El 25 de maig del 2018 va començar a ser aplicable la nova normativa europea de protecció de dades del Reglament 2016/679/UE, de 27 abril, de protecció de les persones físiques en el relatiu al tractament de dades personals i a la lliure circulació d’aquestes dades, la qual s’havia publicat dos anys abans. Els dies previs a la seva aplicació, moltes empreses van sol·licitar el consentiment exprés dels usuaris per poder continuar enviant-los informació i adaptar-se a la nova normativa. Tots vam rebre una allau de correus i de trucades en aquest sentit, però aquest fet només era la punta de l’iceberg respecte als canvis que calia fer per complir amb la normativa i que ja vam avançar en aquest article.

El reglament donava l’opció als estats membres de la Unió Europea de poder adaptar i desenvolupar les seves disposicions, sempre que no hi entressin en contradicció. Així, el 7 de desembre del 2018, va entrar en vigor la Llei Orgànica 3/2018, de 5 de desembre, de Protecció de dades personals i garantia dels drets digitals, que adapta el Reglament Europeu al nostre ordenament i introdueix, alhora, novetats no regulades per aquest.

Aquesta normativa és d’obligat compliment a totes les consultes i centres mèdics. Tal com ja es va fer el maig passat, el Col·legi va organitzar una sessió informativa el passat 11 de febrer per explicar les novetats més transcendents de la nova llei que afecten a l’activitat mèdica. La sessió tenia també la finalitat d’abordar les obligacions i responsabilitats en relació a la documentació clínica, atès que resulta una matèria molt vinculada a la protecció de dades en l’àmbit sanitari, que suscita moltes consultes i que és d’interès professional.

A la jornada, hi van participar Ignasi Pidevall, advocat i director de l’Assessoria Jurídica CoMB i Delegat de Protecció de Dades (DPD) del CoMB;Mercedes Martínez, advocada de l’Assessoria Jurídica del CoMB i experta en documentació clínica i deontologia i Cristina Redondo, advocada i responsable del Servei de Protecció de Dades de Mediconsulting SA.

Els punts més destacats tractats durant la sessió  van ser els següents:

Delegat de Protecció de Dades (DPD): Aquesta figura és la que, principalment, ha d’informar, assessorar i supervisar el responsable de les dades i els seus empleats. Fa de pont amb l’Agència Espanyola de Protecció de Dades (AEPD) i amb els pacients/interessats. Ha de ser una persona especialitzada en dret i en protecció de dades, pot ser extern o intern. També pot ser una persona jurídica.

La llei espanyola completa allò que diu la norma europea i estableix, entre d’altres coses, que els col·legis professionals i els centres sanitaris han de nomenar un DPD. D’aquesta obligatorietat, en quedarien exempts els professionals que treballen a títol individual (és a dir, consultes on treballa un professional amb algú que li pot fer de suport). Ara bé, caldrà estar atents a la interpretació que l’Agencia Española de Protección de Datos en pugui fer. En aquest sentit, es va recomanar nomenar un DPD, encara que, en principi, no sigui necessari i aprofitant els avantatges que suposa aquesta figura. I és que, tal com s’explicava, comptar amb aquesta figura és un atenuant en cas de sanció i, a més, el DPD pot ser un mediador molt útil amb el pacient, en cas que aquest consideri que s’han vulnerat els seus drets.

Consentiment de menors en la protecció de dades. La normativa europea establia una forquilla entre els 13 i 16 anys. Finalment, la legislació espanyola ha establert aquest consentiment a partir dels 14 anys, excepte que una altra norma exigeixi la intervenció dels titulars de la pàtria potestat o de la tutela. No s’ha de confondre, però , amb el consentiment informat propi del procediment assistencial, que té la seva regulació específica a la normativa d’autonomia del pacient.

Informació als interessants sobre el tractament de les seves dades personals: La llei recull la possibilitat de fer “informació per capes”. És a dir, en un primer nivell d’informació, s’hi pot incloure la informació bàsica que marca la Llei (identitat del responsable, finalitat i l’exercici de drets) i, en una segona capa, la resta de la informació, posant-hi, per exemple, un enllaç.

