Recomendaciones del ICOMEM sobre la normativa de Protección de Datos de Carácter Personal
705
El Ilustre Colegio Oficial de Médicos de Madrid (ICOMEM), consciente de las dudas y complicaciones que conlleva la aplicación e interpretación de la normativa sobre protección de datos de carácter personal y la legislación sobre sanidad específica en esta materia, principalmente la Ley 41/2002, ha decidido elaborar unas recomendaciones que ayuden a orientar a los responsables de centros sanitarios y a los facultativos de ejercicio individual.
Como decimos, la finalidad de estas recomendaciones, cinco en concreto, junto con sus anexos, es orientar al médico colegiado, de la manera más práctica posible, siendo necesaria o, al menos, conveniente siempre la consulta sobre el caso concreto al experto en esta materia, pudiendo dirigirse al efecto a la Asesoría Jurídica del Colegio de Médicos de Madrid.
Estas recomendaciones, elaboradas conforme a la normativa vigente en enero de 2006, se dedican a cinco aspectos esenciales en materia de confidencialidad, archivo y protección de datos de salud:
1. Recomendación del ICOMEM sobre cómo cumplir las obligaciones formales impuestas por la normativa sobre protección de datos de carácter personal.
2. Recomendación del ICOMEM sobre el tratamiento de los datos de salud de los pacientes.
3. Recomendación del ICOMEM sobre la cesión o revelación de datos de salud.
4. Recomendación del ICOMEM sobre las medidas de seguridad a adoptar respecto a los datos de salud contenidos en las historias clínicas.
5. Recomendación del ICOMEM sobre la jubilación o cese en la actividad profesional y los datos de salud de los pacientes.
Esperamos que su contenido pueda ser útil a todos los colegiados, y que ayude a los médicos de Madrid a acercarse a una normativa cuya finalidad esencial, garantizar y proteger el derecho fundamental a la intimidad personal, coincide con uno de los principios fundamentales de nuestra profesión, esto es, garantizar la confidencialidad de los datos de salud de nuestros pacientes.
1. Recomendación del ICOMEM sobre cómo cumplir las obligaciones formales impuestas por la normativa sobre protección de datos de carácter personal
Para poder dar cumplimiento a la normativa vigente sobre protección de datos en relación a nuestros ficheros, esto es, en lo que aquí nos interesa, las historias clínicas, simplemente se han de seguir una serie de pasos que, de forma esquemática y resumida, se exponen a continuación:
1) Notificación e inscripción en el Registro de la Agencia Española de Protección de Datos.
a) Se debe notificar a la Agencia Española de Protección de Datos (de ahora en adelante, AEPD) la creación del fichero o ficheros de los que se disponga en el centro sanitario o consulta, para que sean registrados. En lo que nos ocupa, el fichero correspondiente a las historias clínicas.
Si las historias clínicas están registradas en formato papel y han sido creadas antes del 14 de enero de 2000, se prevé legalmente que será obligatorio notificar e inscribir las mismas a partir del día 24 de octubre de 2007, sin perjuicio del ejercicio de los derechos de acceso, rectificación y cancelación por parte de los afectados.
En el contenido de la comunicación a efectuar a la AEPD deberá constar:
- Identificación de la persona responsable del fichero (centro sanitario o facultativo de ejercicio individual).
- Finalidad del mismo (en las historias clínicas, finalidad asistencial).
- Tipo de datos de carácter personal que contiene (en nuestro caso, datos relativos a la salud de los pacientes).
- Medidas de seguridad, con indicación del nivel exigible, que en el caso de las historias clínicas, al tratarse de datos de salud y ser considerados como altamente confidenciales, se exige el nivel máximo, esto es, en términos de la normativa de aplicación (Ley 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal), el denominado "Nivel Alto". Ello implica que no sólo debemos adoptar las medidas de seguridad exigidas en la normativa para el nivel alto sino que se adoptarán además de las de "nivel básico" y "nivel medio". Por lo tanto, hemos de cumplir con todas ellas ( "nivel básico" + "nivel medio" +"nivel alto").
b) Esta notificación podrá realizarse a través de distintas vías:
1) Cumplimentando los impresos modelos facilitados por la AEPD en soporte papel (compuesto por una hoja de solicitud y hojas interiores de detalle de la notificación) y presentándolos posteriormente en las oficinas de la misma (calle Jorge Juan, 6. 28001-Madrid, en horario de L-V desde las 09:00 hasta las 17:30 h., ó Sábados desde las 09:00 hasta las 14:00 h.), o en cualquiera de los Registros y Oficinas previstos en el artículo 38.4 de la Ley 30/1992 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.
