1 Agencia Española de Protección de Datos EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE...

1Agencia Española de Protección de Datos

EL MÉDICO Y SUS EL MÉDICO Y SUS OBLIGACIONES ANTE LA OBLIGACIONES ANTE LA

NORMATIVA DE NORMATIVA DE PROTECCIÓN DE DATOSPROTECCIÓN DE DATOS

CRISTINA GÓMEZ PIQUERAS

Madrid, 24 de octubre de 2006


Legislación sobre Protección de Datos(I)

Constitución Española 1978, Artículo 18.4 Ley Orgánica 5/1992, de 29 de octubre, de regulación del

Tratamiento Automatizado de Datos de carácter personal (LORTAD) DEROGADA

Real Decreto 428/1993, de 26 de marzo, Estatuto de la Agencia de Protección de Datos

Real Decreto 1332/1994, de 20 de junio, de desarrollo de la LORTAD


Legislación sobre Protección de Datos(II)

Instrucciones: 1/1995, de 1 de marzo, solvencia patrimonial y crédito. 2/1995, de 4 de mayo, contratación seguro de vida y crédito. 1/1996, de 1 de marzo, acceso a edificios. 2/1996, de 1 de marzo, acceso a casinos y salas de bingo. 1/1998, de 19 de enero, acceso, rectificación y cancelación. 1/2000, Transferencias Internacionales 1/2004, Publicación de Resoluciones.

Real Decreto 994/1999, de 11 de junio, Reglamento de Medidas de Seguridad

LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

REGLAMENTO DE DESARROLLO DE LA LOPD EN TRAMITACIÓN


Legislación sobre Protección de Datos(III)

►Constitución Europea:

-Artículo 50

- Carta de Derechos Fundamentales

►Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.


DATOS DE SALUD (I)

El conocimiento de los datos de salud por terceras personas puede tener consecuencias perjudiciales para el afectado.

Punto de partida: ni la LOPD ni la Directiva 95/46/CE establecen un concepto de dato de salud.

Semántica: salud es el estado en que el ser orgánico ejerce normalmente todas sus funciones o las condiciones físicas en que se encuentra un organismo en un momento determinado.

OMS: el estado de completo bienestar físico, mental o social, y no solamente la ausencia de afecciones o enfermedades.


DATOS DE SALUD (II)

Consejo de Europa. Memoria Convenio 108: “Datos de carácter personal relativos a la salud” informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo, pudiendo tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Igualmente comprenden las informaciones relativas al abuso del alcohol o al consumo de drogas.

Recomendación nº R (97) 5: “Datos médicos” hacen referencia a todos los datos de carácter personal relativos a la salud de una persona, afectando a los datos manifiesta y estrechamente relacionados con la salud así como a las informaciones genéticas.


DATOS GENÉTICOS

Recomendación nº R (97) 5: “Datos genéticos” todos los datos, de cualquier tipo, relacionados con los caracteres hereditarios de un individuo o que, vinculados a dichos caracteres, compongan el patrimonio de un grupo de individuos emparentados. Hace referencia de la misma manera a todos los datos que afecten a intercambios de información genética (genes) de un individuo o línea genética, con relación a cualquier aspecto de la salud o de una enfermedad, constituya o no un carácter identificable.


RESPONSABILIDADES DEL MÉDICO EN EJERCICIO PRIVADO

INSCRIPCIÓN DEL FICHERO. INCORPORAR MEDIDAS DE SEGURIDAD. INFORMACIÓN. CONSENTIMIENTO. RECOGIDA DE DATOS ADECUADOS. DERECHOS ACCESO, RECTIFICACIÓN Y

CANCELACIÓN. CUSTODIA DE LA HISTORIA CLÍNICA. CONSENTIMIENTO PARA CESIÓN

(EXCEPCIONES). CONFIDENCIALIDAD.


INSCRIPCIÓN DE FICHEROS¿Qué datos se incluyen en la comunicación de

inscripción?

Origen de los datos. Procedimiento de recogida. Cesiones de datos. Transferencias Internacionales: Destinatarios de las cesiones o transferencias. Medidas de seguridad.

Titular del fichero.

Dirección.

Nombre y descripción del fichero.

Ubicación del fichero.

Sistemas de tratamiento.

Identificación de los datos que se van a tratar.

Finalidad y usos del fichero.


