Responsive menu mobile icon

Protección de datos. Derechos

¿En qué consiste el derecho de acceso y como aplica al SAS? 

Este derecho permite al titular de los datos acceder a la siguiente información:

  • Una copia de los datos personales objeto de tratamiento.
  • Los fines del tratamiento, categorías de datos personales que se traten y de las posibles comunicaciones de datos y sus destinatarios.
  • De ser posible, el plazo de conservación de los datos. De no serlo, los criterios para determinar este plazo.
  • Del derecho a solicitar la rectificación o supresión de los datos, la limitación al tratamiento, u oponerse al mismo.
  • Del derecho a presentar una reclamación ante la Autoridad de Control.
  • Si se produce una transferencia internacional de datos, recibir información de las garantías adecuadas.
  • De la existencia de decisiones automatizadas (incluyendo perfiles), la lógica aplicada y consecuencias de este tratamiento.

Es posible ejercer este derecho como paciente, como profesional, como candidato, como alumno,…; según el caso, aplicará pe. a la Historia Clínica, al Expediente Laboral, al Proceso de Selección o a la Actividad Docente. En todo caso, el SAS tiene derecho a verificar la identidad del solicitante antes de proporcionar los datos, así como a cobrar una tarifa cuando la solicitud de datos sea "infundada" o repetitiva.

Si los datos se proporcionaron en el contexto de una investigación científica, puede haber exenciones a este derecho.

¿Puedo conocer los accesos que se han producido a mi historia clínica? 

Se trata de un procedimiento no reconocido como derecho por la normativa de protección de datos, que en beneficio de la transparencia y la seguridad, puede satisfacerse considerando las limitaciones al respecto. En este sentido, si la información proporcionada incluyese datos personales de los usuarios (principalmente profesionales de la organización sanitaria, pero también otros destinatarios y/o terceros autorizados) que han accedido a la historia clínica del interesado, éstos previamente deberían haber otorgado su consentimiento para ello; en caso contrario, la información proporcionada debería estar anonimizada.

¿En qué consiste y como aplica al SAS el derecho de rectificación? 

Este derecho permite rectificar los datos inexactos y completar los datos personales incompletos, inclusive mediante una declaración adicional.

Aplica a un registro médico (episodio, anotación, informe,...) inexacto o incompleto que forme parte de la Historia Clínica.

No resulta posible en el ámbito de la videovigilancia con fines de seguridad por la naturaleza de los datos (imágenes tomadas de la realidad que reflejan un hecho objetivo).

Basado en: AEPD. Guía para el Ciudadano y Guía sobre el uso de videocámaras para seguridad y otras finalidades.

¿En qué consiste y como aplica al SAS el derecho de supresión (derecho al olvido)? 

Este derecho permite la supresión de los datos personales sin dilación indebida cuando concurra alguno de los supuestos contemplados. Por ejemplo, tratamiento ilícito de datos, o cuando haya desaparecido la finalidad que motivó el tratamiento o recogida.

No obstante, se regulan una serie de excepciones en las que no procederá este derecho. Por ejemplo, cuando deba prevalecer el derecho a la libertad de expresión e información.

En relación con el derecho al olvido, este es una manifestación de los derechos de supresión u oposición en el entorno online.

Tiene sentido en tratamientos de datos donde se ha retirado el consentimiento, ha finalizado el plazo de conservación o se incumple el principio de minimización de datos.

Este derecho no se aplica cuando los datos se tratan con fines sanitarios o de asistencia social (RGPD, art. 9.2.h), por lo que no se aplica a los historiales médicos (a menos que un tribunal ordene su supresión).

También hay excepciones a este derecho para Investigación.

Basado en: AEPD. Guía para el Ciudadano.

¿En qué consiste y como aplica al SAS el derecho de oposición? 

Este derecho supone negarse a que el responsable realice un tratamiento de los datos personales en los siguientes supuestos:

  • Cuando sean objeto de tratamiento basado en una misión de interés público o en el interés legítimo, incluido la elaboración de perfiles. En este caso, el responsable dejará de tratar los datos salvo que acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.
  • Cuando el tratamiento tenga como finalidad la mercadotecnia directa, incluida también la elaboración de perfiles anteriormente citada. En este caso, ejercitado este derecho para esta finalidad, los datos personales dejarán de ser tratados para dichos fines.

No aplica en relación a la prestación de asistencia sanitaria donde el control de acceso a la Historia Clínica o la información que debe formar parte de ella está regulado y es una potestad pública del SAS.

Es posible oponerse al tratamiento de los datos de salud en investigación, salvo que sea necesario por razones de interés público (RGPD, art. 21.6).

Basado en: AEPD. Guía para el Ciudadano.

¿Cuáles son las exenciones a los derechos de los pacientes en Investigación? 