2) A través de Internet (www.agpd.es). Internet permite enviar la/s notificación/es por medio del programa (previa descarga del mismo) y, para el caso de no desear utilizar Internet, el programa permite obtener un soporte magnético con las notificaciones generadas.
3) Por el propio soporte magnético antes referido, presentado en la AEPD.
Es importante destacar que, en cualquier caso, para que la notificación surta efecto legal, es obligatorio enviar la hoja de solicitud generada por el programa, firmada por la persona con representación suficiente, a la AEPD. En el caso de envío de la/s notificación/es por soporte magnético es necesario enviar dicho soporte junto con la hoja de solicitud.
c) Para cualquier modificación posterior en el contenido de la inscripción de un fichero en el Registro General de Protección de Datos (RGPD), se deberá comunicar a la AEPD, mediante la solicitud de modificación o de supresión, según corresponda.
d) El RGPD inscribirá el fichero si la notificación se ajusta a los requisitos exigibles. En caso contrario, podrá pedir que se completen los datos que falten o se proceda a su subsanación.
e) Transcurrido un mes desde la presentación de la solicitud sin que la AEPD hubiera resuelto sobre la misma, se entenderá inscrito el fichero a todos los efectos.
f) En todo caso, la inscripción de un fichero en el RGPD únicamente acredita que se ha cumplido con la obligación de notificación dispuesta en la Ley Orgánica de aplicación, sin que de esta inscripción se pueda desprender el cumplimiento por parte del responsable del fichero del resto de las obligaciones previstas en la Ley y demás disposiciones reglamentarias (por ejemplo, adopción de un conjunto de medidas de seguridad).
2) Adopción de medidas de seguridad.
Para los ficheros automatizados se deben adoptar una serie de medidas de seguridad dirigidas a evitar la alteración, pérdida, tratamiento o acceso no autorizado de los datos de carácter personal.
La primera medida es disponer de un documento de seguridad, cuya estructura y contenido son explicitados con más detalle en la recomendación dedicada a las medidas de seguridad, a la que aquí nos remitimos.
3) Auditoría.
Respecto a los ficheros automatizados se impone la obligación de someter al centro sanitario o consulta del facultativo de ejercicio individual, con una periodicidad mínima de dos años, a una auditoría de sus ficheros de datos de carácter personal.
Esta auditoría podrá ser interna o externa. El contenido de la misma se notificará al responsable del fichero y quedará a disposición de la AEPD.
El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a lo reglamentariamente impuesto, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.
2. Recomendación del ICOMEM sobre el tratamiento de los datos de salud de los pacientes
La obligación de información en materia de protección de datos
Los pacientes a los que se soliciten datos personales relativos a su salud deberán ser previamente informados de modo expreso, preciso e inequívoco:
a) Que los datos facilitados serán incorporados a un fichero (historia clínica), así como de la finalidad de la recogida de tales datos y de los destinatarios de la información.
b) Que los pacientes tienen el deber de facilitar los datos sobre su estado físico o sobre su salud de manera leal y verdadera, así como el de colaborar en su obtención, especialmente cuando sean necesarios con motivo de la asistencia sanitaria o por razones de interés público.
c) De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
d) De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, en su caso, en las condiciones legalmente establecidas.
e) Cual es la identidad y dirección del responsable del fichero (historia clínica) o, en su caso, de su representante, donde los afectados o interesados puedan ejercitar los referidos derechos de acceso, rectificación, cancelación y oposición, en su caso.
Toda esta información deberá facilitarse de forma comprensible y adecuada al paciente. Para ello deberá incluirse en la anamnesis, de forma claramente legible, que se ha cumplido con la obligación de información descrita en esta recomendación, o se recogerá la misma en un cartel ubicado en la recepción o en la sala de espera a la vista de los pacientes.
En los casos en que el paciente sea menor de edad o esté física o jurídicamente incapacitado se le informará en función de su grado de comprensión, sin perjuicio de informar también a su representante legal o tutor en la forma prevista en esta recomendación.
Se adjunta, como Anexo I, modelos de declaración a incluir en la historia clínica o en el referido cartel explicativo.
Otros principios a tener en cuenta para el tratamiento de los datos de salud
El tratamiento de los datos relativos a la salud, ya sea de forma manual o automatizada, ha de realizarse –aparte de con la debida información, ya referida- siguiendo los siguientes principios:
1. Principio de calidad: Solamente se tratarán los datos que sean adecuados, pertinentes y no excesivos en relación a la finalidad para la que se hayan obtenido. En ningún caso podrán utilizarse dichos datos para otras finalidades, salvo que previamente se haya informado y recabado el consentimiento.
2. Principio de consentimiento: Los datos de carácter personal relativos a la salud podrán ser objeto de tratamiento sin necesidad de consentimiento expreso cuando resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
Cuando los datos tengan otra finalidad, el tratamiento de los mismos precisará del consentimiento libre, específico, informado e inequívoco del afectado. Incluso escrito si se trata de los datos especialmente protegidos legalmente previstos.
Derechos de los pacientes respecto al tratamiento de sus datos de salud
Los derechos de los pacientes en el tratamiento de sus datos de salud son los siguientes:
a) Derecho de acceso: El paciente tiene el derecho de acceso a la documentación de la historia clínica, salvo que perjudique el derecho de terceras personas a la confidencialidad de los datos que consten en ella, recogidos en interés terapéutico del paciente, o cause perjuicio al derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas.
No se consideran anotaciones subjetivas aquellas que describan el curso clínico del paciente, es decir, que sirvan para el conocimiento veraz y actualizado del estado de salud del paciente.
El paciente tiene derecho a obtener copia, con carácter gratuito, de los datos que figuran en la historia clínica, con las limitaciones referidas.
Los centros sanitarios y los facultativos de ejercicio individual sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite, preservando de esta forma, incluso después de la muerte, el derecho a la intimidad del paciente. En cualquier caso el acceso de un tercero a la historia clínica motivado por un riesgo para su salud se limitará a los datos pertinentes. No se facilitará información que afecte a la intimidad del fallecido ni a las anotaciones subjetivas de los profesionales, ni que perjudique a terceros.
El centro sanitario o facultativo de ejercicio individual responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud.
Si la resolución fuera estimatoria, el acceso se hará efectivo en el plazo de los diez días siguientes a la notificación de aquélla.
El responsable del fichero podrá denegar el acceso a los datos de carácter personal cuando el derecho se haya ejercitado en un intervalo inferior a doce meses y no se acredite un interés legítimo al efecto, así como cuando la solicitud sea formulada por persona distinta del afectado, sin representación específica debidamente acreditada.
El acceso permitirá conocer de forma legible o inteligible, con las limitaciones referidas, los datos incluidos en la historia clínica, el origen de los mismos, si se han cedido y a quien, y la finalidad para la que se archivaron (finalidad asistencial).
b) Derecho de rectificación: En los casos en que los datos que se tratan sean erróneos, el paciente podrá solicitar su rectificación.
La rectificación se hará efectiva por el responsable del fichero dentro de los cinco días siguientes al de la recepción de la solicitud. Si los datos rectificados hubieran sido cedidos previamente, el responsable del fichero deberá notificar la rectificación efectuada al cesionario, en idéntico plazo, para que éste, a su vez, la lleve a cabo en su fichero.
La solicitud de rectificación deberá indicar el dato que es erróneo y la corrección que debe realizarse y deberá ir acompañada de la documentación justificativa de la rectificación solicitada, salvo que la misma dependa exclusivamente del consentimiento del interesado.
Si la rectificación no procede se debe comunicar motivadamente en el plazo de los cinco días siguientes a la recepción de la solicitud.
c) Derecho de cancelación: La cancelación de los datos no procederá cuando pudiese causar un perjuicio a intereses legítimos del afectado o de terceros, o cuando existiese una obligación de conservarlos.
Los datos incluidos en la documentación clínica deben conservarse para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.
La documentación clínica se conservará a efectos judiciales de conformidad con la legislación vigente. Se conservará, asimismo, cuando existan razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud. Su tratamiento se hará de forma que se evite en lo posible la identificación de las personas afectadas.
La forma y los plazos de hacer efectivo el derecho de cancelación son los mismos que para el derecho de rectificación.
d) Derecho de oposición: Este derecho se ejercita por el paciente que pretenda oponerse al tratamiento de sus datos de carácter personal llevado a cabo por parte de los centros sanitarios o facultativos de ejercicio individual siempre y cuando no se trate de finalidades relativas a la prestación de servicios médicos que impidan la correcta prestación de los mismos.
Se adjuntan como Anexos II y III, respectivamente, modelos de texto relativos al ejercicio de los derechos de acceso y rectificación/cancelación.
