El acceso al historial clínico por parte de los profesionales sanitarios implica unos límites y garantías: está reservado exclusivamente al personal sanitario que participa directamente en la atención del paciente. Esto incluye médicos, enfermeros y residentes durante su formación, siempre que la finalidad sea asistencial. Solo se puede acceder a los datos necesarios para el tratamiento, y si no es imprescindible conocer la identidad del paciente, se debe evitar su visualización.

En centros sociosanitarios o privados concertados, también se permite el acceso si es necesario para prestar asistencia sanitaria a un paciente derivado a ese centro, pero limitado a la información imprescindible. Además, los Comités de Ética Asistencial pueden acceder a datos cuando sea necesario para emitir opiniones, siempre bajo acuerdo de confidencialidad. Solo cuando sea precisa la identificación del paciente para poder emitir el informe u opinión correspondiente, se podría acceder a ella.

IMPORTANTE

El principio de minimización de datos y el deber de secreto son pilares esenciales para evitar accesos ilícitos a los datos de salud del historial clínico.

La entrada ¿Quién y cuándo se puede acceder a un historial clínico? (II) se publicó primero en Adaptación RGPD.

El reclamante manifiesta en su denuncia que se produjeron accesos indebidos a su historia clínica por parte de una trabajadora del Servicio Público de Salud. El acceso se realizó sin relación asistencial que lo justificara.  En el escrito de reclamación se aportaron los certificados de accesos al historial clínico, que fueron solicitados a través de la vía judicial. La investigación acreditó que la trabajadora accedió reiteradamente a datos de salud del reclamante, considerados especialmente protegidos según el artículo 9 del RGPD.

El objeto de la reclamación se centró en la vulneración del principio de confidencialidad e integridad de los datos. La AEPD concluyó que el Servicio Público de Salud no implantó adecuadamente las medidas técnicas y organizativas necesarias. En la resolución se hace referencia a la falta de verificación por parte de la entidad reclamada del perfil de acceso del usuario.

Se han infringido por lo tanto el artículo 5.1.f RGPD del principio de confidencialidad e integridad de los datos y el artículo 32 del RGPD sobre la seguridad del tratamiento. Aunque no se impuso sanción económica por tratarse de una entidad pública, se dictó apercibimiento como medida correctiva.

IMPORTANTE

Los accesos ilícitos se evitarían implementando controles efectivos de acceso bajo fines estrictamente asistenciales y realizando análisis de riesgos.

La entrada Acceso indebido al historial clínico en un Servicio Público de salud se publicó primero en Adaptación RGPD.

1.Origen racial o étnico: Información que revela la raza, etnia, o nacionalidad de una persona.

2.Opiniones políticas: Datos relacionados con la afiliación o actividades políticas.

3.Convicciones religiosas o filosóficas: Creencias religiosas, filosóficas o espirituales de una persona.

4.Afiliación sindical: Información sobre la pertenencia a un sindicato.

5.Datos genéticos: Información relacionada con las características genéticas de una persona, como resultados de pruebas genéticas.

6.Datos biométricos: Características físicas, fisiológicas o de comportamiento que permiten la identificación única de una persona, como huellas dactilares, reconocimiento facial o iris.

7.Datos de salud: Información relacionada con la salud física o mental de una persona, incluidos historiales médicos o diagnósticos.

8.Vida sexual u orientación sexual: Datos sobre la vida sexual, prácticas sexuales, o preferencias sexuales de una persona.

IMPORTANTE

El artículo 9 del RGPD establece una protección para los datos sensibles, garantizando que solo se traten con estrictas condiciones legales.

La entrada Tratamiento de categorías especiales de datos (I) se publicó primero en Adaptación RGPD.

La reclamación es interpuesta por una propietaria de la comunidad. En su escrito manifestó, que, durante el verano del 2020, para entrar en la piscina comunitaria, le exigían que mostrara su DNI, el cuál era apuntado por el vigilante contratado, en un papel en blanco, a la vista del resto de usuarios de la piscina. La reclamante se puso en contacto con el presidente de la comunidad, el cual, le comunicó que se recogía ese dato por la situación de pandemia COVID-19 para facilitarlo al Ministerio de Sanidad en caso de brote. Esa decisión fue tomada solamente, en Junta directiva, pero no vecinal, tal y como manifestó la administradora de fincas.

La AEPD, en su fase de investigación, envío escrito de notificación a la Comunidad de propietarios para que enviara alegaciones, pero no presentó nada al respecto. Se sanciona a la Comunidad con 6.000€ por excederse en el tratamiento de los datos, ya que, con apuntar el piso y letra hubiera sido suficiente para identificar al usuario de la piscina. Además, también, se le sanciona por no informar debidamente del tratamiento de los datos personales.

IMPORTANTE

Los datos personales tienen que ser los adecuados, pertinentes y limitados a lo necesario en relación con los fines del tratamiento.

La entrada Una Comunidad de Propietarios es sancionada con 6.000€ por incumplir la normativa de protección de datos se publicó primero en Adaptación RGPD.

En este comunicado, la AEPD manifiesta su preocupación por las prácticas que se están llevando a cabo en algunos establecimientos y centros de trabajo. Estas medidas suponen un tratamiento de datos personales y por lo tanto una intrusión a los derechos de los afectados. El valor de la temperatura corporal es un dato de salud en sí mismo, y, además, a partir de él, se asumirá que una persona padezca o no una concreta enfermedad, en este caso la infección por coronavirus.

La AEPD determina también que dependiendo del contexto en el que se aplique la posible denegación del derecho de acceso puede suponer un importante impacto para el afectado.

La aplicación de la toma de temperatura a través de cualquier proceso, incluidas las cámaras térmicas, requieren de unos criterios previos del Ministerio de Sanidad, que, a fecha de hoy, no se han publicado.

Por otro lado, dependiendo del tipo de tecnología que se pudiera emplear, como es el caso de las cámaras térmicas que también graban imágenes, se tendrían que tener en consideración otros aspectos, tales como, la aplicación de los principios de limitación, finalidad, minimización de datos.

IMPORTANTE

Los datos de salud deberán ser tratados con exactitud. Tienen que ser analizados por equipos homologados y personal formado en su uso y que cumpla con los requisitos legales.

La entrada Preocupación en la AEPD por la toma de temperatura en comercios y centros de trabajo se publicó primero en Adaptación RGPD.