Exercici de drets: Quan un pacient demana exercir els seus drets (d’accés, rectificació, supressió, limitació i oposició al tractament de les dades), el DPD pot ser el mediador previ a una possible reclamació de l’interessant a L’AEPD. Ara bé, el dret d’accés es podrà considerar repetitiu si se sol·licita més d’un cop en el termini de sis mesos.

En el cas de les persones difuntes, la nova llei reconeix el dret d’accés, rectificació o supressió a les persones amb un vincle familiar amb el difunt, un vincle de fet, als hereus i a les persones designades expressament, sempre que el difunt o una llei no ho prohibeixin expressament.

Conservació de la història clínica: Quan parlem de la història clínica, ens referim a tot el conjunt de la documentació que s’ha generat o que es va generant durant tot el procés assistencial. S’ha de garantir l’autenticitat d’aquesta informació, la seva integritat i confidencialitat i l’accés del pacient dins del termini de conservació que estableix la llei. La conservació d’aquests documents ha de ser en el format original en què s’han produït. No obstant, a la sessió es va deixar clar que “tot allò que tenim en paper no ho podem escanejar i passar al sistema informàtic” sense conservar-ne l’original. Això només és possible en alguns supòsits. En el cas del document de consentiment informat, per exemple, “si destruïm el document en paper i hi ha una reclamació, si en presentem una fotocòpia [com a prova], no tindrem manera de demostrar que aquella firma era del pacient en cas que es posi en dubte l’autenticitat del document”. Per tant, cal conservar l’original del consentiment informat. El més recomanable és deixar sempre registre de tot, fins i tot de la destrucció de la documentació. I, si optem per solucions digitals de signatura biomètrica, cal que ens assegurem que compleixen totes les garanties de seguretat i que es pugui acreditar que la signatura que consta en el document és la del pacient. A la jornada, es va parlar de l’existència de solucions al mercat que, a data d’avui, poden acreditar aquests extrems.

Accés a la història clínica: El pacient ens pot demanar un informe sobre el procés assistencial o sobre algun punt en concret, o bé ens pot demanar una còpia íntegra de la seva història. Això seria una petició del dret d’accés a la història clínica que caldrà tenir molt en compte i atendre’l abans del termini d’un mes. En aquest punt, es va fer referència també a les possibles anotacions subjectives dels professionals que formen part de la HC. El professional té la possibilitat d’ometre-les en cas de petició del dret d’accés del pacient, si ho considera necessari.

Cal recordar que un tercer no pot accedir a la història clínica d’un pacient si no és amb el consentiment explícit d’aquest, excepte en el cas que hi hagi una petició judicial. Això també inclou els mateixos professionals. Els professionals tan sols podran accedir a la història d’aquells pacients per als quals estan autoritzats. Un accés indegut és una infracció del Codi Penal i està castigat amb una pena d’entre 1 i 4 anys de presó.

Davant de qualsevol dubte i per tal d’evitar possibles conflictes en tots aquests temes, els experts participants a la sessió van recomanar contactar amb l’Assessoria jurídica del CoMB.

Tractament de dades en la investigació en matèria de salut i biomèdica: La nova llei regula àmpliament el tractament de les dades personals per a investigació i biomèdica. La regla general serà la necessitat del consentiment, excepte en alguns supòsits. La llei es refereix a la possibilitat de reutilitzar les dades en la investigació mèdica o biomèdica per a d’altres finalitats que estiguin relacionades amb la finalitat per a la qual vam obtenir el consentiment del pacient. La recomanació és que es tractin les dades de forma anònima o pseudoanonimitzada.

El Col·legi de Metges de Barcelona té a disposició de tots els col·legiats l’equip d’experts en protecció de dades de Mediconsulting – Servei de protecció de dades. Telèfon 935678878. Correu: luisa.garcia@med.es.