La protección de datos personales en el ámbito sanitario es uno de los bloques normativos más preguntados en las oposiciones del SERGAS. El marco regulador lo conforman el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 41/2002, de 14 de noviembre, de Autonomía del Paciente. En las últimas convocatorias del SERGAS, este bloque ha aportado entre 4 y 8 preguntas por examen en las oposiciones de celador, enfermería y TI.

Marco normativo: RGPD UE 2016/679

El RGPD entró en vigor el 25 de mayo de 2018 y es directamente aplicable en todos los Estados miembros de la Unión Europea. Sustituyó a la Directiva 95/46/CE y armonizó la regulación de protección de datos en toda la UE. La LOPDGDD lo complementa en el ordenamiento jurídico español.

Artículo 4.1 RGPD (literal): "Se entenderá por datos personales toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona."

Datos sanitarios como categoría especial

El artículo 9 RGPD cataloga los datos relativos a la salud como categorías especiales de datos, cuyo tratamiento está prohibido con carácter general salvo que concurra alguna de las excepciones expresamente previstas.

Excepciones aplicables en sanidad

  • Art. 9.2 a): consentimiento explícito del interesado.
  • Art. 9.2 h): cuando el tratamiento es necesario para fines de medicina preventiva o laboral, diagnóstico médico, prestación de asistencia o tratamiento sanitario o gestión de sistemas y servicios de asistencia sanitaria.
  • Art. 9.2 i): cuando es necesario por razones de interés público en el ámbito de la salud pública.
  • Art. 9.2 c): para proteger intereses vitales del interesado o de otra persona física cuando aquel no esté capacitado.

Principios del tratamiento (art. 5 RGPD)

  1. Licitud, lealtad y transparencia: el tratamiento debe contar con base jurídica y ser comprensible para el interesado.
  2. Limitación de la finalidad: los datos se recogen con fines determinados, explícitos y legítimos.
  3. Minimización de datos: adecuados, pertinentes y limitados a lo necesario.
  4. Exactitud: los datos deben ser exactos y actualizados.
  5. Limitación del plazo de conservación: se conservan durante el tiempo necesario.
  6. Integridad y confidencialidad: seguridad adecuada mediante medidas técnicas y organizativas.
  7. Responsabilidad proactiva (accountability): el responsable debe poder demostrar el cumplimiento.

Derechos del interesado (arts. 15 a 22 RGPD)

DerechoArtículo RGPDContenido
Acceso (A)Art. 15Conocer si se tratan sus datos y obtener copia
Rectificación (R)Art. 16Corregir datos inexactos
Supresión (S) / al olvidoArt. 17Eliminación de los datos
Oposición (O)Art. 21Oponerse a un tratamiento concreto
Portabilidad (P)Art. 20Recibir los datos en formato estructurado
Limitación (L)Art. 18Restricción temporal del tratamiento

La mnemotecnia habitual para recordarlos es ARSOPL (Acceso, Rectificación, Supresión, Oposición, Portabilidad, Limitación). El plazo general para responder es de un mes, prorrogable otros dos meses en casos complejos.

Secreto profesional

El deber de secreto constituye la obligación central del personal sanitario respecto a los datos del paciente. Se regula en:

  • Art. 7.2 Ley 41/2002 de Autonomía del Paciente: los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior.
  • Art. 5 LOPDGDD: deber de confidencialidad de los responsables y encargados del tratamiento y de todas las personas que intervengan en cualquier fase de este.
  • Art. 19.1 Ley 55/2003 Estatuto Marco: deber de confidencialidad de los datos a los que tengan acceso por razón de su función.
  • Art. 199.2 Código Penal: castiga con pena de prisión de 1 a 4 años, multa de 12 a 24 meses e inhabilitación especial de 2 a 6 años al profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los secretos de otra persona.

Art. 19.1 Ley 55/2003 (literal): "El personal estatutario de los servicios de salud viene obligado a: (...) Guardar secreto profesional sobre los datos relativos a la salud de los ciudadanos que por razón de su función deba conocer."

Historia clínica y acceso

La historia clínica es el soporte documental del proceso asistencial. En el SERGAS, la historia clínica electrónica se gestiona a través del sistema IANUS (Sistema de Información Asistencial do SERGAS), que integra datos de atención primaria, hospitalaria y urgencias de toda la red sanitaria gallega.

