Medidas de seguridad a adoptar sobre los datos médicos

Los datos médicos de las personas están especialmente protegidos por la Ley de Protección de Datos de Carácter Personal (LOPD), que establece las mayores sanciones (de hasta 600.000 euros) en caso de incumplimiento. El artículo 8 de esta norma establece y regula los datos relativos a la salud, señalando que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos.

Fuera de estos casos, es preciso el consentimiento expreso de los titulares de los datos o la existencia de una Ley que permita el tratamiento de dichos datos, tal y como establece el artículo 11 de la LOPD. Este precepto autoriza la cesión de datos de carácter personal relativos a la salud cuando “sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”.

Por tanto, todo acceso indebido a datos médicos puede ser sancionado y además con dureza. Recientemente, el servicio de inspección de Instituciones Penitenciarias emprendió una investigación con el objetivo de esclarecer si personal de laboratorios farmacéuticos privados habían tenido acceso al historial clínico de presos enfermos de hepatitis, lo que como hemos visto prohíbe expresamente la Ley de Protección de Datos.

La denuncia, efectuada por un médico de una prisión y un sindicato, indicaba que desde abril de 2012 hasta febrero de 2013 una "persona ajena al centro penitenciario y trabajadora de un laboratorio farmacéutico tenía acceso al módulo de enfermería para recoger datos e informes de los expedientes de internos adscritos al Estudio Perseo". El objetivo era evaluar la respuesta al tratamiento de los presos con hepatitis C, entre el 20% y el 25% de la población reclusa, entre otros aspectos.

Según la denuncia, la trabajadora tuvo a su disposición “historias clínicas individualizadas de internos, teniendo acceso a información sanitaria sin control o presencia de médicos del centro". Además de la prohibición de la LOPD, también el Reglamento Penitenciario estipula que "los datos integrados en la historia clínica individual tendrán carácter confidencial, siendo únicamente accesibles para el personal autorizado".

Y es que errores en la custodia de los historiales clínicos puede conllevar sanciones graves. El Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal (994/1999) obliga a encriptar los datos médicos que se remitan por vía telemática. Otra opción es enviar los datos médicos de forma disociada: es decir, por un lado la información y por otro, los datos personales vinculados a la misma, a los que se asignará una clave.

Los hospitales y centros de salud deben realizar una auditoría periódica que evalúe su cumplimiento la LOPD, en la que se debe plasmar las deficiencias que se encuentren y las soluciones que se deben poner en práctica. Existen empresas que se dedican a hacer este tipo de auditorías con el fin de que los hospitales cumplan de un modo correcto las obligaciones impuestas por la Ley de Protección de Datos.

LOPD en el ámbito sanitario from Conversia