Taller 5 lopd investigacion_20121024

Agencia de Protección de Datos - Comunidad de Madrid Protección de Datos e Investigación en Atención Primaria

Protección de Datos e Investigación en

Atención Primaria Ángel Igualada Menor


Derecho Fundamental a la Protección de Datos: (STC 292/2000 FJ.5) Este derecho fundamental a la protección de datos, a diferencia del derecho a la intimidad del art. 18.1 CE, con quien comparte el objetivo de ofrecer una eficaz protección constitucional de la vida privada personal y familiar, atribuye a su titular un haz de facultades que consiste en su mayor parte en el poder jurídico de imponer a terceros la realización u omisión de determinados comportamientos cuya concreta regulación debe establecer la Ley, aquella que conforme al art. 18.4 CE debe limitar el uso de la informática, bien desarrollando el derecho fundamental a la protección de datos (art. 81.1 CE), bien regulando su ejercicio (art. 53.1 CE). La peculiaridad de este derecho fundamental a la protección de datos respecto de aquel derecho fundamental tan afín como es el de la intimidad radica, pues, en su distinta función, lo que apareja, por consiguiente, que también su objeto y contenido difieran.


Autonomía del Paciente: (Art. 7 Ley 41/2002)

El derecho a la intimidad 1. Toda persona tiene derecho a que se respete el carácter confidencial de los datos

referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley.

2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.


Principios PD: (Título II LOPD) 1. Calidad de los datos. 2. Información previa a la recogida de los datos. 3. Consentimiento. 4. Datos especialmente protegidos. 5. Datos relativos a la salud. 6. Seguridad de los datos. 7. Deber de secreto. 8. Cesiones de datos. 9. Acceso a los datos por cuenta de terceros.

Derechos PD: (Título III LOPD) 1. Acceso. 2. Rectificación y cancelación. 3. Oposición.


Calidad de los datos

- Los datos recogidos no podrán usarse para finalidades incompatibles con aquellas para las que fueron recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

- Sólo se podrán recoger datos para su tratamiento cuando sean adecuados, pertinentes y no excesivos, en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para los que se hayan obtenido.

- Si los datos registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados.

- Los datos serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados.

- Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.



Usos de la historia clínica 1. La historia clínica es un instrumento destinado fundamentalmente a garantizar una

asistencia adecuada al paciente. Los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia.

2. Cada centro establecerá los métodos que posibiliten en todo momento el acceso a la historia clínica de cada paciente por los profesionales que le asisten.



Usos de la historia clínica

3. El acceso a la historia clínica con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, se rige por lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, y en la Ley 14/1986, de 25 de abril, General de Sanidad, y demás normas de aplicación en cada caso. El acceso a la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente, separados de los de carácter clínico-asistencial, de manera que, como regla general, quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos.

Se exceptúan los supuestos de investigación de la autoridad judicial en los que se considere imprescindible la unificación de los datos identificativos con los clínico-asistenciales, en los cuales se estará a lo que dispongan los jueces y tribunales en el proceso correspondiente. El acceso a los datos y documentos de la historia clínica queda limitado estrictamente a los fines específicos de cada caso.




Cuando ello sea necesario para la prevención de un riesgo o peligro grave para la salud de la población, las Administraciones sanitarias a las que se refiere la Ley 33/2011, General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso habrá de realizarse, en todo caso, por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta, asimismo, a una obligación equivalente de secreto, previa motivación por parte de la Administración que solicitase el acceso a los datos.

4. El personal de administración y gestión de los centros sanitarios sólo puede acceder a

los datos de la historia clínica relacionados con sus propias funciones.




5. El personal sanitario debidamente acreditado que ejerza funciones de inspección, evaluación, acreditación y planificación, tiene acceso a las historias clínicas en el cumplimiento de sus funciones de comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria.

6. El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones

queda sujeto al deber de secreto. 7. Las Comunidades Autónomas regularán el procedimiento para que quede constancia

del acceso a la historia clínica y de su uso.


Información en la Recogida de los datos

- Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

- De la existencia de un fichero o tratamiento de datos personales. - De la finalidad de la recogida de estos. - De los destinatarios de la información. - Del carácter facultativo u obligatorio de su respuesta. - De las consecuencias de la obtención de los datos o, de su negativa a suministrarlos. - De la posibilidad de ejercitar los derechos establecidos en la LOPD. - De la identidad y dirección del responsable del tratamiento.

- Cuando se utilicen cuestionarios u otros impresos para la recogida, figurarán en los mismos, en forma claramente legible, las advertencias a que se refiere el apartado anterior.

- Cuando los datos no se recaben directamente del interesado, éste deberá ser informado dentro de los tres meses siguientes al momento del registro de los datos.


Consentimiento del Afectado

- El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que una ley lo autorice.

- La solicitud de consentimiento deberá ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para los que se recaba, así como de las restantes condiciones que concurran en el tratamiento o serie de tratamientos.

- Corresponderá al responsable del tratamiento la prueba de la existencia del consentimiento del afectado por cualquier medio de prueba admisible en derecho.

- Podrá procederse al tratamiento de los mayores de 14 años con su consentimiento. En el caso de los menores de 14 años se requerirá el consentimiento de los padres o tutores.



1. La dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad orientarán toda la actividad encaminada a obtener, utilizar, archivar, custodiar y transmitir la información y la documentación clínica.

2. Toda actuación en el ámbito de la sanidad requiere, con carácter general, el previo consentimiento de los pacientes o usuarios.

3. El paciente o usuario tiene derecho a decidir libremente, después de recibir la información adecuada, entre las opciones clínicas disponibles.

