Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASOS PRÁCTICOS

LA EXPERIENCIA DE LAS AGENCIAS DEPROTECCIÓN DE DATOS

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 1. Formación Universitaria en los Centros Sanitarios

2

SUPUESTO

• Se están recibiendo en la APDCM borradores de Convenios entre Universidades Públicas de la Comunidad de Madrid y centros sanitarios públicos, para la realización de prácticas por los alumnos.

• La realización de las prácticas, en el entorno asistencial, supone un acceso por parte de los alumnos a los datos de los pacientes, bien mediante el acceso a la documentación clínica, bien en otras actuaciones realizadas durante las prácticas (visita en planta, por ejemplo).

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 1. Formación Universitaria en los Centros Sanitarios

MARCO LEGAL (LOPD)

• Los datos personales que hagan referencia al origen racial, la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente (art. 7.3 LOPD).

• No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto (art. 7.6 LOPD).

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 1. Formación Universitaria en los Centros Sanitarios

MARCO LEGAL (Autonomía del paciente)

• La historia clínica es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente. Los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia (art. 16.1 Ley 41/2002).

• El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la LOPD, y en la Ley 14/1986 (Gral.Sanidad), y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos (art. 16.3 Ley 41/2002).

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 1. Formación Universitaria en los Centros Sanitarios

MARCO LEGAL (Cohesión y Calidad SNS)

• La formación y el desarrollo de la competencia técnica de los profesionales deben orientarse a la mejora de la calidad del SNS. Para ello se requiere:

a) La colaboración permanente entre los órganos de las Administraciones públicas competentes en materia de educación, sanidad, trabajo y asuntos sociales, las universidades, las sociedades científicas y las organizaciones profesionales y sindicales.

b) La disposición de toda la estructura asistencial del sistema sanitario para ser utilizada en la docencia pregraduada, postgraduada y continuada de los profesionales (art. 34 Ley 16/2003).

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 1. Formación Universitaria en los Centros Sanitarios

MARCO LEGAL (Ordenación Profesiones Sanitarias)

• Principios generales de la formación (Título II Ley 44/2003):

a) La colaboración permanente entre los organismos de las Administraciones públicas competentes en materia de educación y de sanidad.

b) La concertación de las universidades y de los centros docentes de formación profesional y las instituciones y centros sanitarios, a fin de garantizar la docencia práctica de las enseñanzas que así lo requieran.

c) La disposición de toda la estructura del sistema sanitario para ser utilizada en la docencia pregraduada, especializada y continuada de los profesionales.

d) La consideración de los centros y servicios sanitarios, también, como centros de investigación científica y de formación de los profesionales, en la medida que reúnan las condiciones adecuadas a tales fines.

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

MARCO LEGAL (Ordenación Profesiones Sanitarias)

• PREGRADO:

Las Universidades podrán concertar con los servicios de salud, instituciones y centros sanitarios que, en cada caso, resulten necesarios para garantizar la docencia práctica de las enseñanzas de carácter sanitario que así lo requieran. Las instituciones y centros sanitarios concertados podrán añadir a su denominación el adjetivo universitario (art. 14 Ley 44/2003).

• POSTGRADO:

La formación de Especialistas en Ciencias de la Salud implicará tanto una formación teórica y práctica como una participación personal y progresiva del especialista en formación en la actividad y en las responsabilidades propias de la especialidad de que se trate.

CASO 1. Formación Universitaria en los Centros Sanitarios

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CONCLUSIONES

• Es necesaria la existencia de un convenio de colaboración entre la Universidad y el centro sanitario, en el que debe regularse, entre otros, el régimen de acceso a los datos durante la docencia.

• Con carácter general, para ser respetuosos con el derecho fundamental a la protección de datos que tiene el paciente, respecto a la información contenida en su historia clínica, en el ámbito de desarrollo de actividades de docencia será necesario obtener su consentimiento previo para el acceso a sus datos, o proceder a su anonimización.

CASO 1. Formación Universitaria en los Centros Sanitarios

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CONCLUSIONES

CASO 1. Formación Universitaria en los Centros Sanitarios

• En el supuesto de la formación de pregrado, debemos tener en cuenta que el estudiante aún no es un profesional sanitario, por lo qué, salvo que participe en la actividad asistencial directa al paciente y haya firmado un documento específico de compromiso de confidencialidad sobre los datos a los que acceda, debería someterse su acceso a los datos de la historia clínica de los pacientes al criterio general anteriormente expuesto (anonimización y/o consentimiento).

• Únicamente en el supuesto de la formación especializada, al concurrir en los estudiantes la circunstancia de ser profesionales sanitarios, que las prácticas que realizan corresponden al desempeño de funciones asistenciales y que además tienen una relación laboral de carácter especial con el centro sanitario, es legítimo el acceso a los datos contenidos en las historias clínicas de los pacientes en cuya asistencia participan, sin necesidad de obtener el consentimiento expreso del mismo y sin necesidad de proceder a su anonimización.

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 2. Contenido del derecho de acceso a la Historia Clínica

SUPUESTO

• Solicitud del ejercicio del derecho de acceso por el paciente, sobre su historia clínica, solicitando expresamente se le facilite la relación de usuarios que han accedido a su historia clínica electrónica.

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 2. Contenido del derecho de acceso a la Historia Clínica

MARCO LEGAL (LOPD)

• CONTENIDO DEL DERECHO:

Obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos (Art. 25 RD 1720/2007).

• CESIONES DE DATOS:

Los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 2. Contenido del derecho de acceso a la Historia Clínica

PLANTEAMIENTO

• Debe analizarse si los datos de los usuarios que han accedido a la HCE, en el ejercicio de su actividad, constituyen datos de carácter personal de titularidad del paciente.

• Atender a la consideración de si los accesos realizados por los usuarios de un sistema de información constituyen un supuesto de cesión o comunicación de datos y, por tanto, estos accesos forman parte del contenido de la información que se debe facilitar al interesado.

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

CASO 2. Contenido del derecho de acceso a la Historia Clínica

CONCLUSIONES

• Los datos de los profesionales que han accedido a la HCE no constituyen, en ningún caso, datos de la HCE, siendo su generación y conservación una obligación interna impuesta al responsable del fichero o tratamiento, en materia de seguridad.

• Los usuarios de los sistemas de información de que pueda disponer el responsable del fichero para materializar el tratamiento de los datos no constituyen, en ningún caso, un tercero respecto al mismo y tampoco constituye ese acceso un uso distinto del previsto por el responsable cuando se creó el fichero, por lo que no nos encontraríamos ante un supuesto de cesión o comunicación de datos.

Agencia de Protección de Datos - Comunidad de Madrid

Casos Prácticos: La experiencia de las Agencias de Protección de Datos

VIII Foro Protección de Datos de SaludPamplona, 16 y 17 de marzo de 2011

Ángel Igualada Menor

Subdirector General Adjunto de Registro de Ficheros ySistemas de Información

-------------------------Agencia de Protección de Datos de la Comunidad de Madrid

C/ Cardenal Marcelo Spínola, 1428016 Madrid

Tfno. 91.580.28.74 – 75Fax. 91.580.28.88

apdcm@madrid.org angel.igualada@madrid.orgwww.apdcm.org www.madrid.org/apdcm

www.datospersonales.org

14