Delegado de Protección de Datos en el sector Salud. Profesionales y Centros Sanitarios

dpo en clínicas y centros sanitarios

¿CUÁNDO ESTAMOS OBLIGADOS AL NOMBRAMIENTO DE UN DELEGADO DE PROTECCIÓN DE DATOS?

Con la entrada en vigor apenas hace un año de la Ley de Protección de Datos y Garantía de Derechos Digitales, el legislador español vino a detallar en dicha norma, entre otras obligaciones la designación de la figura del Delegado de Protección de Datos para aquellos profesionales y centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de sus pacientes, dejando excluidos de la obligatoriedad de tal nombramiento tan sólo a aquellos profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

               Si analizamos el primer párrafo, debemos hacernos dos preguntas que nos indicarán de un modo más claro que profesionales estarían obligados al nombramiento de la figura de Delegado de Protección de Datos. Por un lado debemos preguntarnos ¿Qué consideramos a efectos legales “historia clínica”?Y por otro lado ¿Qué es considerado un profesional sanitario?.

               La definición de historia clínica nos la da la Ley 41/2002, de 14 de Noviembre que, en su artículo 14 la define como “el conjunto de documentos relativos a procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ella, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos en el ámbito de cada centro”.

               A esta definición debemos añadir que la historia clínica, como conjunto de organizado de datos de carácter personal, se podrá elaborar en cualquier tipo de soporte, siempre y cuando quede garantizada la conservación, autenticidad, confidencialidad de su contenido, así como su reproducción futura en el caso de ser necesario.

               Respecto a la cuestión de cuando podemos hablar de personal sanitario, la respuesta, la hallamos en la Ley 44/2003, de 21 de Noviembre, de ordenación de las profesiones sanitarias donde se estructura las distintas profesiones que tienen dicha consideración.

               Las profesiones sanitarias se estructuran en los siguientes grupos:

               · Profesiones para cuyo ejercicio habilitan los títulos de Licenciado en: Medicina, Farmacia y Odontología.

               · Profesionales que se encuentren en posesión de un título oficial de especialista en Ciencias de la Salud establecido, conforme a lo previsto en el artículo 19.1 de la Ley 44/2003, de 21 de Noviembre, tales como químicos, biólogos o bioquímicos.

               · Profesiones para cuyo ejercicio habilitan los títulos de Licenciado en Psicología cuando desarrollen su actividad profesional por cuenta propia o ajena en el sector sanitario, siempre que, además del mencionado título universitario ostenten el título oficial de Máster en Psicología General Sanitaria.

               · Profesiones para cuyo ejercicio habilitan los títulos de Diplomado en: Enfermería, Fisioterapia, Terapia Ocupacional, Odontología, Higienista y Protésico Dental, Óptica y Optometrista, Logopedia, Nutrición Humana y Dietética.

               · Los profesionales del área sanitaria de formación profesional de grado superior que ostenten los títulos de Técnico Superior en Anatomía Patológica y Citología, en Dietética, en Higiene Bucodental, en Imagen para el Diagnóstico, en Laboratorio de Diagnóstico Clínico, en Ortoprotésica, en Salud Ambiental, en Prótesis Dentales, en Radioterapia, y en Audioprótesis.

               · Los profesionales del área sanitaria de formación profesional de grado medio que ostenten los títulos de Técnico en Cuidados Auxiliares de Enfermería y en Farmacia.

               Si conjugamos las anteriores preguntas y sus correspondientes respuestas junto con el listado de los distintos profesionales sanitarios que acabamos de detallar, dispondremos de una herramienta adecuada para poder concluir si un profesional de la salud o centro sanitario tiene el deber de cumplir con la obligación dispuesta en la Ley de Protección de Datos y Garantía de Derechos Digitales cuando, en su artículo 34, apartado 1, letra l, nos indica expresamente que “Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades: i) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes”.            

               Respecto a dicha obligación de nombramiento de un Delegado de Protección de Datos observamos como en este propio artículo se hace una excepción cuando indica que los profesionales de la salud estarán obligados al nombramiento de Delegado de Protección de Datos cuando “ejerzan su actividad a título individual”.

               En este punto, el profesional que este leyendo el post podría dudar si en el ejercicio de su actividad de un modo individual, tendría obligación de nombrar Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.

               Para una mejor comprensión de la anterior excepción, pongamos una serie de ejemplos prácticos, debiendo indicar que las conclusiones a las que se llega en cada uno de los ejemplos son conclusiones a las que llega el consultor jurídico autor de este post con su propia interpretación de la normativa objeto de estudio.

               A) Profesional médico que trabaja en una consulta privada con asistencia por parte de una profesional de enfermería ala que tiene contratada, que auxilia a los pacientes antes, después e incluso durante la visita haciendo tareas propias de su profesión y que, además desempeña tareas propias de administración: Si es necesario el nombramiento de Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.

               B) Profesional médico que trabaja en una consulta privada sin asistencia por parte de una profesional de la enfermería, contando tan sólo con una auxiliar administrativa que trabaja en recepción cogiendo citas de los pacientes pudiendo a su vez tener acceso al historial clínico en un momento determinado: No es necesario el nombramiento de Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.

               C) Profesionales médicos que no conformando sociedad profesional y ejerciendo su actividad a título individual, comparten consulta y donde uno de ellos tiene contratada una diplomada en enfermería que además de coger citas para los pacientes, realiza tareas propias de su profesión a los pacientes de ambos, teniendo acceso al historial médico de los mismos: Si es necesario el nombramiento de Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.

               D) Profesionales de la psicología que comparten gabinete y donde uno de ellos hace tareas propias de coaching y ante la detección de una patología en el cliente pasa a este al profesional de la psicología clínica con el que comparte gabinete para que proceda a confirmar el diagnóstico y posteriormente a tratar la patología en el caso de que fuere necesario. No es necesario el nombramiento de Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.

               Una vez analizados los distintos supuestos que llevan a o no aparejado el nombramiento del Delegado de Protección de Datos ante la Agencia Española de Protección de Datos, la normativa vigente en la materia lleva a los profesionales sanitarios a tener una especial cautela con el tratamiento de los datos de salud de los usuarios dada la categoría de los datos objeto de tratamiento, ser transparentes a la hora de informar a los pacientes a cerca de las distintas finalidades, ser minuciosos a la hora de encontrar una base legal para el tratamiento de los datos, llevar de un modo adecuado y actualizado el Registro de Actividades de Tratamiento, valorar la realización de una evaluación de impacto en materia de protección de datos en el caso de ser necesario o tener un procedimiento estandarizado para dar respuesta de un modo solvente a cualquier ejercicio de derecho que se nos pueda plantear.

               Si es un profesional de la salud o necesita asesoramiento para su clínica o centro médico, desde Legitec, le animamos a contactar con nuestro Departamento de consultoría en protección de datos para que, con el análisis y estudio del caso concreto podamos asesorarle sobre la obligación o no de nombramiento de un Delegado de Protección de Datos, así como de cualquier otro aspecto relacionado con la actual normativa de protección de datos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

LEGITEC moderará sus comentarios y podrá o no dar respuesta a los mismos. Puede ejercer sus derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, en la dirección de correo electrónico info@legitec.com. Lea la política de privacidad antes de proporcionarnos sus datos personales.