Guía de cumplimiento del RGPD y LOPDGDD en el Sector Salud
Publicado el lunes, 01 de diciembre de 2025
El sector sanitario maneja datos especialmente sensibles, por lo que el cumplimiento del RGPD y la LOPDGDD es especialmente estricto. Los pacientes conservan todos sus derechos como interesados, entre ellos el acceso a su historia clínica, que incluye datos objetivos y, en algunos casos, anotaciones subjetivas del profesional. Pueden obtener copia de su historial y conocer quién ha accedido a él. La rectificación procede ante datos erróneos, aunque en aspectos clínicos prevalece el criterio médico, mientras que la supresión rara vez aplica a los datos asistenciales por su obligación legal de conservación.
El acceso por terceros está regulado: los tutores de menores pueden consultar la historia clínica salvo restricciones justificadas, y los familiares de fallecidos solo si no existe prohibición expresa ni se afectan derechos de terceros. Los profesionales sanitarios únicamente acceden bajo el principio de necesidad asistencial. Por su parte, los centros sanitarios, como responsables del tratamiento, solo pueden tratar datos de salud bajo bases jurídicas vinculadas al interés público en la asistencia, y requieren consentimiento explícito cuando el uso no esté relacionado con la atención sanitaria, como en investigaciones no reguladas o proyectos externos.
Los centros deben aplicar medidas de seguridad reforzadas. En el plano técnico, se exige cifrado, control de accesos, contraseñas robustas, autenticación multifactor y registros de accesos. En el organizativo, deben existir protocolos de confidencialidad, copias de seguridad, planes de respuesta a incidentes y procedimientos de conservación. También tienen el deber de informar al paciente sobre el responsable del tratamiento, finalidades, base legal, plazos, derechos y datos del Delegado de Protección de Datos, figura obligatoria en hospitales, clínicas y centros sanitarios públicos y privados.
La gestión de incidentes es especialmente crítica debido a la sensibilidad de los datos clínicos. Ante una brecha de seguridad, el centro debe identificar y documentar el incidente, evaluar su impacto y, si existe riesgo para los derechos de los pacientes, notificarlo a la AEPD en un máximo de 72 horas. Si el riesgo es elevado, también debe informar a los afectados. Todas las brechas deben registrarse internamente para prevenir futuras incidencias.
01/12/2025 08:04 | Forlopd_Privacidad
SEGURIDAD Y PRIVACIDAD DE DATOS, S.L. (FORLOPD)
URL oficial/canónica: https://ceeivalencia.emprenemjunts.es/?op=113&n=18525