Tus derechos en relación con tus datos de salud

Última modificación:

Régimen general de los datos de salud (artículo 9 RGPD)

Los datos relativos a su salud son datos especialmente protegidos y su tratamiento está prohibido salvo que concurra una de las siguientes circunstancias:

  • Consentimiento explícito del interesado
  • Resulte necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social
  • Resulte necesario para proteger intereses vitales del interesado
  • Es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical
  • Se refiere a datos personales que el interesado ha hecho manifiestamente públicos
  • Es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  • Es necesario por razones de un interés público esencial
  • Es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, cuando su tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad
  • Es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios
  • Es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos

Derecho de acceso a la historia clínica

El artículo 18 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica es la norma que, por razón de la materia y especialidad, reconoce el derecho de acceso a la historia clínica en los siguientes términos:

1. El paciente tiene derecho de acceso, con las reservas señaladas en el apartado 3 de este artículo, a la documentación de la historia clínica y a obtener copia de los datos que figuran en ella. Los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos.

Ejercicio del derecho de acceso

De acuerdo con esto, los usuarios o pacientes tienen derecho a dirigirse al responsable del tratamiento de sus datos (es decir, a los médicos, centros de salud, centros sanitarios, tanto públicos como privados) solicitando el acceso a la documentación que constituye su historia clínica. El acceso abarca la documentación electrónica y en papel.

El interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, tendrá derecho de acceso a los datos personales y a la siguiente información:

  • Copia de los datos personales objeto de tratamiento (si se pide más de una copia, se puede cobrar por las segundas);
  • Los fines del tratamiento;
  • Las categorías de datos personales de que se trate;
  • Los destinatarios o las categorías de destinatarios a los que se comunicaron o se comunicarán los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
  • De ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
  • La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento
  • El derecho a presentar una reclamación ante una autoridad de control;
  • Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas relativas a la transferencia.

El derecho de acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas, a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.

Salvo que una ley lo permita expresamente, el derecho de acceso no incluye la identificación de los profesionales sanitarios que acceden a la historia clínica.

Conviene mencionar igualmente que los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. En cualquier caso, el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros.

Por tanto, con las salvedades antes citadas, se puede ejercer el derecho de acceso a los datos de su historia clínica dirigiéndose al responsable del tratamiento. Se la deben facilitar en el plazo de un mes, aunque se puede ampliar el plazo.

Reclamación

En el caso de que le denieguen su derecho de acceso, y disponga de pruebas o indicios que acrediten la vulneración de su derecho a la protección de datos, puede presentar una reclamación a través de la sede electrónica de la AEPD.

Alternativamente, puede remitir un escrito de reclamación a través de las oficinas de asistencia en materia de registro de las Administraciones públicas, en las oficinas de Correos o en las representaciones diplomáticas u oficinas consulares de España, si se encuentra en el extranjero.

En el siguiente enlace puede localizar su oficina más cercana.

Dicho escrito deberá contener:

  1. Nombre y apellidos del interesado y, en su caso, de la persona que lo represente, así como la identificación del medio preferente o del lugar que se señale a efectos de notificaciones.
  2. Hechos, razones y petición en que se concrete, con toda claridad, la solicitud.
  3. Lugar y fecha.
  4. Firma del solicitante o acreditación de la autenticidad de su voluntad expresada por cualquier medio.
  5. Órgano, centro o unidad administrativa a la que se dirige (en este caso, la Subdirección General de Inspección de Datos de esta Agencia, calle Jorge Juan, 6-28001-Madrid).

Las reclamaciones deberán expresar la identificación de los presuntos responsables y acompañar los documentos o cualquier otro tipo de prueba o indicio que permita corroborar los hechos objeto de reclamación.

No obstante, con carácter previo a la presentación de una reclamación ante la AEPD, podrá dirigirse al delegado de protección de datos (DPD) de la entidad contra la que reclame. En este caso, el DPD le comunicará la decisión que se hubiera adoptado en el plazo máximo de dos meses a contar desde la recepción de la reclamación.

En nuestra sede electrónica puedes consultar los datos de contacto de los DPD que han sido comunicados a la AEPD, a través de este enlace.

Finalmente, para conocer sus derechos como usuario de sanidad, le recomendamos consultar la Guía para pacientes y usuarios de la Sanidad elaborada por esta AEPD

Conservación de datos y limitaciones al derecho de supresión

El artículo 17.1 de la Ley 41/2002, de 14 noviembre, “de autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica”, establece que la historia clínica se debe conservar al menos cinco años desde el alta de cada proceso asistencial, si bien los plazos de conservación pueden variar entre las Comunidades Autónomas. Por tanto, cuando un paciente recibe el alta o deja de asistir a la clínica, no se puede proceder a eliminar sus datos ya que existe una obligación de custodia de la historia clínica con distintas finalidades, entre otras finalidades, garantizar del derecho de acceso del paciente a su historia clínica Asimismo, la documentación clínica también se debe conservar a efectos judiciales, y cuando existan razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud.

En este sentido, la Ley 42/2015, de 5 de octubre, de reforma de la Ley 1/2000, de 7 de enero, de Enjuiciamiento Civil establece en cinco años el plazo general de prescripción establecido para las acciones personales. Por tanto, en caso de reclamación, se debe tener en cuenta que este plazo computa desde que el reclamante tiene conocimiento del daño.

Por otro lado, existen datos de la historia clínica relacionados con el nacimiento del paciente, incluidos los resultados de las pruebas biométricas, médicas o analíticas que en su caso resulten necesarias para determinar el vínculo de filiación con la madre, que no se destruyen, trasladándose una vez conocido el fallecimiento del paciente, a los archivos definitivos de la Administración correspondiente.

La Ley 41/2002, se refiere a la forma de conservación de las historias clínicas y reconoce la posibilidad de mantenerla en un soporte distinto al original, poniendo de manifiesto la necesidad de implementar las medidas de seguridad exigibles para los ficheros de datos de carácter personal de acuerdo con la normativa de protección de datos.

Para las cuestiones más concretas relativas a la conservación de la historia clínica, puede consultar al Delegado de Protección de Datos (DPD) del Colegio de Médicos correspondiente, figura obligatoria desde mayo de 2018. Entre sus funciones están las de "informar y asesorar" al responsable del tratamiento, así como supervisar el cumplimiento de la normativa sobre protección de datos personales y es el interlocutor con los titulares de los datos para cualquier cuestión que al respecto se plantee, incluido el establecimiento de protocolos de actuación en relación con los procedimientos que lleva a cabo dicha administración pública.

La información de contacto del DPD debe ser hecha pública. No obstante, también puede consultarse la relación de DPD existente en la Agencia Española de Protección de Datos, disponible en este enlace.

En este enlace, se accede a los datos de contacto de los DPD de los Servicios Públicos de Salud de las CCAA que están bajo la autoridad de la AEPD, así como a las direcciones electrónicas de las autoridades autonómicas del País Vasco, Cataluña y Andalucía.