resultado final (apto o no apto) de las valoraciones y reconocimientos realizados. El organismo autónomo Jefatura Provincial de Tráfico se extralimitaría en sus competencias, al exigir datos sanitarios a la dirección del centro, en contra de lo regulado por el Real Decreto 170/2010: sólo la administración sanitaria, debidamente acreditada, podrá acceder a los citados datos de salud.

Titularidad y conservación de la historia clínica

historia_clinica

Por Daniel A. López Carballo

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, define en su artículo 14.1 la historia clínica como el conjunto de “documentos relativos a los procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ellos, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos, en el ámbito de cada centro”.

En este sentido nos encontramos con una serie de documentos de carácter sanitario donde queda registrada la relación asistencial con un determinado paciente (actos, actividades sanitarias, informes y valoraciones), pudiendo incluir valoraciones anotaciones o intervenciones de diferentes profesionales sanitarios de diferentes especialidades.

La historia clínica contendrá, como norma general, al menos, la documentación relativa a la hoja clínico estadística, autorización de ingreso, informes de urgencia, anamnesis y la exploración física, evolución del paciente, las órdenes médicas, la hoja de interconsulta, los informes de exploraciones complementarias, los consentimientos informados necesarios para intervenciones, el informe de anestesia y de quirófano o de registro intervenciones quirúrgicas o partos, informes de anatomía patológica, la evolución y planificación de cuidados de enfermería, la aplicación terapéutica de enfermería, gráficos de constantes y el informe clínico de alta, además de los datos de carácter general o de filiación del paciente. Su cumplimentación de la historia clínica, en los aspectos relacionados con la asistencia directa al paciente, será responsabilidad de los profesionales que intervengan en ella.

Sobre la titularidad de la historia clínica nos encontramos ante diferentes teorías, no por ello excluyentes, dependiendo de a quien se le atribuya. La primera de ellas hace referencia a la titularidad intelectual del facultativo, en tanto existe una creación intelectual y científica, donde influyen factores determinantes como la formación académica o la propia experiencia profesional.

En el caso de que el profesional sanitario no actúe por cuenta propia, si no que trabaje, bien como personal laboral o mediante una relación mercantil para un tercero, entendiéndose que la titularidad sería del centro sanitario para el que prestan sus servicios.

Esta teoría se encuentran ligada al concepto de Responsable del Fichero, recogido en la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal (artículo 3.d), es decir, la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento de los ficheros.

En relación a una titularidad material de la historia clínica, se le atribuye al paciente, al ser sus datos los que se recogen en la historia clínica. Por último nos encontramos ante una cuarta teoría de carácter más integrador o ecléctico, en base a la cual, la historia clínica contiene componentes diversos desde el punto jurídico: los relativos a la organización y gestión administrativa del centro sanitario, los que ser refieren a los datos identificadores del pacientes y otros relacionados con valoraciones, tratamientos e intervenciones sanitarias.

Cabe hacer mención a las anotaciones subjetivas, como hipótesis e impresiones personales de los profesionales sanitarios, basadas en sus percepciones, comentarios realizados por terceras personas, que carecen de trascendencia para el conocimiento veraz y actualizado del estado de salud del paciente, sin que puedan tener la consideración de un diagnóstico.

La redacción de dichas anotaciones conlleva una posible problemática relacionada con el derecho al acceso del paciente a su historia clínica. Como norma general, el paciente tiene derecho al acceso a la historia clínica y a obtener copia de los datos que figuran en ella. Ahora bien, este derecho no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, lo cuales pueden oponer al derecho de acceso, la reserva de sus anotaciones subjetivas.