Acceso a la historia clínica (arts. 16-19 Ley 41/2002)

  • Profesionales asistenciales: acceso a toda la información necesaria para la asistencia.
  • Fines de inspección, evaluación, acreditación y planificación: acceso limitado a los datos necesarios.
  • Fines de investigación, docencia o epidemiológicos: como regla general, con datos anonimizados; excepcionalmente identificados con consentimiento.
  • El propio paciente: acceso al contenido de su historia, con límite en las anotaciones subjetivas de los profesionales.
  • Personas fallecidas: acceso restringido a familiares vinculados salvo prohibición expresa del fallecido.

Plazo mínimo de conservación

La Ley 41/2002 (art. 17) establece un plazo mínimo de cinco años contados desde la fecha del alta de cada proceso asistencial. Galicia, mediante la Ley 3/2001 (ahora integrada en la Ley 8/2008), fija un plazo mínimo de cinco años de toda la historia clínica, que en la práctica clínica habitual se conserva durante décadas.

Figuras clave del RGPD

FiguraArtículoRol
Responsable del tratamientoArt. 24Determina fines y medios (ej.: SERGAS)
Encargado del tratamientoArt. 28Trata datos por cuenta del responsable
Delegado de Protección de Datos (DPD)Arts. 37-39Informa, asesora y supervisa
Autoridad de controlArt. 51AEPD (España)

La designación del DPD es obligatoria en el SERGAS por tratarse de una autoridad pública que realiza tratamientos a gran escala de categorías especiales de datos (art. 37.1 RGPD).

Medidas de seguridad

El artículo 32 RGPD exige medidas técnicas y organizativas apropiadas al riesgo. En el ámbito sanitario las medidas habituales son:

  • Control de accesos: autenticación con tarjeta sanitaria profesional, usuario y contraseña robusta, doble factor en accesos remotos.
  • Cifrado de datos: en reposo y en tránsito (TLS/SSL).
  • Trazabilidad: registro de accesos que permita auditorías.
  • Copia de seguridad: con verificación periódica de integridad.
  • Formación: del personal en protección de datos.
  • Gestión de incidentes: protocolo de actuación ante brechas de seguridad.

Brechas de seguridad (arts. 33 y 34 RGPD)

Ante una brecha, el responsable debe notificarla a la AEPD en un plazo máximo de 72 horas desde que tenga constancia de ella, salvo que sea improbable que constituya un riesgo para los derechos y libertades de las personas físicas. Si el riesgo es alto, además debe comunicarse sin dilación indebida al interesado.

Sanciones

El RGPD establece dos franjas de sanciones en el artículo 83:

NivelSanción máximaInfracciones típicas
Nivel 110 M euros o 2 % facturación anualRegistro, notificación de brechas, DPD
Nivel 220 M euros o 4 % facturación anualPrincipios básicos, derechos, transferencias internacionales

La LOPDGDD (arts. 72-78) clasifica las infracciones en muy graves, graves y leves, con plazos de prescripción de 3, 2 y 1 años respectivamente.

Casos prácticos en el SERGAS

Caso 1: Acceso indebido a IANUS

Un profesional consulta la historia clínica de un familiar sin que exista relación asistencial. Constituye acceso no autorizado, infracción grave LOPDGDD, posible falta grave/muy grave del Estatuto Marco y potencial delito del art. 197 CP (descubrimiento y revelación de secretos).

Caso 2: Consulta con acompañante

Debe garantizarse la intimidad. Se requiere el consentimiento del paciente para que el acompañante permanezca durante la exploración. En pacientes menores e incapaces se aplica el régimen de representación legal.

Caso 3: Información telefónica

No debe facilitarse información clínica por teléfono salvo que se pueda acreditar fehacientemente la identidad del interlocutor y su derecho de acceso. En caso de duda, derivar a consulta presencial o canales acreditados.

Relación con otros temas

El bloque de protección de datos se integra con la Ley 55/2003 del Estatuto Marco (deber de sigilo), con la Ley 8/2008 de Saúde de Galicia (derechos de los pacientes) y con los sistemas de información clínica del SERGAS. Para los opositores de TI, conviene revisar también seguridad perimetral, backups y arquitectura de IANUS.

Preguntas tipo examen

  1. Fecha de entrada en vigor del RGPD: 25 mayo 2018.
  2. Plazo de notificación de brechas a la AEPD: 72 horas.
  3. Plazo general para responder a un derecho ARSOPL: 1 mes (prorrogable 2 meses).
  4. Plazo mínimo de conservación de historia clínica: 5 años.
  5. Sanción máxima RGPD nivel 2: 20 millones de euros o 4 % facturación.
  6. Autoridad de control en España: AEPD.
  7. Artículo del Código Penal sobre secreto profesional: art. 199.2.

Bases jurídicas del tratamiento (art. 6 RGPD)

Aunque en sanidad se recurre principalmente a las excepciones del art. 9.2 h), toda actividad de tratamiento necesita además una base jurídica del art. 6 RGPD. Las más habituales en el SERGAS son:

  • Art. 6.1 c): cumplimiento de una obligación legal (notificaciones obligatorias, registros sanitarios).
  • Art. 6.1 d): intereses vitales del interesado.
  • Art. 6.1 e): misión realizada en interés público o en el ejercicio de poderes públicos.
  • Art. 6.1 a): consentimiento explícito (para tratamientos no amparados en obligaciones legales, como estudios de investigación).

Evaluaciones de impacto (EIPD, art. 35)

Cuando un tratamiento entrañe un alto riesgo para los derechos y libertades, el responsable debe realizar una evaluación de impacto relativa a la protección de datos. En sanidad son casos habituales: nuevos sistemas de información, uso de inteligencia artificial en diagnóstico, tratamientos genéticos, videovigilancia sanitaria o estudios con datos masivos. La EIPD debe contener:

  1. Descripción sistemática del tratamiento y sus fines.
  2. Evaluación de la necesidad y proporcionalidad.
  3. Evaluación de los riesgos para los derechos.
  4. Medidas previstas para afrontar los riesgos.

Transferencias internacionales (Capítulo V RGPD)

Los datos personales solo pueden transferirse a terceros países cuando se garantice un nivel adecuado de protección (art. 45), existan garantías apropiadas (art. 46: cláusulas contractuales tipo, BCR) o concurra alguna excepción (art. 49). El caso Schrems II (2020) invalidó el Privacy Shield y exige evaluaciones de transferencia (TIA) para envíos a Estados Unidos.

Derechos digitales (Título X LOPDGDD)

La LOPDGDD 3/2018 incorporó un catálogo de derechos digitales novedoso, entre los que destacan:

  • Derecho a la neutralidad de internet (art. 80).
  • Derecho de acceso universal (art. 81).
  • Derecho a la seguridad digital (art. 82).
  • Derecho a la educación digital (art. 83).
  • Derecho al olvido en búsquedas de internet y redes sociales (arts. 93-94).
  • Derechos digitales en el ámbito laboral (arts. 87-91): intimidad en dispositivos, desconexión digital.
  • Derecho al testamento digital (art. 96).

Interacción con la Ley 41/2002 de Autonomía del Paciente

La Ley 41/2002 especifica, en el ámbito sanitario, derechos y obligaciones que ya recoge el RGPD pero con matices propios del contexto clínico:

  • Consentimiento informado (arts. 8-10): verbal con carácter general; escrito para intervenciones quirúrgicas, procedimientos diagnósticos y terapéuticos invasores, y en general, aplicación de procedimientos que suponen riesgos o inconvenientes de notoria y previsible repercusión negativa sobre la salud del paciente.
  • Información clínica (art. 4): verdadera, comprensible y adecuada a las necesidades del paciente.
  • Documento de instrucciones previas (art. 11): voluntades sobre tratamientos.
  • Historia clínica (arts. 14-19): contenido mínimo, usos y accesos.

Afianza este bloque con tests

La protección de datos en sanidad combina normativa europea, estatal y autonómica. Es un bloque muy rentable porque las preguntas suelen ser directas sobre plazos, figuras y sanciones. En oposergas.com disponemos de más de 250 preguntas específicas con explicación normativa. Regístrate gratis y refuerza este temario en celador, enfermería, TI o PIR.