Es muy común tener dudas e interrogantes acerca de la protección de datos en centros sanitarios. Todos los pacientes tienen derecho a la constancia por escrito o en algún soporte de todos los datos manejados durante sus intervenciones o procesos asistenciales en los centros de salud.
La protección de datos es un derecho de todos los ciudadanos y está contemplado en el artículo 18.4 de la Constitución Española. Asimismo, está regulado por el Reglamento Europeo de Protección de Datos (RGPD) y la LOPDGDD, y es una normativa que afecta a todos los trabajadores del sector sanitario.
Si te surgen preguntas constantemente como: ¿cuánto tiempo conservan mis datos cómo paciente? ¿Es siempre necesaria una autorización para recabar este tipo de datos? Aquí aclaramos tus dudas y te detallamos toda la información en los siguientes apartados.

Pasos para un correcto manejo de protección de datos en centros sanitarios
En el caso de la protección de datos en centros de salud, la normativa se complementa con la Ley de Autonomía del Paciente 41/2002, que se encarga de regular las obligaciones y derechos en materia de documentación e información sanitaria con la que se controlan los historiales médicos. En este sentido, los centros sanitarios deben apoyarse en una serie de pasos para el tratamiento de datos personales del paciente y así lograr efectividad en el proceso:
Historia clínica
Se trata de la recopilación de documentación con datos, informaciones y valoraciones sobre la evolución clínica y situación de un paciente durante todas sus visitas al centro médico.
Datos de salud
Son los datos personales del paciente respecto a su estado de salud mental y física. También se incluyen los servicios de salud recibidos por el paciente que muestren información acerca de su salud.
Estos datos incluyen información relativa a:
- Existencia de alguna discapacidad.
- Enfermedad.
- Historial medico del paciente.
- Riesgo de padecer enfermedades.
- Estado fisiológico del interesado o tratamientos clínicos.
La recopilación de todos estos datos implica una alta confidencialidad por parte del centro médico hacia el paciente. Por consiguiente, el RGPD da a este tipo de información una definición de datos especialmente protegidos, por lo que se deben seguir una serie de condiciones complementarias para el tratamiento de los datos conforme a la normativa.
Entre las características principales que deben cumplir los responsables del tratamiento de datos de pacientes para el correcto cumplimiento de la normativa podemos mencionar:
Calidad de los datos
En primer lugar, se recopilarán los datos del paciente siempre y cuando sean fidedignos, veraces y adecuados. El tratamiento de los datos sanitarios tienen como finalidad garantizar la asistencia sanitaria adecuada al paciente.
La recopilación de datos para la asistencia sanitaria debe contener, como mínimo, los siguientes datos:
- Autorización de ingreso.
- Hoja clínica.
- Exploración física.
- Informe de urgencias.
- Hoja de interconsulta.
- Evolución.
- Órdenes médicas.
- Informe de exploración complementaria.
- Informe de anestesia.
- Consentimiento informado.
- Dosier de anatomía.
- Informe de quirófano.
- Aplicación terapéutica.
- Evolución y planificación de cuidados.

Consentimiento
Las bases legales para el tratamiento de datos en centros sanitarios las encontramos en el artículo 9 del RGPD y se trata del consentimiento. Por lo tanto, la nueva normativa europea exige que el consentimiento sea presentado por escrito y explícito.
Confidencialidad
Los datos del paciente deben ser respetados y reservados bajo el secreto profesional sanitario, incluso cuando la relación médico-paciente finalice. En este sentido, es obligatorio para los centros asistenciales garantizar la confidencialidad en el tratamiento de datos y su procedimiento legal.
Información
Los pacientes deben tener conocimiento en todo momento de:
- La finalidad de los ficheros de datos.
- La identidad del responsable del tratamiento de los ficheros.
- Los destinatarios de la información.
- La existencia de los ficheros.
- El posible ejercicio de sus derechos.
Además, es obligatoria la existencia de una hoja informativa al paciente para solicitar su autorización en el tratamiento de datos. En la misma se recopilan datos como:
- Objetivo de la petición.
- Nombre del centro asistencial y profesional médico por el que ha sido atendido el paciente.
- Nombre del paciente.’
- Documento de identidad y autorización firmada por el paciente en la que expresa su consentimiento para el tratamiento de datos, en las condiciones que describe el informe médico.
Medidas organizativas para la protección de datos en centros sanitarios
Asimismo, se aplican medidas en función del riesgo que pueda surgir en el tratamiento de datos. En este caso, el tratamiento de datos sanitarios supone un riesgo elevado, por lo que se han diseñado medidas de seguridad y organización entre las que podemos destacar:
- Registro de las actividades del tratamiento de datos.
- Evaluación de impacto.
- Comunicación de los datos.
- Delegado de protección de datos.
- Derechos ARCO (derecho de acceso, rectificación, cancelación y oposición) de la historia clínica
- Excepción