¿Con qué finalidad acceden las administraciones a nuestros datos de salud?

octubre 15, 2014

Durante el pasado verano tuvimos noticia de que la Audiencia Nacional había dictado sentencia en la que ordena se incoen actuaciones inspectoras y el inicio del procedimiento sancionador al Servicio Vasco de Salud (Osakidetza) y al Servicio Cántabro de Salud (SCS), por posible acceso a historias clínicas y modificación de la prescripción, sin el consentimiento del médico.

Esta sentencia es consecuencia del recurso contencioso-administrativo interpuesto en 2011 por el Consejo General de Colegios Oficiales de Médicos (CGCOM) contra una resolución de la Agencia Española de Protección de Datos (AEPD) que acordó no incoar actuaciones a la denuncia formulada por el propio Consejo General ante el tratamiento de los datos de salud por las Administraciones sanitarias del País Vasco y Cantabria, y por el cambio o alteración de la prescripción electrónica de los médicos de dichos Servicios de Salud.

Destacamos tres aspectos a analizar:
1. El presunto acceso indebido a la Historia Clínica por parte de ambas Administraciones
2. La actuación de la AEPD
3. La sustitución del criterio profesional médico por la Administración sanitaria.

El último de estos tres aspectos no resulta menos relevante, dado que puede cuestionarse si ésta decisión por parte de la Administración Sanitaria puede estar justificada, aun cuando ésta responda a razones de racionalización del gasto farmacéutico. En este sentido, cabe mencionar que, al menos en el caso de la Comunidad Cántabra se permite al profesional rechazar/aceptar la propuesta una vez que el sistema propone el cambio de tratamiento, mientras que en Osakidetza, esta facultad no estaba operativa y debía justificarse la oposición al cambio efectuado ante la Dirección Médica.

En relación con el acceso indebido a la Historia Clínica, y la actuación de la AEPD por la que ésta no incoa acciones inspectoras, la Sentencia de la Audiencia Nacional (SAN 3186/2014), basa su decisión en el fundamento jurídico cuarto, por el cual expone la necesidad de clarificar si el cambio informático y automático de la prescripción de los medicamentos constituye o no un acceso a la historia clínica y un tratamiento de datos. Expone igualmente las posiciones de la AEPD y País Vasco, considerando estos que no estamos ante un acceso a la historia clínica, contrariamente a la posición del CGCOM y de Cantabria, que sí lo consideran como un acceso a la historia clínica.

Para analizar dichas posiciones, se debe analizar:
1.- Qué se considera tratamiento de datos.
2.- Cuándo ese tratamiento afecta a los datos de salud comprendidos en la Historia Clínica.

Para lo primero cabe decir que tanto el artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos, como el artículo 5.1.t) del Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la misma, consideran como tratamiento el acceso o consulta de datos y la modificación de los mismos.

En relación con lo segundo, la Ley 41/2002, de 15 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, dispone en su artículo 14 y 15 la definición y los datos que integrarán la Historia Clínica. En este sentido, la prescripción constituye uno de los datos de salud integrantes de la misma.

En base a lo anterior, cuando hablamos de un acceso o modificación de un dato contenido en la historia clínica, deberán aplicarse las reglas que disponen los artículos 7.3 y 7.6 de la Ley Orgánica 15/1999, los cuales establecen que el tratamiento de datos de salud sólo podrá efectuarse cuando medie consentimiento del afectado, a excepción de aquellos supuestos en los que éste tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

Se contempla por tanto la posibilidad de que personas diferentes a un profesional sanitario, puedan efectuar un tratamiento de datos siempre y cuando este responda a las necesidades mencionadas. Así mismo se pronuncia la Ley 41/2002, de 15 de noviembre, en su artículo 16.

Concretamente cuando el tratamiento se refiere al acceso a los datos, éste debe realizarse al conjunto de datos que sean necesarios para desarrollar las funciones de su competencia y siempre y cuando se sometan al deber de secreto profesional.