El Reglamento permite a la Unión Europea o a los Estados miembros adoptar excepciones a los derechos de los interesados en materia de investigación científica (artículo 89, apartado 2). Los derechos afectados por estas exenciones son:

  • El derecho a acceder a los propios datos, el derecho a la rectificación y el derecho a restringir u oponerse al procesamiento de los datos.
  • El derecho del paciente a recibir información sobre el uso que se hace de sus datos (artículo 14 párrafo 4b), cuando la información requiere un "esfuerzo desproporcionado".
  • El derecho supresión / derecho al olvido (Artículo 17 párrafo 3b).

El Derecho de la Unión o de los Estados miembros puede otorgar una excepción en los casos en que la utilización de estos derechos por parte de pacientes que participan en investigaciones imposibilitaría o perjudicaría el logro del objetivo de la investigación. Proporcionar a los pacientes cierta información puede, por ejemplo, ser un problema en un ensayo a ciegas, o puede tener un costo importante cuando se trata de una gran cantidad de participantes.

La restricción u objeción al procesamiento de los datos personales también puede introducir un sesgo en la muestra de datos utilizada.

Basado en: European Patients Forum. "The new EU RGPD: what does it mean for patiens?"

¿Cómo repercute el nuevo derecho a la portabilidad de datos en el SAS respecto de la historia clínica? 

Este derecho a la portabilidad solo se aplica si los datos están siendo tratados como consecuencia de un consentimiento del titular o debido a la existencia de un contrato; es decir el tratamiento de los datos deriva de una acción voluntaria del interesado.

Esto significa que todos los datos recogidos de personas con la condición de aseguradas o beneficiarias del Sistema Nacional de Salud como consecuencia de la prestación de asistencia sanitaria y por tanto sin petición de consentimiento, no figuran como sujetos a este derecho. El tratamiento de datos con esta finalidad por la Administración Pública Sanitaria se fundamenta en el cumplimiento de una obligación legal o misión de interés público o en el ejercicio de poderes públicos.

Basado en: AEPD. Guía para el Ciudadano.

¿Qué condiciones deben darse para llevar a cabo el derecho a la limitación del tratamiento? 

El RGPD recoge expresamente el Derecho a la limitación del tratamiento (Artículo 18), siempre que no concurra alguna causa legalmente prevista. Ese derecho no es absoluto, y se podrá llevar a cabo cuando se dé alguna de las siguientes condiciones:

  1. Se podrá limitar el tratamiento de los datos del interesado cuando este haya impugnado su exactitud, durante el plazo que el responsable los verifique.
  2. Si el tratamiento es ilícito, el interesado podrá pedir la limitación del uso de los datos en vez de su supresión.
  3. Cuando el responsable ya no necesite hacer uso de esos datos, pero el interesado los necesite para interponer o defender reclamaciones.
  4. Cuando el interesado se haya opuesto al tratamiento de sus datos por motivos relacionados con su situación particular, mientras se verifica si los motivos han de tenerse en cuenta.

Como paciente es posible estar en desacuerdo con el tratamiento de los datos propios de salud (exactitud, legitimación, conservación,…). Solicitar este derecho dará lugar a que los registros médicos se bloqueen o archiven a fin de evitar su procesamiento mientras se resuelve la discrepancia. Debe tenerse en consideración que la atención médica continua no podrá llevarse a cabo mientras la historia clínica está bloqueada.

En el marco de la videovigilancia con fines de seguridad, este derecho podrá invocarse cuando se solicite al responsable que se conserven las imágenes en los casos b) y c) expuestos.

Basado en: AEPD. Guía para el Ciudadano y Guía sobre el uso de videocámaras para seguridad y otras finalidades.

¿Qué es el derecho de indemnización y responsabilidad? [volver] 

Aplica en el supuesto de sufrir daños y perjuicios materiales o inmateriales como consecuencia de una infracción del Reglamento General de Protección de Datos. Este derecho se ejerce ante el responsable y/o encargado del tratamiento.

Queda regulado en el artículo 82 del RGPD.

¿En qué circunstancias se lleva a cabo la notificación de violaciones de la seguridad al interesado? 

Se define «violación de la seguridad de los datos personales» como toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

Se trata de una evolución del procedimiento para la notificación, gestión y respuesta ante las incidencias de seguridad que en determinados casos obliga a realizar una notificación a la autoridad de control y a los interesados.

Como interesado, usted será notificado, usando un lenguaje claro y sencillo, cuando sea probable que la violación de la seguridad de sus datos personales entrañe un alto riesgo para sus derechos y libertades como persona física. En tal caso, cuando la comunicación directa requiera esfuerzos desproporcionados, será posible hacer uso de medios de comunicación destinados al público general (pe. la web del SAS).

Fecha de actualización
03/05/2019