En palabras de José Luis Piñar, ex Director de la Agencia Española de Protección de Datos, en una entrevista concedida a Diario Médico “Los profesionales de la salud y los centros sanitarios deben esforzarse en delimitar claramente los aspectos subjetivos -derivados de apreciaciones meramente personales y no sustentadas objetivamente en datos clínicos del resto de la información obrante en el historial médico del paciente, sin menoscabo de la integridad de dicho historial. La determinación de estas anotaciones subjetivas no puede conducir a la extensión indebida del derecho de reserva del médico, dado que dicha práctica, además de suponer una excepción del derecho de acceso a la historia clínica, podría impedir el conocimiento por el afectado de determinados datos que han influido sustancialmente en el diagnóstico y tratamiento médicos”

La Agencia Española de Protección de Datos, en su Resolución 633/2004, afirma que “la posible denegación del acceso a las anotaciones subjetivas la tiene que realizar el facultativo, no la entidad que la custodia”, en este sentido cabe recordar también la Resolución 178/2007.

En relación a la conservación de la historia clínica, el artículo 17 de la citada Ley 41/2002, establece que los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial. Siendo de aplicación las medidas técnicas de seguridad establecidas por la Ley Orgánica 15/1999,d e 13 de diciembre de protección de datos de carácter personal y su Reglamento de Desarrollo.

Sobre el plazo de conservación de la historia clínica, habrá que atender a la normativa especifica así como a la legislación autonómica. El tratamiento de datos de salud, en el marco de la historia clínica, se ve afectado por otras normas sectoriales, que pueden llegar a modificar los plazos de conservación de las mismas, ampliándolos en todo caso, tal es el caso de la legislación en materia de prevención de riesgos laborales, en función de la naturaleza o sector de trabajo y los riesgos que determinados puestos de trabajo pueden conllevar.

En este sentido el artículo 22 de la Ley 31/1995, de 8 de noviembre, de prevención de riesgos laborales especifica que “en los supuestos en que la naturaleza de los riesgos inherentes al trabajo lo haga necesario, el derecho de los trabajadores a la vigilancia periódica de su estado de salud deber ser prolongado más allá de la finalización de la relación laboral, en los términos que reglamentariamente se determinen.”, precepto que encontramos desarrollado en el Real Decreto 664/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes biológicos durante el trabajo, que obliga a conservar la lista de los empleados expuestos y sus historias clínicas durante un plazo mínimo de diez años después de la exposición pudiendo ser ampliado hasta cuarenta años según cada caso. El Real Decreto 665/1997, de 12 de mayo, sobre la protección de los trabajadores contra los riesgos relacionados con la exposición a agentes cancerígenos durante el trabajo establece que los mismos datos deberán conservarse durante cuarenta años después de terminada la exposición; el Real Decreto 783/2001, de 6 de julio, por el que se aprueba el Reglamento sobre protección sanitaria contra radiaciones ionizantes, obliga a conservar el historial dosimétrico de los trabajadores expuestos, los documentos correspondientes a la evaluación de dosis y a las medidas de los equipos de vigilancia, y los informes referentes a las circunstancias y medidas adoptadas en los casos de exposición accidental o de emergencia, por un periodo de tiempo, no inferior a treinta años, contados desde la fecha de cese del trabajador en aquellas actividades.

En el caso de Cataluña la historia clínica se ha de conservar como mínimo hasta veinte años desde la muerte del paciente, como ocurre en Navarra con idéntico plazo. En Cantabria nos remitimos a los 15 años desde la muerte del paciente y en Galicia la historia clínica deberá conservarse indefinidamente la información relativa a informes de alta, hojas de consentimiento informado, hojas de alta voluntaria, informes quirúrgicos y/o registros de parto, informes de anestesia, informes de exploraciones complementarias e informes de necropsia, así como la hoja de evolución y de planificación de cuidados de enfermería, cualquier otra información que se considere relevante para los efectos asistenciales, preventivos, epidemiológicos o de investigación y la información de aquellas historias clínicas en las que la conservación sea procedente por razones judiciales.

Por último recordar que la Ley Orgánica 15/1999, establece en su artículo 7 el nivel alto de seguridad para los datos de salud, entendidos como aquellos relativos a la salud, pasada y presente, de las personas, sus tratamientos valaraciones y otra información de carácter personal, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.