Introducción a la LOPD (XXXI): Comunicación de los Datos. Cesión Previa Disociación

El articulo 11.6 LOPD regula la disociación de los datos personales con anterioridad a la cesión de los mismos, supuesto que comportará que al receptor de esos datos (el cesionario, el encargado de tratamiento de los mismos, etc) no les será aplicable la normativa reguladora de la protección de datos personales, al no poderse identificar por medio de los mismos ninguna persona física.

No será de aplicación la LOPD al cesionario si se han disociado los datos previamente a la comunicación.

Pero cuidado, porque en el sector sanitario se realiza mucha investigación. Por supuesto, una vez realizada la investigación los datos serán publicados previa disociación, y por tanto, tal y como he comentado antes, esta información no estaría sujeta a la LOPD.

Sin embargo, hay que andar con precaución, pues para que un paciente participe en una investigación, será necesario su consentimiento informado expreso y por escrito.  Así se recoge en la Ley 14/2007, de 3 de julio, de Investigación biomédica.

¿Y qué sucede si se trata de una investigación retrospectiva? Es decir, utilizamos los datos históricos que tenemos de nuestros pacientes para analizarlos y extraer conclusiones.

No debemos olvidar que los datos de salud recogidos por los centros sanitarios tienen como finalidad a asistencia sanitaria al paciente, y que el uso con otras finalidades debe ser analizado con cuidado. En principio, para la utilización de los datos de salud con fines de investigación pasa por el consentimiento, pero claro, pedir consentimiento a miles de pacientes no es nada trivial.

En estos casos la disociación de los datos puede venir a echarnos una mano. Eso sí, ¿Quién disocia los datos? ¿El informático que los entrega al investigador? ¿El investigador principal de forma que el resto de investigadores no conozcan a los pacientes? ¿Se disocian después de realizar el trabajo y antes de publicar?

La disociación debe realizarse desde el principio, de forma que nadie pueda volver a asociar los datos por medios razonables. O sea, la investigación deberá realizarse exclusivamente sobre datos de salud en los que no se puede conocer, ni el propio investigador, a quien pertenecen.

 

 

 

Introducción a la LOPD (XXX): Comunicación de los Datos. Administraciones Públicas

Foto: X por Gonzalo Iza
Foto: X por Gonzalo Iza

No será preciso el consentimiento cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas en el ejercicio de las funciones que tiene atribuidas.

Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos.

Sin embargo, no podrán comunicarse datos a otras Administraciones públicas que tengan unas competencias diferentes, a no ser que esté previsto en la disposición de creación del fichero.

Pero cuidado, porque no cualquier cosa puede ser considerada “fines históricos, estadísticos y científicos”. Para calificar el tratamiento de datos con estas finalidades hay que estar a lo dispuesto en la Ley 12/1989, de 9 de mayo, reguladora de la función estadística pública, la Ley 16/1985, de 25 de junio, del Patrimonio histórico español y la Ley 13/1986, de 14 de abril de Fomento y coordinación general de investigación científica y técnica, y por supuesto la normativa autonómica aplicable.

Otra forma de obtener la autorización para el tratamiento de datos con fines históricos, estadísticos y científicos es que, de forma excepcional, lo declare así la Agencia Española de Protección de Datos, o en su caso, la agencia autonómica homóloga.

Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

¿Qué deberíamos hacer ante la petición de una historia clínica por parte de otro centro sanitario público para atender una urgencia?

Pues a la vista de lo establecido en el artículo 11.f  LOPD podría entregarse la Copia de la Historia Clínica a dicho centro.

Sin embargo, esto no debería de hacerse de cualquier forma. Es más que recomendable que los centros establezcan un procedimiento claro que garantice, mediante controles adecuados, la legitimidad de la petición.

Cuidado también con los estudios de investigación entre sanidad y otra administración (por ejemplo, enseñanza). Para llevar a cabo un estudio de investigación en el que se recogen datos de salud entre la población escolar (menores) habrá que cumplir escrupulosamente con las exigencias legales establecidas para evitar caer en una infracción grave (tanto de la administración sanitaria como de la de enseñanza)

Ver Resolución R/00677/2007 de la AEPD.

 

Introducción a la LOPD (XXIX): Comunicación de los Datos

Cesión o comunicación de datos es toda revelación de datos realizada a una persona distinta del interesado

Como regla general (art. 11.1 LOPD), los datos de carácter personal sólo podrán ser comunicados a un tercero cumpliendo acumulativamente las siguientes condiciones:

  • Para fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
  • con el previo consentimiento del interesado

En cambio, no será necesario el consentimiento del afectado cuando  la cesión está autorizada en una ley.

y, en particular, cuando concurra uno de los supuestos siguientes:

  • el tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
  • el tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas
  • Cuando se trate de datos recogidos de fuentes accesibles al público.

Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente concesión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

Os dejo con el programa Radio 5 Todo Noticias Protegemos tus datos – Error en difusión de datos clínicos – 17/03/11.

 


Introducción a la LOPD (XXVIII): Deber de Secreto. Docencia

Foto: Refreshing por Iván Cabrera
Foto: Refreshing por Iván Cabrera
Como ya hemos comentado, todo el personal con acceso a la historia clínica en el ejercicio de sus funciones está sometido al deber de secreto. Pero ¿Que sucede en aquellos casos en los que el acceso se produce por estudiantes o con fines docentes?
Los datos de Salud se rigen por el art. 7.3 y 7.6 de la LOPD y se recogen:
  • Por razones de interés general, lo disponga una ley,
  • o el afectado consienta expresamente,
El tratamiento está autorizado cuando:
  • Sea necesario para la prevención o para el diagnóstico médicos,
  • La prestación de asistencia sanitaria o tratamiento médicos o
  • La gestión de los servicios sanitarios y siempre que se realice por profesional sanitario sujeto a secreto profesional u otra persona sujeta a deber de secreto equivalente.
Por tanto, en principio, el alumno no está autorizado a acceder a los datos de salud de los pacientes.
Pero veamos lo que nos dice la legislación sanitaria al respecto
La Ley 41/2002 de Autonomía del paciente, en su art. 16.3 especifica que el acceso a la historia clínica con fines de docencia se rige por lo dispuesto en la LOPD, lo mismo sucede en la Ley 14/1986 General de Sanidad, obligando a la disociación de los datos de identificación de los datos de salud salvo que el paciente haya dado su consentimiento.
“La formación y el desarrollo de la competencia técnica de los profesionales deben orientarse a la mejora de la calidad del Sistema Nacional de Salud. Para ello se requiere:
a) La colaboración permanente entre los órganos de las Administraciones públicas competentes en materia de educación, sanidad, trabajo y asuntos sociales, las universidades, las sociedades científicas y las organizaciones profesionales y sindicales.
b) La disposición de toda la estructura asistencial del sistema sanitario para ser utilizada en la docencia pregraduada, postgraduada y continuada de los profesionales.
c) La revisión permanente de las enseñanzas y de la metodología educativa en el campo sanitario, para la mejor adecuación de los conocimientos profesionales a la evolución científica y técnica y a las necesidades sanitarias de la población.”
El Titulo II de la Ley 44/2003 de ordenación de las profesiones sanitarias, regula la formación de los profesionales sanitarios, y en su artículo 14 “Conciertos entre las universidades y los servicios de salud, instituciones y centros sanitarios.” establece que:
“Las universidades podrán concertar con los servicios de salud, instituciones y centros sanitarios que, en cada caso, resulten necesarios para garantizar la docencia
práctica de las enseñanzas de carácter sanitario que así lo requieran. Las instituciones y centros sanitarios concertados podrán añadir a su denominación el adjetivo universitario.”
Nos encontramos entonces con una legislación aparentemente contradictoria, por un lado, el estudiante no puede tener acceso a los datos, o solo con el consentimiento del paciente. Por otro, se promueve que las instituciones sanitarias se impliquen en la docencia de los futuros profesionales sanitarios.
¿Cómo compaginamos ambas condiciones?
Como criterio general Tendremos que:
1.- Los convenios entre universidades y centros sanitarios deben regular el régimen de acceso a los datos de salud por parte de los estudiantes.
2.- Con carácter general será necesario el consentimiento del paciente o la anonimización de sus datos.
En formación PREGRADO, se debe seguir el criterio general o bien el estudiante deberá firmar un documento de compromiso de confidencialidad en el caso de que vaya a intervenir en la actividad asistencial del paciente.
En formación POSTGRADO es legítimo el acceso a los datos, pues los Residentes no son ya estudiantes sino profesionales sanitarios con un contrato regulado y sujeto al deber de secreto como cualquier otro profesional.*
* De la comunicación de D. Angel Igualada en el VII Foro sobre Protección de Datos de Salud. 2011 de la Sociedad Española de Informática de la Salud (SEIS) “Casos Prácticos. La Experiencia de las Agencias de Protección de Datos