MEDIDAS DE SEGURIDAD. Real Decreto 994/1999

Medidas de índole técnica y organizativas necesarias que: Garanticen la seguridad de los datos de carácter

personal y Eviten su adulteración, pérdida, tratamiento o acceso

no autorizado

Todo ello teniendo en cuenta: El estado de la tecnología La naturaleza de los datos almacenados y Los riesgos a que están expuestos, ya provengan de

la acción humana del medio físico o natural.

EN FICHEROS AUTOMATIZADOS Y EN PAPEL


¿Cuáles son las medidas de seguridad que exige el nivel básico?

(I)

Documento de seguridad

El responsable del fichero debe elaborar e implantar una normativa de seguridad.

La normativa de seguridad se recoge en el documento de seguridad.

Debe mantenerse actualizado y revisarse cuando se produzcan cambios relevantes en el sistema.

Debe ser conocido por el personal con acceso a datos personales.



(II)

¿Qué debe contener el documento de seguridad?

Identificación del fichero y los recursos protegidos. 2. Estructura de los ficheros y descripción del sistema de

tratamiento. 3. Procedimiento de seguridad. 4. Procedimientos de notificación, gestión y respuesta

ante incidencias: registro de incidencias. 5. Procedimiento de copias. 6. Funciones y obligaciones del personal con acceso.



(III)Personal con acceso:

Deben establecerse procesos de identificación y autenticación.

Cuando el mecanismo de autenticación se base en la existencia de contraseñas debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad

Las contraseñas se cambiarán con la periodicidad que marque el documento de seguridad

Debe indicarse el acceso permitido a cada usuario.


Medidas de SeguridadNivel medio

(I)

Deben implantarse con datos relativos a:Comisión de infracciones administrativas. Comisión de infracciones penales. Hacienda Pública. Servicios financieros y de solvencia. Datos que faciliten el perfil del individuo.



(II)

Las medidas de nivel medio suponen la implantación de las de nivel básico más:

Nombramiento de uno o más responsables de seguridad

El documento de seguridad ha de ser más completo: Identificación del responsable de seguridad. Procesos de verificación periódica de su cumplimiento. Medidas en caso de desecho o reutilización de

soportes. Procesos de identificación y autentificación más

exigentes.



(III)

Los sistemas informáticos y las instalaciones en las que se realicen los tratamientos deben auditarse cada dos años.

Control de acceso físico a los locales

Gestión de soportes: Registro de entrada y de salida, en el que queden

registradas la fecha y hora de entrada o salida Tipo y número de soportes; Emisor o destinatario y forma de envío; Información que contiene y responsable de la recepción

o de la entrega.


Nivel alto

Aquellos que traten:

Ideología, religión, creencias religiosas.

Origen racial.Salud, vida sexualDatos recabados para fines

policiales.


Medidas de SeguridadNivel alto

(I)

Se habrán de instaurar las de nivel básico y medio más:

Mecanismos técnicos que registren todos los accesos Identificación del usuario, fecha y hora. Fichero accedido y tipo de acceso. Si ha sido autorizado o denegado. Los registros de acceso se conservarán dos

años.


Medidas de SeguridadNivel alto

(II)

La distribución de soportes se hará Cifrando o utilizando cualquier otro medio Garantizando que la información no es

inteligible ni manipulable.

El responsable de seguridad revisará la información y elaborará un informe mensual.


DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS

Existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

Consecuencias de la obtención de los datos o de la negativa a suministrarlos.

Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

Identidad y dirección del responsable del tratamiento o, en su caso, de su representante.


CONSENTIMIENTO

Inequívoco Los datos de carácter personal que hagan referencia a la salud

sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.

Revocable Excepciones

Prevención o diagnóstico médico, prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto a secreto profesional o persona sujeta a obligación equivalente.

Salvaguardar el interés vital del afectado. Instituciones sanitarias y profesionales de acuerdo con la

legislación sanitaria, respecto a las personas que acudan a ellas o sean tratados en los mismos.

Consentimiento expreso para otras finalidades


¿QUÉ DATOS PODEMOS RECABAR?

AdecuadosPertinentesNo excesivos

VeracesActualesExactos

Prohibición recogida

determinadas

Finalidades explícitas

legítimas

Contenido

fraudulenta

desleal

ilícita


DERECHOS DEL INTERESADO (I)

DERECHOS PERSONALÍSIMOS

DERECHOS INDEPENDIENTES

FICHEROS AFECTADOS: AUTOMATIZADOS Y PAPEL

GRATUITOS

SOLICITUD ANTE EL RESPONSABLE OBLIGACIONES DEL RESPONSABLE CONTESTACIÓN EXPRESA SUBSANACIÓN


DERECHOS DEL INTERESADO

Acceso: Solicitud de sus datos de carácter personal sometidos

a tratamiento, origen, comunicaciones realizadas o que se prevén. Plazo contestación de un mes.

