Supresión de los datos de historias clínicas

DPO
Preámbulo
15 de julio de 2018
Consentimiento
Comunicaciones comerciales y RGPD
26 de julio de 2018

Entre los derechos que otorga al interesado el RGPD se encuentra recogido el derecho de supresión de los datos personales (art. 17). En el ámbito sanitario privado, podemos encontrarnos ante una solicitud de supresión de la historia clínica de un paciente, debida a algún tipo de descontento con la atención recibida por el centro o sus profesionales, por ejemplo.

Para dar curso a este derecho debemos analizar la situación poniendo en relación la regulación del derecho de supresión antes citado con la Ley 41/2002, Reguladora de la Autonomía del Paciente y el Código Civil.

Si bien el artículo 17 RGPD establece de forma general el derecho a obtener la supresión de los datos personales del interesado, el apartado 3 exceptúa el mismo cuando exista una obligación legal que impida la supresión. En el supuesto que nos ocupa, el artículo 17.1 de la Ley Reguladora de Autonomía del Paciente impone a los centros sanitarios la obligación de conservar la historia clínica de los pacientes tratados en ellos por un plazo mínimo de 5 años contados desde la fecha del alta de cada proceso asistencial.

Pero no debemos quedarnos únicamente con este plazo mínimo. El paciente puede exigir responsabilidad civil derivada de una prestación médica en el plazo marcado por los artículos 1961 y siguientes del Código Civil y, de acuerdo con la nueva redacción dada por la Ley 42/2015 de reforma de la Ley de Enjuiciamiento Civil, el nuevo plazo es coincidente con el marcado por de la Ley 41/2002. Sin embargo, el régimen transitorio de esta disposición podría situarnos ante plazos de prescripción de 15 años, prorrogables por otros 15 si el daño se conoce justo antes de que venza éste, más allá de este nuevo plazo general.

Consecuentemente, el ejercicio de un derecho de supresión sobre el historial clínico de un paciente no puede hacerse efectivo con la eliminación de los datos de forma inmediata, sino una vez transcurrido un plazo mínimo de 5 años. Lo que sí debemos hacer es aplicar inmediatamente un bloqueo sobre los datos del paciente, que imposibilite su tratamiento en caso de estar informatizados o, en el supuesto de estar almacenados en soporte papel, debemos proceder a su almacenamiento en lugar diferenciado, a los solos efectos de su custodia durante el plazo de prescripción de las responsabilidades antedicho. Transcurrido éste, deberá procederse a la supresión o borrado físico de la historia.

Salvo mejor opinión, claro está…

Raúl García
Raúl García
• Delegado de Protección de Datos (DPO)
• Consultor de Seguridad TI en Indra
• Implantador SGSI (ISO 27001)
WhatsApp ¿Hablamos?