Blog

Protección de Datos

Protección de datos clínicos

¿Debo aportar mi DNI para solicitar mi Historia Clínica?

29 junio, 2021
¿Debo aportar mi DNI para solicitar mi Historia Clínica?

Todos, en algún momento u otro, podemos encontrarnos en la tesitura de necesitar solicitar acceso a los datos de nuestra historia clínica a un médico o centro sanitario determinado.

Al solicitar esta información, realmente, lo que estamos ejercitando es nuestro derecho de acceso. Regulado en la normativa de protección de datos, en el artículo 15 del GDPR y en el artículo 13 de la LOPDGDD.

El derecho de acceso, puede ser ejercitado por el mismo titular de los datos, el interesado, o por un tercero debidamente autorizado por el interesado. Esto, en la práctica, suele suceder cuando un familiar o amigo recoge con nuestra autorización una prueba o analítica realizada.

Ahora bien: ¿por qué en muchos centros se requiere, en la recogida de unos resultados o pruebas, el DNI de la persona que hemos autorizado, o incluso, si nosotros lo solicitamos, se nos requiere cumplimentar un formulario adjuntando una fotocopia de nuestro DNI?

La normativa establece que los Responsables de nuestros datos, en este caso médicos o centros sanitarios, deben cumplir con una serie de principios sobre el tratamiento de nuestros datos.

En concreto, el artículo 5.1.f GDPR habla de la obligación de mantener la confidencialidad e integridad de los datos. Esto implica que el centro o médico debe asegurarse de que los datos estén seguros y accesibles solo al personal autorizado sujetos a un deber de confidencialidad. Como añadido, el artículo 9 GDPR establece que los datos de salud son de carácter especial, y merecen una protección extra debido a su alta sensibilidad.

Por otro lado, el Considerando 64 GDPR establece que “El responsable del tratamiento debe utilizar todas las medidas razonables para verificar la identidad de los interesados que soliciten acceso».

En el mismo sentido, el artículo 12.2 nos dice “[..] el responsable no se negará a actuar a petición del interesado [..], salvo que pueda demostrar que no está en condiciones de identificar al interesado.», el artículo continúa en su punto sexto “[..] cuando el responsable del tratamiento tenga dudas razonables en relación con la identidad de la persona física que cursa la solicitud [..] podrá solicitar que se facilite la información adicional necesaria para confirmar la identidad del interesado.”

Además, el “principio de responsabilidad proactiva” del artículo 5.2 GDPR, obliga a los Responsables de nuestros datos a demostrar que cumplen con todas las obligaciones de la normativa de protección de datos. Esto, en el día a día, genera la necesidad de tener documentación o evidencias de cómo se gestionan nuestros datos para demostrar de que se está cumpliendo con lo que marca la normativa. De lo contrario, quien incumpla estos preceptos podría ser sancionado con hasta 20 millones de euros en las infracciones muy graves, o hasta 10 millones de euros para las infracciones graves.

Por lo tanto, como hemos visto, el Responsable del tratamiento de nuestra historia clínica, está obligado a asegurarse y poder demostrar de que ésta sea accesible fuera de su propia organización, solo al propio paciente o a terceros debidamente autorizados por él. Es por ello que, para prevenir el fraude y que una persona que no hayamos autorizado acceda a nuestra información médica, y para demostrar esta diligencia debida en la protección de nuestros datos, se nos solicita nuestro DNI al pedir el acceso a nuestra historia clínica o a la de quien nos haya autorizado, junto con el documento de la autorización.

Cuestión diferente, en ámbitos como Internet, y con datos no sensibles, en los que el Responsable de los datos no dispone de tantos datos como los que aparecen en nuestro DNI al realizar el proceso de inscripción, sería desproporcionado obligarnos a facilitarlo, ya que se podría asegurar la identidad de la persona a través de los datos ya registrados, como por ejemplo si la solicitud se realiza desde la cuenta de correo registrada por el usuario.

En DATAX somos una empresa especializada en materia de protección de datos y seguridad de la información.

Ofrecemos un servicio de consultoría integral para adecuar a su organización a todos los requisitos del  Reglamento Europeo (RGPD 2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, de obligado cumplimiento desde el 25 de mayo 2018.

Más de 16 años de experiencia en la adecuación de todo tipo de organizaciones y sectores de actividad, incluido el sector público y privado nos avalan.

Más de 10.000 clientes confían ya en nuestros conocimientos y profesionalidad en materia de protección de datos.

Marco Isoni Diaz

DPO certificado y Abogado especialista en Protección de Datos y Seguridad de la Información.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *