El informe 0443/2010 de la AEPD aclara la forma y plazos de conservación de las historias clínicas de pacientes por parte de los centros sanitarios.
De dicho informe jurídico se extrae lo siguiente:
- Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.
- La Ley permite la conservación de la historia clínica en un soporte distinto del original, siempre que quede preservada su autenticidad, seguridad e integridad.
- Dicha historia debe conservarse durante un mínimo de cinco años desde el último episodio asistencial.
- Hay que tener en cuenta la finalidad de la historia clínica: es un instrumento destinado fundamentalmente a garantizar una asistencia adecuada al paciente, con lo cual, aparte del plazo mínimo, será preciso considerar la relevancia y trascendencia de cada episodio de asistencia sobre futuros episodios que pudieran tener lugar.
- Cuando sea necesario el consentimiento, corresponderá al centro sanitario la prueba de su obtención.
Gestión de los datos de trabajadores en la sanidad privada
El informe 00360/2013 de la AEPD resuelve la consulta sobre si los centros sanitarios privados con los que conciertan las Mutuas de Accidentes para prestar asistencia sanitaria a los trabajadores de las empresas que les hubieran elegido, ostentan la condición de responsables o de encargados del tratamiento de los datos de salud de dichos trabajadores.
En el documento legal se recoge que:
- La LGSS obliga a los empresarios a proteger a sus trabajadores a través de una entidad gestora o Mutua de Accidentes, para lo que es necesario la comunicación de los datos de dichos trabajadores a las citadas Mutuas, considerándose esta relación, una cesión de datos de carácter personal, pues la Mutua se convierte en Responsable.
- Para esta prestación de servicios, las Mutuas podrán utilizar recursos propios o contratarlos con empresas privadas.
- Si contratan la asistencia con clínicas sanitarias privadas ocasionando el acceso del contratista a datos personales de dichas Mutuas, éste se considerará encargado del tratamiento de los datos de la Mutua Responsable.
- Ahora bien, dado que los datos de salud de los trabajadores, serán recabados directamente de los afectados por el centro médico sin previa comunicación de la Mutua, estos centros tratarán legítimamente dichos datos en calidad de Responsables del tratamiento.