NOVEDAD LOPD: ¿Cómo puedo obtener legítimamente los datos personales de los pacientes?

20 Mar NOVEDAD LOPD: ¿Cómo puedo obtener legítimamente los datos personales de los pacientes?

FacebookTwitterGoogle+LinkedIn

El Reglamento  General de Protección de Datos (en adelante, RGPD), publicado en mayo de 2016 que será de aplicación a partir del 25 de mayo de 2018, junto a la nueva Ley de Protección de Datos modifican el ámbito de tratamiento de los datos personales y exigen una serie de obligaciones que deben ser cumplidas por el Responsable o encargado de tratamiento de la clínica, hospital o consulta médica.

Con este artículo pretendemos orientar a los profesionales sanitarios acerca de cómo dar cumplimiento a la obligación de informar a los pacientes del tratamiento de sus datos personales.

Vamos a hacerlo sencillo, ¿Qué debemos preguntarnos?

¿LOS DATOS SE OBTIENEN DEL PACIENTE DIRECTAMENTE O BIEN, POR MEDIO DE FUENTES DE ACCESO PUBLICO O CESIÓN LEGITIMA?

A) Si la respuesta es el PROPIO PACIENTE, para determinar que el tratamiento es lícito los datos se deben haber recabado a través de una de las 6 BASES DE LICITUD que establece la ley:

1.Cuando tenemos una declaración afirmativa del propio paciente, es decir un CONSENTIMIENTO INEQUIVOCO.

En base a la nueva normativa queda prohibido tratar los datos personales del paciente que no responda o que otorgue su consentimiento de manera tácita, y más cuando los datos a tratar sean de carácter sensible como son los datos médicos; entonces será siempre obligatorio el consentimiento explícito del pacientes.

2.Relación contractual o precontractual con el paciente que permite el tratamiento.

3.Que los datos se hayan obtenido a través de una obligación derivada del derecho de la UE o del ordenamiento jurídico interno.

4.Cuando la razón del tratamiento de los datos se ampara en proteger los intereses vitales del paciente o de otras personas físicas.

5.Cuando se traten los datos personales del paciente por razón de interés público.

6.Ante la existencia de un interés legítimo, siempre que no se vulnere un derecho o libertad fundamental del interesado.

 

B) Si la respuesta es que los datos se extraen de FUENTES DE ACCESO PÚBLICO O MEDIANTE CESIÓN LEGÍTIMA

En la anterior LOPD se enumeraba taxativamente las fuentes accesibles al público (censo, repertorios telefónicos, Diarios Oficiales…) sin incluir Internet. Pero el panorama en comunicación ha cambiado y ahora la AEPD acepta como datos de acceso público aquellos datos personales que el interesado ha hecho manifiestamente públicos en sus redes sociales, aplicaciones webs, revistas online. Eso sí, es requisito imprescindible cumplir con el deber de comunicar previamente al paciente de la obtención de los datos y cuál será su finalidad.

Por lo tanto, siguiendo esta línea: Si los datos NO son sensibles y no han sido recabados a través del paciente, si no por información de acceso público (entendida en sentido amplío: guías telefónicas, páginas webs, información pública en perfiles, revistas…) o por medio de cesión legítima deberemos cumplir con la obligación de informar, ya que el paciente debe tener la posibilidad de oponerse a la recepción del mailing antes de que se le envíe directamente. Es decir, en la primera comunicación que realicemos al paciente le deberemos informar de la procedencia de los datos, de la finalidad para la que serán utilizados y como en todos los casos, de los derechos de acceso, rectificación, cancelación y oposición.

 

Desde Vergés Abogados recomendamos revisar y aplicar las adaptaciones cuanto antes, para cualquier duda sobre la legitimidad en el tratamiento de datos personales estamos a su interesa disposición.