4. Todo paciente o usuario tiene derecho a negarse al tratamiento, excepto en los casos determinados en la Ley.

….. 7. La persona que elabore o tenga acceso a la información y la documentación clínica

está obligada a guardar la reserva debida.


No será preciso el consentimiento del afectado.

- Cuando estén autorizados por una norma con rango de ley, o una norma de derecho comunitario directamente aplicable.

- Cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.

- Cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento.

- Cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado.

- Cuando los datos figuren en fuentes accesibles al público.



El consentimiento podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

- El responsable cesará en el tratamiento de los datos en el plazo máximo de diez días a contar desde el de la recepción de la revocación del consentimiento, sin perjuicio de su obligación de bloquear los datos.

- Cuando el interesado hubiera solicitado del responsable del tratamiento la confirmación del cese en el tratamiento de sus datos, éste deberá responder expresamente a la solicitud.

- Si los datos hubieran sido cedidos previamente, el responsable del tratamiento, una vez revocado el consentimiento, deberá comunicarlo a los cesionarios, en el plazo de diez días, para que éstos, cesen en el tratamiento de los datos en caso de que aún lo mantuvieran.



Datos especialmente protegidos

- Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión o creencias.

- Los datos que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general así lo disponga una ley o el afectado consienta expresamente.

- Podrán ser objeto de tratamiento los datos especialmente protegidos cuando resulte necesario para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.

- Las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos.


Seguridad de los datos

- El responsable del fichero y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

- No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria.

- Reglamentariamente se establecerán los requisitos y condiciones que deben reunir los ficheros y personas que intervengan en el tratamiento de los datos.


Deber de secreto

- El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones el titular del fichero o, en su caso, con el responsable del mismo.


Comunicaciones de datos.

- Los datos de carácter personal sólo podrán ser cedidos a un tercero, para el cumplimiento de fines

directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento de interesado.

Excepciones:

- Cuando lo autorice una norma con rango de ley o norma del derecho comunitario.

- Los datos figuren en fuentes accesibles al público.

- La cesión responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control comporte la comunicación de datos.

- Cuando tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas.

- La cesión se realice entre Administraciones Públicas: - Con fines históricos, estadísticos o científicos. - sean datos recogidos con destino a otra Administración. - se realice para el ejercicio de competencias idénticas.


Acceso a datos por cuenta de terceros

- No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

- La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna forma que permita acreditar su celebración y contenido, estableciéndose expresamente:

- Que se tratarán los datos únicamente conforme a las instrucciones del responsable del tratamiento.

- Que no se utilizarán con fin distinto del que figure en el contrato.

- Que no se comunicarán a terceros.

- Que se aplicarán las medidas de seguridad establecidas reglamentariamente.


Oposición al tratamiento.

- Es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos:

- Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de un motivo legítimo y fundado, siempre que una ley no disponga lo contrario

- Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial.

- Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de sus datos.

- El responsable del tratamiento deberá resolver la solicitud den el plazo de diez días.

- En el caso de que no disponga de datos del interesado deberá igualmente comunicárselo.


Acceso

- Es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos.

- El interesado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento.

- El derecho de acceso es independiente del que otorgan a los afectados las leyes especiales y en particular la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.


Acceso

- El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes.

- En el caso de que no disponga de datos del interesado deberá igualmente comunicárselo.

- Si la solicitud fuera estimada y el responsable no acompañase a su comunicación los datos, el acceso se hará efectivo durante los diez días siguientes a la comunicación.

- La información que se proporcione se dará en forma legible e inteligible, sin utilizar claves o códigos.

- La información a facilitar comprenderá todos los datos de base del afectado, así como los resultantes de cualquier elaboración o proceso informático.


Acceso

- Podrá denegarse el acceso cuando el derecho ya se haya ejercitado en los doce meses anteriores a la solicitud, salvo que se acredite un interés legítimo al efecto.

- Podrá denegarse el acceso en los supuestos en que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiere el acceso.

- En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela efectiva de la Agencia de Protección de Datos (Estatal o Autonómica).


Rectificación y cancelación

- El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos.

- La solicitud deberá indicar a que datos se refiere, la corrección que deba realizarse (en su caso) y deberá ir acompañada de la documentación justificativa de lo solicitado.

- El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten ser inadecuados o excesivos, sin perjuicio del deber de bloqueo.

- El responsable del fichero deberá resolver la solicitud en el plazo máximo de diez días.

- En el caso de que no disponga de datos de carácter personal del afectado, deberá igualmente comunicárselo en el mismo plazo.


Rectificación y cancelación

- Si los datos rectificados o cancelados hubieran sido cedidos previamente, el responsable del fichero deberá comunicar la rectificación o cancelación efectuada al cesionario, en idéntico plazo, para que éste, también en el plazo de diez días, proceda, asimismo, a rectificar o cancelar los datos.

- La cancelación no procederá cuando los datos deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales.

- Podrá denegarse la rectificación o cancelación en los supuestos en que así lo prevea una Ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiere el acceso.

- En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela efectiva de la Agencia de Protección de Datos (estatal o Autonómica).


Ángel Igualada Menor

Subdirector General Adjunto de Registro de Ficheros y Sistemas de Información

------------------------- Agencia de Protección de Datos de la Comunidad de Madrid

[email protected] [email protected]

www.apdcm.org

www.datospersonales.org

mailto:[email protected]

mailto:[email protected]

http://www.apdcm.org/

http://www.apdcm.org/

http://www.datospersonales.org/

Taller 5 lopd investigacion_20121024

Health & Medicine

Transcript of Taller 5 lopd investigacion_20121024