Respecto de los criterios sobre la responsabilidad del tratamiento de datos de pacientes en los casos en los que el profesional sanitario es el que toma todas las decisiones sobre la atención a los mismos y al tratamiento de sus datos, aunque preste la asistencia sanitaria en un hospital, nos encontramos con tres supuestos:
- El primer supuesto se refiere a un profesional sanitario que toma todas las decisiones sobre la atención sanitaria de sus pacientes, incluyendo el tratamiento de sus datos personales, prestando sus servicios en un hospital o en una clínica, mediante el correspondiente arrendamiento de una consulta. En este caso, donde la relación con el hospital o la clínica se limita al arrendamiento de un local, de un lugar, donde se presta la asistencia sanitaria, el profesional sanitario es el responsable del tratamiento de los datos personales de sus pacientes ya que es quien decide sobre los fines y medios del tratamiento. Así, en relación sobre la historia clínica de la que tiene la guarda y conservación de la misma, decide cómo suministra la información relativa a la protección de datos a sus pacientes, correspondiéndole la elaboración del RAT, la realización de la correspondiente EIPD y la implantación de las medidas de seguridad adecuadas, etc. O sea, se le atribuyen como responsable del tratamiento todas las obligaciones derivadas del RGPD en relación con el tratamiento efectuado.
- Existe un segundo supuesto donde un profesional sanitario, si bien toma todas las decisiones sobre la atención sanitaria de los pacientes, se encuentra contratado para ello por el hospital o la clínica. En este caso, donde los pacientes son del centro sanitario, el profesional sanitario es un empleado de la clínica u hospital. Por tanto, este último es, como responsable del tratamiento, quien tiene encomendadas todas las obligaciones en materia de protección de datos. Por ello, será el encargado de suministrar instrucciones a su empleado sobre cómo debe actuar en relación con la historia clínica, la cumplimentación de la misma, la determinación de las medidas de seguridad a seguir o qué hacer si solicitan los pacientes el ejercicio de uno de los derechos previstos en los artículos 15 a 22 del RGPD, entre otras cuestiones.
Un ejemplo de ello lo encontramos en el PS/00391/2020 que finalmente se archivó.
Se reclamó por el profesional sanitario contra el centro de salud donde había prestado servicios, reclamándoles copia de la historia clínica de los pacientes que había atendido durante la vigencia de su contrato. Dado que el contrato no era laboral, sino mercantil, consideraba que “la titularidad de los datos personales de las historias clínicas de los pacientes que he atendido en dicho centro hospitalario que incluye historias clínicas, no pueden mantenerse en el sistema informático del reclamado y deben ser custodiados y almacenados por el dado que el reclamado me considera empresario autónomo”.
Sin embargo, tras una práctica de prueba muy minuciosa durante la instrucción del procedimiento, se constató que el reclamante no cumplía requisito alguno para poder ser considerado responsable del tratamiento, al no decidir ni sobre los fines ni sobre los medios del tratamiento. https://www.aepd.es/es/documento/ps-00391-2020.pdf
En relación con el ejercicio de derechos, estos deben ser atendidos por el responsable del tratamiento. En el primero de los supuestos referenciados deberá atenderlos el profesional sanitario, mientras que en el segundo le corresponderá al centro sanitario.
- Por último, en raras ocasiones nos encontramos con un tercer supuesto donde la relación jurídica entre el profesional sanitario y la clínica u hospital se desdibuja. En tales ocasiones acontece que el profesional sanitario atiende a sus propios pacientes en una consulta de la clínica u hospital, que compagina con la atención a los pacientes pertenecientes al centro sanitario, En estos casos habrá que determinar respecto de qué pacientes el personal sanitario o el centro de salud respectivamente son responsables del tratamiento o si comparten la determinación de los fines /o los medios del tratamiento, en cuyo caso nos encontraríamos ante un supuesto de corresponsabilidad.
Para dilucidar en todos estos supuestos quién es el responsable en cuanto al tratamiento de los datos personales, se ha de atender al caso concreto y al concepto funcional de responsable del tratamiento, tal y como deviene del Informe 0064/2020 del Gabinete Jurídico de la AEPD que, analizando las Directrices 07/2020 del Comité Europeo de Protección de Datos sobre los conceptos de responsable y encargado del tratamiento, afirma que el RGPD “reitera que se trata de conceptos funcionales, que tienen por objeto asignar responsabilidades de acuerdo con los roles reales de las partes (apartado 12), lo que implica que en la mayoría de los supuestos deba atenderse a las circunstancias del caso concreto (case by case) atendiendo a sus actividades reales en lugar de la designación formal de un actor como “responsable” o “encargado” (por ejemplo, en un contrato), así como de conceptos autónomos, cuya interpretación debe realizarse al amparo de la normativa europea sobre protección de datos personales (apartado 13), y teniendo en cuenta (apartado 24) que la necesidad de una evaluación fáctica también significa que el papel de un responsable del tratamiento no se deriva de la naturaleza de una entidad que está procesando datos sino de sus actividades concretas en un contexto específico…”.
No obstante, debemos matizar que en el ámbito público el responsable del tratamiento será siempre la autoridad sanitaria, pues es quien tiene encomendadas por la normativa las competencias sanitarias, lo que le exige determinar los fines y medios del tratamiento.
Y todo ello sin perjuicio de las obligaciones de secreto profesional que en todo caso tienen que mantener los profesionales sanitarios respecto de los datos de salud que conozcan en el ejercicio de su profesión.
En las consultas formuladas por los DPDs del ámbito sanitario en la reunión celebrada con ellos en 2019, se planteó una duda sobre la posición jurídica, como responsable o encargado del tratamiento de un laboratorio de pruebas diagnósticas.
El criterio de la Agencia fue que el laboratorio de análisis clínico que presta un servicio de asistencia sanitaria a través de pruebas funcionales o de laboratorio que ayudan al diagnóstico médico y prevención de la enfermedad, ha de ser considerado un centro sanitario, definido por el artículo 3 de la LAP como, “el conjunto organizado de profesionales, instalaciones y medios técnicos que realiza actividades y presta servicios para cuidar la salud de los pacientes y usuarios”.
El artículo 14.2 de la LAP dispone que “Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información”, añadiendo el artículo 17.1 de la propia Ley que “Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial”.
Junto con el posible tratamiento que pudiera derivarse de la relación jurídica existente entre el laboratorio consultante y la entidad que solicita el servicio (ya se trate de otro centro sanitario o de una aseguradora), la LAP impone a aquél la obligación del tratamiento de los datos que hayan de incorporarse a la historia clínica del paciente, excediendo obviamente dicho tratamiento de “las instrucciones del responsable del tratamiento”, lo que determina la imposible aplicación del artículo 28 del RGPD y la imposibilidad de considerar que el laboratorio como centro sanitario, sea un mero encargado del tratamiento de la entidad por cuyo encargo realiza los análisis clínicos.
Por este motivo, debe considerarse que el laboratorio consultante será responsable del tratamiento de datos personales de los pacientes, derivado de los análisis clínicos que haya efectuado.