• Brian Borja Espinosa

CONTRATAR UN DPO (SECTOR SANITARIO)

Actualizado: abr 21

Introducción y conceptos básicos

Los datos de salud de un centro sanitario forman parte del historial clínico de los pacientes. La Ley Orgánica de Protección de Datos (LOPD), así como la Ley de Autonomía del Paciente (LAP) son las dos leyes principales que se encargan de proteger esos datos personales.


Para comprender cuándo un negocio dedicado a gestionar historiales clínicos a través de sus profesionales de la salud, debemos tener en cuenta las siguientes definiciones:


Centro sanitario

El art. 3 LAP establece que "El conjunto organizado de profesionales, instalaciones y medios técnicos que realiza actividades y presta servicios para cuidar la salud de los pacientes y usuarios".


Historia clínica

El art. 3 LAP establece que "El conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial".

El art. 17 LAP indica que “Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad […].Los profesionales sanitarios que desarrollen su actividad de manera individual son responsables de la gestión y de la custodia de la documentación asistencial que generen”.


Profesional de la salud

El art. 2 de la Ley 44/2003 establece que "[…] son profesiones sanitarias, tituladas y reguladas, aquellas cuya formación pregraduada o especializada se dirige específica y fundamentalmente a dotar a los interesados de los conocimientos, habilidades y actitudes propias de la atención de salud […]. Las profesiones sanitarias se estructuran en los siguientes grupos:

  • De nivel Licenciado: las profesiones para cuyo ejercicio habilitan los títulos de Licenciado en Medicina, en Farmacia, en Odontología y en Veterinaria y los títulos oficiales de especialista en Ciencias de la Salud para Licenciados a que se refiere el título II de esta ley.

  • De nivel Diplomado: las profesiones para cuyo ejercicio habilitan los títulos de Diplomado en Enfermería, en Fisioterapia, en Terapia Ocupacional, en Podología, en Óptica y Optometría, en Logopedia y en Nutrición Humana y Dietética y los títulos oficiales de especialista en Ciencias de la Salud para tales Diplomados a que se refiere el título II de esta ley.

Conforme a lo establecido en la Ley 10/1986, de 17 de marzo, sobre odontólogos y otros profesionales relacionados con la salud dental, tienen carácter de profesión sanitaria la de protésico dental y la de higienista dental.

El art. 3 de la Ley 44/2003 establece que: "Son profesionales del área sanitaria de formación profesional quienes ostentan los títulos de formación profesional de la familia profesional sanidad, o los títulos o certificados equivalentes a los mismos. Los profesionales del área sanitaria de formación profesional se estructuran en los siguientes grupos:

  • De grado superior: quienes ostentan los títulos de Técnico Superior en Anatomía Patológica y Citología, en Dietética, en Documentación Sanitaria, en Higiene Bucodental, en Imagen para el Diagnóstico, en Laboratorio de Diagnóstico Clínico, en Ortoprotéica, en Prótesis Dentales, en Radioterapia, en Salud Ambiental y en Audioprótesis.

  • De grado medio: quienes ostentan los títulos de Técnico en Cuidados Auxiliares de Enfermería y en Farmacia.

Tendrán, asimismo, la consideración de profesionales del área sanitaria de formación profesional los que estén en posesión de los títulos de formación profesional […] conforme a lo previsto en el artículo 10.1 de la Ley Orgánica 5/2002 […].


¿Qué dice la legislación de Protección de Datos?

El artículo 34.1 LOPD indica quién debe designar un Delegado de Protección de Datos. En concreto, el artículo 34.1.L) hace referencia a centros sanitarios:


Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

El artículo 37 Reglamento General de Protección de Datos (RGPD) indica al respecto que:


El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

  • a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

  • b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

  • c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.


El Considerando 91 RGPD indica al respecto que:


El tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes o clientes, un solo médico, otro profesional de la salud o abogado.


Las Directrices sobre los delegados de protección de datos (DPD) emitidas por el Grupo de Trabajo sobre Protección de Datos del Artículo 29 (WP 243), entiende que:


Es importante tener en cuenta que, aunque el considerando proporciona ejemplos situados en los extremos de la escala (tratamiento de datos de un solo médico frente al tratamiento de datos en la totalidad de un país o en toda Europa), hay una amplia zona gris entre ambos extremos. Además, debe tenerse en cuenta que este considerando se refiere a las evaluaciones de impacto relativas a la protección de datos. Esto significa que algunos elementos pueden ser específicos de dicho contexto y no aplicarse necesariamente de la misma manera a la designación de los DPD.