Rectificación y cancelación: En caso de datos inexactos o incompletos o de

tratamiento no ajustado a la Ley. Conservación durante los plazos previstos en las disposiciones aplicables o en relaciones contractuales. Plazo contestación 10 días.

Oposición: El interesado se opone al tratamiento de sus datos,

salvo que una Ley prevea la inclusión de datos.Indemnización:

Por los daños o perjuicios causados como consecuencia del incumplimiento de la Ley.


DERECHO DE ACCESO

CONCEPTO

PLAZO: 1 MES + 10 DÍAS

FORMA DEL ACCESO Soporte elegido por el reclamante: Visualización en pantalla, escrito,

copia o fotocopia remitida por correo, telecopia, cualquier otro procedimiento adecuado

Legible Inteligible

CONTENIDO DE LA INFORMACIÓN Datos de base del afectado Los resultantes de cualquier elaboración o proceso informático Origen de los datos Cesionarios de los datos Usos y finalidades para los que se almacenaron.


DERECHO DE ACCESO

ACCESO LEY 41/2002 EL PACIENTE TIENE EL DERECHO DE ACCESO, CON LAS

RESERVAS SEÑALADAS EN EL APARTADO 3 DE ESTE ARTÍCULO, A LA DOCUMENTACIÓN DE LA HISTORIA CLÍNICA Y A OBTENER COPIA DE LOS DATOS QUE FIGURAN EN ELLA (ART. 18.1)

LÍMITES: PERJUICIO DEL DERECHO DE TERCERAS PERSONAS A LA

CONFIDENCIALIDAD DE LOS DATOS DE SALUD. PERJUICIO DEL DERECHO DE LOS PROFESIONALES;

POSIBILIDAD DE OPONER RESERVAS DE SUS ANOTACIONES SUBJETIVAS.

ACCESO DATOS PACIENTES FALLECIDOS A LAS PERSONAS VINCULADAS A ÉL, POR RAZONES FAMILIARES O DE HECHO, SALVO QUE EL FALLECIDO LO HUBIESE PROHIBIDO EXPRESAMENTE Y ASÍ SE ACREDITE.


DERECHO DE RECTIFICACIÓNY CANCELACIÓN

CONCEPTOPLAZO: 10 DÍASFORMA

a) Derecho de rectificación: indicar dato erróneo, aportar documentación justificativab) Derecho de cancelación: el interesado debe indicar si revoca el consentimiento otorgado- La cancelación da lugar al bloqueo de datos y posteriormente se cancelan

DENEGACIÓN: Los datos se mantendrán durante los plazos legalmente establecidos o pactados contractualmente.


COMUNICACIONES A TERCEROS O CESIÓN DE DATOS

Con carácter general, es necesario el consentimiento del afectado

Excepciones:

Cesión autorizada por una Ley Tratamiento que responde a una relación jurídica

libremente aceptada cuando la comunicación es necesaria para su desarrollo, cumplimiento o control.

Cesiones de datos de salud para solucionar urgencias o que requieran acceder a estudios epidemiológicos.


CONFIDENCIALIDAD DE LOS DATOS

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Vulneración del deber de guardar secreto de los datos de salud: comisión de infracción muy grave, pudiendo ser sancionada con multa de 300.000 a 600.000 euros.


CUESTIONES NO RESUELTAS

REGULACIÓN ESPECÍFICA DE LA RECOGIDA DE DATOS Y CUMPLIMIENTO DEL DEBER DE INFORMACIÓN AL PACIENTE.

QUE PASA CON LAS HISTORIAS CLÍNICAS DE UN MÉDICO PARTICULAR CUANDO FALLECE.

REGULACIÓN DEL PROCEDIMIENTO PARA CORREGIR DATOS ERRÓNEOS DE LA HISTORIA CLÍNICA.

REGULACIÓN DEL DERECHO DE CANCELACIÓN (DATOS DE ANTIGUAS DROGADICCIONES)

CONSECUENCIA: APLICACIÓN SUPLETORIA DE LA LOPD


A. E. P. D.

https://www.agpd.es/

Gabinete Jurídico: Informes

Atención al ciudadano: 913996200

Registro de ficheros: 913996229

Muchas Gracias.

1 Agencia Española de Protección de Datos EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE...

Documents

Transcript of 1 Agencia Española de Protección de Datos EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE...