El Delegado de Protección de Datos en los Centros Sanitarios

La Agencia Española de Protección de Datos (AEPD) nos explica en el Reglamento General de Protección de Datos (RGPD) que el Delegado de Protección de Datos (DPD) es una figura clave en el modelo del cumplimiento de las obligaciones de los Responsables o encargados de tratamiento, que bien obligatoriamente o por voluntad propia, lo designen.

El artículo 34 de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos personales y garantía de los derechos digitales (LOPDPGDD) detalla los responsables y encargados que, en todo caso, han de proceder a la designación obligatoria de DPD y entre ellos se encuentran: los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

A su vez, la entidad responsable o encargada del tratamiento que designe un DPD tiene la obligación, de acuerdo con el artículo 37.7 del RGPD:

• Comunicarlo a la autoridad de control en el plazo 10 días.

• Publicitar su existencia a través de medios electrónicos.

Pero… ¿Cuándo no es obligatorio nombrar a un Delegado de Protección de Datos?

Solo quedan excluidos de la obligatoriedad de nombrar un Delegado de protección de datos a los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad profesional de forma individual. Veamos esto detenidamente.

 

¿Qué se entiende por «historia clínica»?

La Historia clínica según el art.14 de la Ley 41/2002, de 14 de noviembre se define como:

«El conjunto de documentos relativos a procesos asistenciales de cada paciente, con la identificación de los médicos y de los demás profesionales que han intervenido en ella, con objeto de obtener la máxima integración posible de la documentación clínica de cada paciente, al menos en el ámbito de cada centro”.

¿Y quién es exactamente el «personal sanitario»?

Según la Ley 44/2003, de 21 de Noviembre, de ordenación de las profesiones sanitarias, las profesiones sanitarias son las siguientes:

• Profesiones para cuyo ejercicio habilitan los títulos de Licenciado en: Medicina, Farmacia y Odontología.
• Profesionales que se encuentren en posesión de un título oficial de especialista en Ciencias de la Salud establecido, conforme a lo previsto en el artículo 19.1 de la Ley 44/2003, de 21 de Noviembre, tales como químicos, biólogos o bioquímicos.
• Profesiones para cuyo ejercicio habilitan los títulos de Licenciado en Psicología cuando desarrollen su actividad profesional por cuenta propia o ajena en el sector sanitario, siempre que, además del mencionado título universitario ostenten el título oficial de Máster en Psicología General Sanitaria.
• Profesiones para cuyo ejercicio habilitan los títulos de Diplomado en: Enfermería, Fisioterapia, Terapia Ocupacional, Odontología, Higienista y Protésico Dental, Óptica y Optometrista, Logopedia, Nutrición Humana y Dietética.
• Los profesionales del área sanitaria de formación profesional de grado superior que ostenten los títulos de Técnico Superior en Anatomía Patológica y Citología, en Dietética, en Higiene Bucodental, en Imagen para el Diagnóstico, en Laboratorio de Diagnóstico Clínico, en Ortoprotésica, en Salud Ambiental, en Prótesis Dentales, en Radioterapia, y en Audioprótesis.
• Los profesionales del área sanitaria de formación profesional de grado medio que ostenten los títulos de Técnico en Cuidados Auxiliares de Enfermería y en Farmacia.

 

¿Por qué se hace una excepción con los profesionales que ejercen su actividad a título individual?

Observamos como en este artículo se hace una excepción cuando indica que los profesionales de la salud estarán obligados al nombramiento de Delegado de Protección de Datos cuando “ejerzan su actividad a título individual”.

En este punto, el profesional que este leyendo el post podría dudar si en el ejercicio de su actividad de un modo individual, tendría obligación de nombrar Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.

Para una mejor comprensión de la anterior excepción, pongamos una serie de ejemplos prácticos, debiendo indicar que las conclusiones a las que se llega en cada uno de los ejemplos son conclusiones a las que llega el consultor jurídico autor de este post con su propia interpretación de la normativa objeto de estudio:

• Profesional médico que trabaja en una consulta privada con asistencia por parte de una profesional de enfermería ala que tiene contratada, que auxilia a los pacientes antes, después e incluso durante la visita haciendo tareas propias de su profesión y que, además desempeña tareas propias de administración: Si es necesario el nombramiento de Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.
• Profesional médico que trabaja en una consulta privada sin asistencia por parte de una profesional de la enfermería, contando tan sólo con una auxiliar administrativa que trabaja en recepción cogiendo citas de los pacientes pudiendo a su vez tener acceso al historial clínico en un momento determinado: No es necesario el nombramiento de Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.
• Profesionales médicos que no conformando sociedad profesional y ejerciendo su actividad a título individual, comparten consulta y donde uno de ellos tiene contratada una diplomada en enfermería que además de coger citas para los pacientes, realiza tareas propias de su profesión a los pacientes de ambos, teniendo acceso al historial médico de los mismos: Si es necesario el nombramiento de Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.
• Profesionales de la psicología que comparten gabinete y donde uno de ellos hace tareas propias de coaching y ante la detección de una patología en el cliente pasa a este al profesional de la psicología clínica con el que comparte gabinete para que proceda a confirmar el diagnóstico y posteriormente a tratar la patología en el caso de que fuere necesario. No es necesario el nombramiento de Delegado de Protección de Datos ante la Agencia Española de Protección de Datos.

Una vez analizados los distintos supuestos que llevan a o no aparejado el nombramiento del Delegado de Protección de Datos, la normativa lleva a los profesionales sanitarios a tener una especial cautela con el tratamiento de los datos de salud de los usuarios dada la categoría de los datos objeto de tratamiento, ser transparentes a la hora de informar a los pacientes a cerca de las distintas finalidades, ser minuciosos a la hora de encontrar una base legal para el tratamiento de los datos, llevar de un modo adecuado y actualizado el Registro de Actividades de Tratamiento.

Además, valorar la realización de una evaluación de impacto en materia de protección de datos en el caso de ser necesario o tener un procedimiento estandarizado para dar respuesta de un modo solvente a cualquier ejercicio de derecho que se nos pueda plantear.

 

¿Tienes alguna duda sobre la figura del Delegado de Protección de Datos? Ampyf está aquí para ayudarte.

Si es un profesional de la salud o necesita asesoramiento para su clínica o centro médico, desde Ampyf, le animamos a contactar con nuestro Departamento de consultoría en protección de datos para que, con el análisis y estudio del caso concreto podamos asesorarle sobre la obligación o no de nombramiento de un Delegado de Protección de Datos, así como de cualquier otro aspecto relacionado con la actual normativa de protección de datos.