Además, proporciona dos ejemplos:


Como casos que no constituyen tratamiento a gran escala cabe señalar:

- El tratamiento de datos de pacientes por parte de un solo médico;

- El tratamiento de datos personales relativos a condenas e infracciones penales por parte de un abogado.


Análisis

El artículo principal que aplicaría sería el 34.1 de la LOPD. Al respecto, debemos tener en cuenta los siguientes aspectos:


1. Profesional de a salud

Debemos considerar que un profesional de la salud es aquella persona que haya obtenido un título reglado, como puede ser los títulos de licenciatura o de diplomatura de especialista en Ciencias de la Salud (odontología, podología, dietética, óptica y optometría, logopedia, entre otras) así como aquellas que hayan obtenido un título de formación profesional (de grado superior o de grado medio), como pueden ser los títulos de dietética, higiene bucodental, en imagen para el diagnóstico, laboratorio de diagnóstico clínico, prótesis dentales, radioterapia, entre otros.

2. Centro sanitario.

Un centro sanitario es un “conjunto organizado de profesionales” y, por tanto, si la entidad tiene contratados a varios profesionales de la salud, se entenderá que es un centro sanitario.


3. A título individual.

En contraposición al concepto de centro sanitario, si la actividad se lleva a cabo a través de solo profesional de la salud (a título individual), no será obligatorio (sólo voluntario) contar con un Delegado de Protección de Datos.

Si ejerzo a título individual, pero tengo colaboradores que tienen acceso al historial clínico de mis pacientes, ¿se entiende igualmente que es una actividad a título individual?


Entiendo que debemos tomar como referencia conceptos mercantiles como es el de socios o al concepto legal de “empresario individual”. El enfoque de interpretación debemos centrarlo a conceptos legales relacionados con la protección de datos y, en concreto, a la “gran escala”: número de interesados afectados, volumen de datos, alcance geográfico, entre otros.

La legislación y los informes oficiales únicamente hacen referencia a ejemplos extremos, como son los hospitales y profesionales de la salud individuales, sin hacer referencia al gran abanico de situaciones que existen entre ambos extremos.

Por tanto, no se trata de una regla matemática, sino que debemos de tener en cuenta el contexto de cada entidad para poder interpretar la obligatoriedad legal de contar con Delegado de Protección de Datos


4. Mantenimiento de la historia clínica.

El centro sanitario debe ser el obligado a mantener la historia clínica de sus pacientes.


Conclusión

Una clínica dental que esté formada por un profesional de la salud y un higienista, por ejemplo, si realizamos una interpretación estricta de la norma, debería de estar obligada a contratar un DPD. En cambio, si tenemos en cuenta otros aspectos como son, por ejemplo, su ubicación (en un pueblo de unos 5.000 habitantes), la cantidad de pacientes (alrededor de unos 100) y que no ofrece un servicio de protésico dental o de ortodoncia externa, podríamos entender que no debería de contar con un DPD.

El caso mas claro sería, por ejemplo, un profesional de la salud de la psicología o de la nutrición que lleva a cabo su actividad de manera individual y que no necesita de otros profesionales para realizar su actividad.

La escala de grises que existe entre extremos quedan a la interpretación jurídica de cada profesional del Derecho para determinar la necesidad o no de contar con un DPD. Por ello, debes rodearte de profesionales con experiencia y rigor para que te asesoren correctamente.



#DPD #DPO #DelegadodeProtecciondeDatos #CentrosSanitarios #ProfesionalesDeLaSalud #CumplimientoLegal #RGPD #LOPD #BEconsultorialeg

Entradas Recientes

Ver todo

REDES SOCIALES

¿CÓMO CONTACTAR? 

  • LinkedIn - Círculo Negro
  • Facebook - Círculo Negro
  • Twitter
  • Instagram

608 89 43 59 

SERVICIOS

GENERAL

© 2020 BE CONSULTORÍA LEGAL