Consentimiento, sanidad y protección de datos. Un ecosistema complejo.
El consentimiento plantea diversas dificultades como base de legitimación en el tratamiento de datos personales, los requisitos que plantea suponen un esfuerzo y atención de las entidades al cómo se obtiene y se gestiona. En el ámbito sanitario, al estar tratando datos tan sensibles, requiere un especial esfuerzo para las entidades sanitarias cumplir con la normativa.
Con carácter general en el ámbito sanitario, no es necesario el consentimiento del paciente para poder recoger y tratar los datos de salud para prestar asistencia sanitaria.
- En la salud pública el tratamiento es necesario para el cumplimiento de una obligación legal y
- En las entidades privadas, el tratamiento es necesario para la ejecución contractual o ejecución de medidas precontractuales a petición de los interesados, así como habrá casos en los que el tratamiento sea necesario para proteger intereses vitales de los interesados
En líneas generales, no será necesario el consentimiento del paciente. No obstante, sí que habrá ciertos supuestos en los que, por la aplicación de la normativa sectorial sanitaria, deba solicitarse un consentimiento informado
Regulado por el Artículo 8 Ley de Autonomía Básica del Paciente
¿Afecta la normativa de protección de datos entonces al tratamiento de datos en el proceso asistencial?
Por supuesto, independientemente de que, como anteriormente hemos dicho, el tratamiento de datos no se legitime en el consentimiento del interesado, debe informarse a través de un documento específico sobre los tratamientos de datos que se van a realizar con motivo de la prestación de asistencia sanitaria
Regulado principalmente mediante los artículos 13 y 14 del RGPD
¿La normativa sanitaria afecta a cómo se tiene que prestar el consentimiento clínico para que se considere válido?
La normativa de protección de datos es transversal, por lo que el consentimiento informado clínico debe adaptarse a los requisitos impuestos por la normativa para poder considerarse como un consentimiento debidamente informado.
Entonces,
¿qué requisitos deben tenerse en cuenta a la hora de realizar un consentimiento informado?
- El consentimiento debe darse mediante una declaración o una clara acción afirmativa que manifieste la voluntad libre del paciente o usuario.
El silencio o la inacción por parte del paciente no supone que se esté dando el consentimiento. La manifestación de la voluntad inequívoca podrá recabarse mediante una declaración escrita o verbal, inclusive por medios electrónicos. El interesado debe tener libertad real de elección. Esto implica que, además, el interesado debe tener la capacidad real de retirar el consentimiento que está otorgando
- Debe atenderse a la capacidad cognitiva del usuario al que va dirigido
No podemos dirigirnos de igual forma a todos los usuarios, debemos orientar la información de manera que los usuarios que asisten a nuestro centro comprendan la información que se les va a facilitar.
Si un usuario tiene las capacidades modificadas judicialmente, pero dispone de capacidad jurídica para decidir, o es un menor de edad cuya edad está entre los 14 y los 17 años, se deberá adaptar la información proporcionada para ajustarla a las capacidades cognitivas de las personas a las que van dirigidas. Debe proporcionarse en un lenguaje claro y sencillo que el paciente o usuario comprenda.
La Ley 41/2002, de 14 de diciembre, en el artículo 9.3. establece lo siguiente “4. Cuando se trate de menores emancipados o mayores de 16 años que no se encuentren en los supuestos b) y c) del apartado anterior, no cabe prestar el consentimiento por representación.
No obstante lo dispuesto en el párrafo anterior, cuando se trate de una actuación de grave riesgo para la vida o salud del menor, según el criterio del facultativo, el consentimiento lo prestará el representante legal del menor, una vez oída y tenida en cuenta la opinión del mismo.”
- El consentimiento deberá darse para cada uno de los fines, atendiendo a la granularidad del tratamiento que queremos realizar, de manera que la manifestación de la voluntad sea específica
Supongamos que un paciente va a someterse a una operación. Tras la revisión del historial clínico, un facultativo, que también es profesor de facultad, quiere solicitar al paciente grabar la operación con la intención de poder usar las grabaciones para mostrarles el caso a sus alumnos. Otro facultativo desearía utilizar esas grabaciones para un proyecto de investigación, debido a las particularidades concretas del paciente.
Pues bien, deberá solicitarse el consentimiento mediante una autorización específica para cada uno de los tratamientos:
- para realizar el proceso quirúrgico,
- para la toma de imágenes,
- para que puedan usarse con fines formativos y,
- para que puedan usarse con fines de investigación científica.
- Debemos poder probar que el interesado ha dado el consentimiento
De acuerdo con la normativa de protección de datos, el responsable debe poder probar que el interesado ha consentido el tratamiento de datos, bien cuando sea una declaración escrita a través de un documento firmado, o bien, en caso de que se trate de un consentimiento que se proporciona a través de declaración verbal, mediante una grabación que pruebe que el usuario o paciente ha autorizado. Debe tenerse en cuenta que el Reglamento General de Protección de Datos indica que corresponde al responsable del tratamiento para demostrar que se obtuvo el consentimiento del interesado
- El consentimiento debe ser informado
Un paciente acude a una clínica para someterse a una prueba diagnóstica. Antes de hacerla, es necesario que firme un consentimiento informado. La Clínica ha implementado un sistema de firma biométrica digitalizada en la que se integra un sistema de firma manuscrita digitalizada, por lo que inmediatamente después de que le comentasen que necesitan que firme un consentimiento, le acercan a una PDA para proceder a la firma.
¿Cree realmente que ese consentimiento es informado? En este caso, rotundamente no. Está bien que se implanten soluciones para garantizar que no se genere una ingente cantidad de papel -previa evaluación de los mismos para asegurarnos de que cumplen con implantación de medidas técnicas y organizativas-, el no proporcionar información, aunque sea verbal, implica que el paciente o usuario no sea consciente del alcance del tratamiento y, por tanto, éstos no pueden comprender qué están autorizando.
La información debe ser accesible. Esto quiere decir, volviendo sobre el supuesto anterior, que en caso de que al interesado le facilitemos un consentimiento informado a través de declaración escrita, lo más adecuado es proporcionar una copia del mismo. Si la información no fuese accesible, el control del usuario no es real y, por tanto, el consentimiento no se considerará válido.
A modo de conclusión, el consentimiento que se facilita a los usuarios de asistencia sanitaria debe disponer de una información adecuada que recoja los tratamientos de datos que se llevan a cabo, como los procesos asistenciales que se pretenden.
Cuando vayamos a fundamentar alguno de los tratamientos de datos personales en el consentimiento, deberá cumplir una serie de requisitos que aquí hemos expuesto. La invalidez del consentimiento por la falta de alguno de los requisitos conllevará la ilicitud del tratamiento y conllevará la comisión de infracciones a la entidad.