No obstante, si el tratamiento está referido a la modificación de datos de salud, aún efectuándose por parte de un sistema automatizado en el que no exista un acceso o consulta de dicha información, en base al artículo 15.3 de la Ley de Autonomía del paciente, este tratamiento no se podrá efectuar de forma automática sin previo consentimiento del profesional sanitario que intervino en los aspectos relacionados con la asistencia directa al paciente, por cuanto es responsabilidad del profesional sanitario, en los términos del apartado cuarto de dicho artículo, el mantenimiento de dicha historia clínica y su cumplimentación de forma que responda a la finalidad que el artículo 15.2 de esta Ley le reconoce, a saber: “facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud”.

En base a lo anterior, debería considerarse lícito el tratamiento de los datos cuando éste esté justificado en los términos que dispone la legislación expuesta. Por lo que en principio podría argumentarse que tanto el tratamiento de datos realizado por Osakidetza y por SCS a la historia clínica es lícito en tanto en cuanto puede considerarse que este tratamiento se efectuó como necesidad de la gestión de servicios sanitarios que regula el 7.6 de la LOPD y el 16 de la Ley de Autonomía del Paciente. No obstante, no podemos olvidar que tal como dispone esta norma básica, en los aspectos relacionados con la asistencia directa al paciente, será responsable el profesional que intervenga en dicha asistencia. Teniendo en cuenta, que la prescripción pertenece a la esfera del profesional médico, tendrá que ser éste quien consienta por tanto el tratamiento de dichos datos en cuanto a la modificación de la prescripción.

Aun pudiendo considerar que consecuencia de la forma en la que se ha producido esa modificación, no ha habido un acceso a los datos, sí que ha existido sin embargo una modificación que en el caso de Osakidetza se ha efectuado sin el consentimiento del profesional a diferencia del caso de SCS, obviando la responsabilidad del médico para con la información que refleje en la historia clínica.

En resumen, la cuestión a analizar debería por tanto centrarse más en cómo se ha procedido en cada una de las Administraciones a ese cambio de la prescripción. En cualquier caso, estamos ante un tratamiento automatizado de datos de salud especialmente protegidos, que por consiguiente deben tratarse bajo medidas especialmente exigentes tal como reconoce la normativa sobre protección de datos (medidas de seguridad de nivel alto). Y teniendo en cuenta todo lo anterior, tanto la forma de cambio como los datos especialmente protegidos, cabe atreverse a decir que la Agencia debería haber ejercido la potestad de inspección reconocida en el artículo 40 así como 37.1.d), f) y g) que alude la Sentencia de la Audiencia Nacional. Quizás sí que cabría averiguar, o al menos incoar acciones que permitieran el conocimiento de forma más exhaustiva de las medidas adoptadas para la modificación automática de la prescripción.

Publicación de Eupharlaw relacionada: “El Dato Personal Terapéutico”

Cookie	Duración	Descripción
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
cookielawinfo-checkbox-non-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "No necesarias".
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Tipo	Duración	Descripción
IDE	1	2 years	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
NID	1	6 months	This cookie is used to a profile based on user's interest and display personalized ads to the users.
VISITOR_INFO1_LIVE	1	5 months	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
GPS	30 minutos	Youtube establece esta cookie y registra una identificación única para rastrear a los usuarios según su ubicación geográfica.
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones, campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatorio para identificar visitantes únicos.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas, se muestran de forma anónima.

Cookie	Tipo	Duración	Descripción
YSC	1	Cookie de sesión	Estas cookies son establecidas por Youtube y se utilizan para rastrear las vistas de videos incrustados.
_gat	0	1 minuto	Google Universal Analytics instala estas cookies para acelerar la tasa de solicitud y limitar la recopilación de datos en sitios de alto tráfico.
_gat_UA-78467836-1	0	1 minuto	Esta es una cookie de tipo de patrón establecida por Google Analytics, donde el elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web con el que se relaciona. Parece ser una variación de la cookie _gat que se utiliza para limitar la cantidad de datos registrados por Google en sitios web de alto volumen de tráfico.

Cookie	Tipo	Duración	Descripción
test_cookie	0	11 meses	Utilizada para comprobar si el navegador del usuario admite cookies.
vchideactivationmsg_vc11	0	9 meses	Permite enviar mensajes desde el formulario de contacto