Ámbito sanitario

No. El titular de los datos personales y, en concreto, de los datos que existen en la historia clínica, siempre es el paciente. El centro sanitario, el médico, la mutua privada, etc. que elaboran nuestra historia clínica son responsables de la información que tratan, y deben custodiarla, conservarla y protegerla.

Las historias clínicas se pueden conservar en soporte papel o electrónico, siempre que se garantice la autenticidad de su contenido y que se pueda consultar en el futuro. Todos los accesos o modificaciones de la historia clínica deben quedar registrados, así como los médicos y los profesionales asistenciales que han accedido a ella o la han modificado.

En las historias clínicas en papel, deberían utilizarse contenedores seguros que no permitan que personas no autorizadas recuperen la información, y máquinas destructoras de papel. Puede ser adecuado encargar su eliminación a empresas que garanticen la destrucción segura mediante un certificado.

En las historias clínicas en soporte electrónico, los centros o profesionales sanitarios realizarán un borrado seguro de la información o, en su caso, destruirán físicamente el soporte o dispositivo.

Los centros sanitarios, los archivos y los centros de documentación deben tener un registro de eliminación de historias clínicas.

Los centros y servicios sanitarios que cierran y los profesionales que cesan la actividad definitivamente deben garantizar el acceso a las historias clínicas que custodian, en beneficio de la asistencia médica y de los derechos de los pacientes.

Cuando un médico en ejercicio por cuenta propia cesa la actividad, debería avisar a los pacientes para que puedan llevarse sus historias clínicas y, en su caso, entregarlas a un nuevo profesional. El médico puede consultar a su colegio profesional sobre la forma en que debe gestionar esta situación, sin poner en peligro los derechos de sus pacientes y, en su caso, destruir la información que corresponda con métodos seguros.

No. Se trata de dos derechos de información distintos:

El consentimiento informado en el ámbito sanitario hace referencia al deber de recoger el consentimiento de los pacientes que deben someterse a determinadas intervenciones más o menos invasivas sobre su cuerpo (exploraciones, análisis clínicos, biopsias, intervenciones quirúrgicas, cuidados, tratamientos médicos, etc.). Es necesario explicar al paciente en qué consistirá la actuación para que pueda decidir y autorizar si se somete a ello o no.
El derecho de información que prevé la legislación de protección de datos personales es un derecho de todos los pacientes. Los centros sanitarios no deben pedir el consentimiento para tratar los datos que les facilitan los pacientes para atenderlos, pero sí que tienen la obligación de explicarles cómo utilizarán sus datos.

La información que reciben los pacientes debe ser concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida especialmente a los niños. La información debe facilitarse por escrito o por otros medios, incluidos, en su caso, los electrónicos.

El paciente tiene derecho a pedir cualquier aclaración que necesite. Para ello, puede dirigirse al delegado de protección de datos de la entidad responsable.

No. Pedir una firma a un paciente sin haberle informado previamente de qué datos se recogerán, por qué motivo, a quien se comunicarán, etc., y sin que haya podido aclarar sus dudas, no es correcto. Hay que facilitar la información que exige la ley de forma que quede constancia, y el paciente debe poder entenderla. Nunca debería firmarse en blanco, si no se sabe a qué se asocia la firma. El paciente tiene derecho a obtener una copia de cualquier documento que haya firmado.

Si, la APDCAT considera que en función de las circunstancias del caso concreto, puede concurrir un interés legítimo del paciente por conocer la trazabilidad de los accesos a su historia clínica.

Puede ampliar la información en relación con esta cuestión a partir del documento Criterios interpretativos sobre la aplicación de las normas reguladoras y la tramitación de las reclamaciones de acceso de las personas a la trazabilidad de su historia clínica, aprobados conjuntamente por la Autoridad Catalana de Protección de Datos (APDCAT) y la Comisión de Garantía del Derecho de Acceso a la Información Pública (GAIP). 

Sí. Si sospecha que han entrado ilícitamente en su historia clínica puede solicitar a la entidad o institución responsable el registro de accesos a su historia clínica o trazabilidad. En el plazo máximo de un mes le facilitará un listado con el detalle de cada una de las entradas producidas. Si no le entregan el registro de accesos, tiene derecho a interponer una reclamación ante la Autoridad Catalana de Protección de Datos. Una vez dispone del listado, si detecta accesos no justificados por razones asistenciales o administrativas, puede presentar una denuncia ante la Autoridad Catalana de Protección de Datos por infracción de la normativa.

En ocasiones, el paciente no debe conocer todo lo que incluye su historia clínica, ya sea por su propio interés o por el de otras personas (por ejemplo, cuando los profesionales que le atienden consideran que existe un estado de necesidad terapéutica o cuando constan anotaciones subjetivas).

No. El paciente, como persona afectada, puede ejercer su derecho a obtener una copia de todos sus informes médicos de asistencia. No existe ninguna obligación de explicar a la clínica el motivo de la petición y, si se hace, esto no justifica que se deniegue la información. Si la clínica se niega a entregarla, el paciente puede reclamar a la APDCAT.

Sí. El derecho a conocer sus propios orígenes biológicos incluye el derecho a conocer la identidad de los progenitores biológicos. Este derecho se reconoce a los niños y adolescentes desamparados (personas adoptadas, tuteladas o ex-tuteladas por la Administración), una vez que han alcanzado la mayoría de edad o se han emancipado. Los solicitantes deben poder acceder a determinada información de la historia clínica de la madre biológica que pueda ser relevante para su propia salud.

La titular de la historia clínica es la mujer que se somete al tratamiento de reproducción asistida. Su pareja tiene derecho a acceder a sus propios datos. Si un miembro de la pareja desea acceder a los datos del otro miembro, contenidos en documentos compartidos, necesita el consentimiento del titular. Los datos relativos a los preembriones pueden considerarse información titularidad de los dos miembros de la pareja, de modo que ambos tendrían derecho a acceder a ellos.

No. En los casos de rectificación o supresión de los datos, la normativa de protección de datos impone el deber de bloqueo. Eso comporta la identificación y reserva de los datos fuera de los circuitos habituales de trabajo y que se adopten medidas que impidan su tratamiento, de forma que solo estén disponibles para jueces y tribunales, el ministerio fiscal o las administraciones públicas competentes; en particular de las autoridades de protección de datos, para exigir posibles responsabilidades derivadas del tratamiento y solo hasta que estas responsabilidades prescriban.

Es importante que la historia clínica refleje adecuadamente y de forma veraz las circunstancias relevantes de los procesos asistenciales del paciente. Los errores en la fecha de la intervención o en la identificación del médico responsable pueden influir negativamente en el tratamiento asistencial actual y futuro (por ejemplo, puede imposibilitar que los médicos comprueben si la recuperación del paciente entra dentro de la normalidad, o puede impedir contrastar la información con los profesionales que le atendieron). Por tanto, la información debe rectificarse.

No. La asistencia sanitaria que se presta desde los centros y servicios de la red de salud pública no se basa en el consentimiento de los pacientes, sino en las leyes que establecen que todos tenemos derecho a recibir esta prestación (apartado 4.1 de esta guía).

En cambio, la portabilidad sí puede solicitarse a los responsables (mutuas privadas, médicos en ejercicio privado...) que traten los datos de forma automatizada y de acuerdo con una decisión previa del paciente que ha contratado esta prestación.

La normativa sanitaria establece que los datos de la historia clínica solo deben estar accesibles, con fines asistenciales, para los profesionales sanitarios que deben tratar al paciente; estos profesionales deben proteger y respetar la confidencialidad de esta información.

Mediante el derecho de oposición, el paciente puede pedir, por motivos relacionados con su situación particular, que solo determinados profesionales tengan acceso a este episodio de salud. Ahora bien, este derecho puede verse limitado si el centro sanitario puede acreditar que existen motivos legítimos imperiosos que deben prevalecer (por ejemplo, si puede poner en peligro la asistencia sanitaria que recibe el paciente o el buen funcionamiento del sistema de salud).

Otorgar el derecho de oposición no implica necesariamente que la información se suprima, sino que por exigencia de la ley de autonomía del paciente es necesario conservarla durante determinados períodos (apartado 1 de esta guía).

El hecho de que el ejercicio de un derecho no tenga que tener el efecto que pretende el solicitante (la efectiva supresión de un dato, por ejemplo), no justifica la falta de respuesta. Al contrario, hay que responder igualmente en el plazo de un mes y explicar por qué se desestima la solicitud. Dado que no se ha atendido el derecho, se puede presentar una reclamación de tutela de derechos ante la APDCAT.

Puede dirigirse al delegado de protección de datos (DPD) del responsable del tratamiento. Puede encontrar sus datos de contacto en la cláusula informativa que le debe facilitar el responsable cuando recoge la información.

De forma alternativa, y también si no está de acuerdo con la respuesta que le da el delegado de protección de datos, puede dirigirse a la APDCAT.

La comunicación de los datos de salud por teléfono comporta el riesgo de facilitar la información a un tercero que intente suplantar la identidad del paciente. Por este motivo es necesario evitarlo, salvo que se hayan implantado protocolos para identificar con seguridad a la persona que solicita la información.

No. A menos que estas personas estén involucradas en la asistencia médica al paciente, el acceso sería indebido y vulneraría el principio de confidencialidad. El mero hecho de trabajar en un centro sanitario no permite acceder a la información de un compañero sin su consentimiento. El centro debería dar instrucciones adecuadas a sus trabajadores sobre esta cuestión. El paciente puede reclamar ante la APDCAT o las autoridades judiciales.

No, a menos que tengan el consentimiento de los padres (o de los niños, a partir de los 14 años), libre, específico e inequívoco, y si se les informó adecuadamente. Además, si la fotografía permite deducir que sufre algún tipo de enfermedad, el consentimiento debe ser explícito. La finalidad publicitaria puede ser legítima, pero la atención sanitaria no conlleva que pueda difundirse la imagen de los pacientes.

La ley permite que se facilite a los familiares que lo soliciten un justificante con información del paciente que han acompañado. Ahora bien, en este justificante solo debe constar la información mínima imprescindible para que el trabajador pueda pedir y disfrutar del permiso laboral que prevé la normativa laboral para poder acompañar a un familiar al médico.

Sí. Antes de facilitar cualquier dato sobre el estado de salud de un paciente, los centros sanitarios deben asegurarse de la identidad de quien llama, de su relación con el enfermo y, en su caso, de las indicaciones que ha dado el paciente. Por otra parte, pueden vulnerar la intimidad del paciente. Es una buena práctica que el centro pregunte al paciente qué personas de su confianza pueden recibir información, por ejemplo, sobre su evolución después de una intervención quirúrgica.

El hospital puede facilitar el número de habitación (que es un dato que forma parte de la historia clínica) solo a las personas vinculadas al paciente por razones familiares o de hecho que le acompañan durante el proceso asistencial. Para el resto de visitas, debe autorizarlo el paciente.

Cuando a criterio médico un paciente no tiene capacidad suficiente para tomar decisiones sobre su salud (por ejemplo, por un accidente grave o por enfermedad mental), las personas que tienen la representación o que están vinculadas por razones familiares o de hecho pueden acceder a su información.

Sí, las personas vinculadas al difunto por razones familiares o de hecho, así como sus herederos, pueden solicitar el acceso a su historia clínica. Esto a menos que el difunto no lo hubiera prohibido expresamente. El acceso de un tercero a la historia clínica motivado por un riesgo para la propia salud debe limitarse a los datos pertinentes. No se facilitará información que afecte a la intimidad de la persona difunta ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros.

No. El acceso a una historia clínica sin el consentimiento del paciente o sin una razón asistencial que lo justifique supone una vulneración del principio de confidencialidad de la información del paciente. Por tanto, los profesionales médicos que, a pesar de trabajar en el propio CAP, hospital, centro sociosanitario, residencia, etc., no están implicados en el tratamiento asistencial de un paciente, no deben acceder a sus datos personales.

Cuando atienden a un paciente por derivación de una mutua colaboradora con la Seguridad Social, los centros sanitarios pueden comunicar el diagnóstico del trabajador sin su consentimiento, con el fin de gestionar las prestaciones económicas y la asistencia sanitaria derivada de contingencias profesionales, así como para el seguimiento y control de la incapacidad temporal del trabajador.

Sí. Cuando se trata de un seguro obligatorio, la ley permite a los centros sanitarios reclamar a las compañías aseguradoras el importe de la asistencia sanitaria prestada a los asegurados de estas compañías. Para ello, la entidad debe poder comunicar datos de los pacientes para acreditar que se ha prestado la asistencia sanitaria reclamada.

Sí. Si los datos son necesarios para ejercer el derecho de defensa o el cumplimiento del contrato de seguro, el hospital puede comunicar los datos de salud del paciente a sus abogados o a la compañía aseguradora del propio hospital o de los médicos denunciados.

No. La aportación de datos relativos a la salud es estrictamente voluntaria.

Sí. En este caso, la grabación de una intervención quirúrgica no responde a una finalidad asistencial, sino que tiene fines de docencia, por lo que el paciente puede autorizar el tratamiento de las imágenes. La grabación no puede realizarse si el paciente no lo consiente. Para utilizar las imágenes u otros datos en docencia o en publicaciones científicas, es necesario que el paciente no sea identificable.

Los pacientes, o sus representantes, pueden autorizar a que haya alumnos en formación presentes en su proceso asistencial (por ejemplo, en una exploración o revisión médica). Los médicos deberían limitar la presencia de alumnos cuando se considere inadecuado por la situación clínica, emocional o social del paciente.

Ámbito sanitario

¿El centro sanitario es propietario de mi historia clínica?

¿Cómo debe conservarse mi historia clínica? ¿En formato papel o en formato electrónico?

Una vez pasado el plazo de conservación, ¿cómo se elimina la información?

¿Qué ocurre con mi historia clínica cuando un centro o un profesional de la salud cesa en la actividad?

¿El derecho de información previsto en la normativa de protección de datos es el mismo que el consentimiento informado en el ámbito sanitario?

¿Cómo debe ser la información que me facilitan como paciente?

¿La normativa de protección de datos permite conocer qué profesionales han accedido a la historia clínica?

Tengo sospechas de que han entrado en mi historia clínica sin justificación asistencial o administrativa. ¿Hay alguna forma de salir de dudas?

¿Se puede excluir información sobre el derecho de acceso a la historia clínica?

Quiero presentar una denuncia contra una clínica por una posible negligencia médica en la asistencia sanitaria y necesito que me entreguen un informe detallado sobre la intervención quirúrgica que me hicieron. ¿Se pueden negar?

¿Tengo derecho a conocer mis orígenes biológicos, aunque esto suponga acceder a información de la madre biológica?

Una pareja se somete a tratamiento en una clínica de reproducción asistida. ¿Pueden acceder ambos a la misma información médica?

Cuando hay una causa de supresión, ¿los datos deben destruirse físicamente en ese momento?

En un informe incorporado a mi historia clínica existe un error en la fecha de una intervención quirúrgica y en el equipo médico que me asistió. ¿Puedo pedir que lo modifiquen?

¿Puedo pedir la portabilidad de mi historia clínica al CAP?

Pedí la supresión de un dato de mi historia clínica hace dos meses y no me han contestado. ¿Qué puedo hacer?

¿Dónde puedo dirigirme si tengo alguna duda sobre el tratamiento de mis datos personales o no han atendido algún derecho que he ejercido?

¿El centro médico que me ha atendido puede facilitarme información que pido telefónicamente sobre mi estado de salud o el resultado de las pruebas que me han hecho?

Soy enfermero y al mismo tiempo paciente de un hospital. ¿Mis compañeros pueden acceder a información sobre mi intervención quirúrgica?

Una clínica pediátrica donde atienden a mis hijos ha difundido una fotografía suya en la página web, para dar publicidad de los servicios de logopedia que ofrece. ¿Pueden hacerlo?

Acompaño a un familiar a una visita médica al CAP. ¿Tengo derecho a un justificante para mi trabajo?

He llamado a un hospital para pedir información de un familiar ingresado y no me lo han facilitado. ¿Han actuado correctamente?

¿El hospital donde está ingresado un familiar debe facilitarme su número de habitación?

Tengo un familiar ingresado en un centro sanitario, que no tiene capacidad para decidir por sí mismo sobre su tratamiento médico. ¿Quién puede acceder a su información para decidir qué hacer?

¿Puedo pedir la historia clínica de un familiar fallecido?

¿Cualquier médico del CAP donde me atienden habitualmente puede ver mi información de salud?

¿Pueden los centros sanitarios comunicar mis datos a las mutuas colaboradoras de la Seguridad Social?

¿El hospital donde me han atendido por un accidente de tráfico puede comunicar mis datos a la compañía aseguradora de mi vehículo sin mi consentimiento?

Si he presentado una reclamación contra el hospital donde me han atendido, este ¿puede comunicar mis datos a un abogado externo?

¿Es obligatorio facilitar datos sobre mi salud en una encuesta considerada de interés de la Generalitat por formar parte del Plan estadístico?

Me han pedido permiso para grabar imágenes de la intervención quirúrgica a la que debo someterme, con fines de docencia universitaria. ¿Es correcto?

¿Los alumnos en formación pueden estar presentes en las visitas hospitalarias?