Guía para el tratamiento de datos personales en el ámbito sanitario.

La protección de datos personales es un derecho fundamental recogido en el artículo 18.4 de la Constitución Española y regulado por el Reglamento Europeo de Protección de Datos (RGPD), y la LOPDGDD.

El tratamiento de datos personales en el ámbito sanitario es considerado como tratamiento de datos sensibles, especialmente protegidos y como una categoría especial de datos personales. 

Los «datos relativos a la salud» se definen como: Los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.

Toda esta información personal y de salud constituye la denominada «historia clínica»

El tratamiento de los datos personales en el ámbito sanitario afecta a los profesionales que operan en el sector sanitario, a las clínicas, a los hospitales, a los centros médicos y a las instituciones sanitarias.

A continuación, vamos a enumerar una serie de principios fundamentales que deben formalizar los responsables de los datos en el ámbito sanitario:

1. Según la nueva normativa europea, debe haber consentimiento por parte del paciente explícito y éste debe ser recogido por escrito por las autoridades sanitarias pertinentes.
2. La recogida y el tratamiento de datos de salud persiguen una finalidad principal muy clara plasmada en la propia finalidad de la historia clínica: Garantizar una asistencia adecuada al paciente.
3. Los pacientes deben ser informados  en todo momento de:

• Existencia de estos ficheros
• Finalidad del mismo
• Posibles destinatarios de la información
• Identidad y dirección del responsable del mantenimiento del mismo
• Posibilidad del ejercicio de sus derechos

4. Es obligatorio en cada centro sanitario la existencia de una hoja de información al paciente en la que le solicita su autorización para el tratamiento de sus datos.
5. El secreto profesional es igualmente de obligatorio cumplimiento por el personal que tenga acceso a los datos del paciente. Incluso cuando la relación que vincule a las partes haya finalizado.
6. La comunicación de los datos entre diferentes entidades es habitual, para que el tratamiento del paciente en cuestión sea el mejor posible. pero en estos casos, el interesado deberá tener constancia de ello, ya que será él quien permita esta transmisión.
7. Se establece un plazo de conservación de al menos cinco años contados desde el alta de cada proceso asistencial. 
8. Sólo puede tener acceso el personal directamente implicado en la atención del paciente.
9. En cuanto a familiares y allegados, se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

En resumen, para el cumplimiento con los requisitos dictados por la normativa de protección de datos en materia sanitaria, los centros han de cumplir los siguientes puntos:

1. Los datos recogidos son siempre pertinentes y veraces.
2. El paciente siempre es informado y tiene acceso libre a sus datos.
3. Realizar una evaluación de impacto y mantener un registro de las actividades de tratamiento
4. Nombrar un Delegado de Protección de Datos
5. Cifrar los datos y guardarlos bajo estrictas medidas de seguridad.
6. Guardar secreto profesional en todo caso.
7. En caso de cesión de datos a terceras partes y se debe firmar un contrato que establezca el uso determinado y definido de los datos cedidos.
8. Facilitar los derechos del interesado (acceso, rectificación, olvido, limitación y portabilidad) respetando los plazos establecidos.