ANEXO I
MODELO DE DECLARACIÓN PARA DEJAR CONSTANCIA ESCRITA DE QUE SE HA INFORMADO AL PACIENTE (A INCLUIR OPTATIVAMENTE EN LA HISTORIA CLINICA O EN EL CARTEL EXPLICATIVO).
EN LA HISTORIA CLINICA:
El paciente ha sido informado de todos los extremos legalmente exigidos en materia de protección de datos, recogidos en la recomendación publicada al efecto por mi Colegio.
EN EL CARTEL EXPLICATIVO:
Se informa a los pacientes que los datos que faciliten serán incorporados a su historia clínica, para su mejor asistencia sanitaria, siendo los destinatarios de la información el médico o médicos de este centro sanitario/consulta, implicados en su proceso asistencial.
El mantenimiento y custodia de su historia clínica es responsabilidad del (centro sanitario/facultativo de ejercicio individual), calle ...., nº ..., de ...., donde los afectados o interesados puedan ejercitar los derechos de acceso, rectificación, cancelación y oposición, en su caso, conforme a lo legalmente previsto.
Los pacientes tienen el deber de facilitar los datos sobre su estado físico o sobre su salud de manera leal y verdadera, así como el de colaborar en su obtención, especialmente cuando sean necesarios con motivo de la asistencia sanitaria o por razones de interés público. En otro caso, no podrá prestarse una adecuada asistencia sanitaria.
ANEXO II
MODELO DE EJERCICIO DE DERECHO DE ACCESO
DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO
....................................................................
DATOS DEL SOLICITANTE
D./ Dª ................................................., mayor de edad, con domicilio en ..........................................................., provisto de D.N.I. ....................., del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de acceso, de conformidad con el artículo 15 de la Ley Orgánica 15/1999, y los artículos 12 y 13 del Real Decreto 1332/1994.
SOLICITA:
1.- Que se le facilite gratuitamente el acceso al fichero que contenga datos relativos a la salud en el plazo máximo de un mes a contar desde la recepción de esta solicitud.
2.- Que si la solicitud del derecho de acceso fuese estimada, se facilitará la información interesada en el plazo de diez días desde la resolución estimatoria de la solicitud de acceso.
3.- Que esta información comprenda de modo legible e inteligible, con las limitaciones previstas en la Ley 41/2002, los datos que sobre mi persona están incluidos en su fichero, y los resultantes de cualquier elaboración, proceso o tratamiento, así como el origen de los datos, los cesionarios y la especificación de los concretos usos y finalidades para los que se almacenaron.
En ................ a ......... de ........................ de ..........
Firma: ..................................................
ANEXO III
MODELO DE EJERCICIO DE DERECHO DE RECTIFICACIÓN O CANCELACIÓN
DATOS DEL RESPONSABLE DEL FICHERO O TRATAMIENTO
...................................................................
DATOS DEL SOLICITANTE
D./ Dª ................................................., mayor de edad, con domicilio en ..........................................................., provisto de D.N.I. ....................., del que acompaña fotocopia, por medio del presente escrito manifiesta su deseo de ejercer su derecho de rectificación/cancelación, de conformidad con el artículo 16 de la Ley Orgánica 15/1999, y los artículos 15 y 16 del Real Decreto 1332/1994.
SOLICITA:
1.- Que se proceda gratuitamente a la efectiva corrección/cancelación de los datos inexactos relativos a mi persona que se encuentren en su fichero de datos relativos a la salud, en el plazo de cinco días desde la recepción de esta solicitud, con las limitaciones previstas en la Ley 41/2002.
2.- Los datos que hay que rectificar/cancelar se enumeran en la hoja anexa. En caso de rectificación, se hace referencia en esta hoja anexa a los documentos que se acompañan a esta solicitud y que acreditan, en caso de ser necesario, la veracidad de los nuevos datos.
3.- Que me comuniquen de forma escrita la rectificación/cancelación de los datos una vez realizada.
4.- Que, en el caso de que el responsable del fichero considere que la rectificación/cancelación no procede, lo comunique igualmente, de forma motivada y dentro del plazo de cinco días señalado.
En ................ a ......... de ........................ de ..........
Firma: ..................................................
3. Recomendación del ICOMEM sobre la cesión o revelación de datos de salud
Deber de secreto
Los centros sanitarios y los facultativos de ejercicio individual están obligados a guardar secreto de cualquier dato personal facilitado por un paciente.
En el caso de que los médicos dispongan de la ayuda de otras personas como puede ser el caso de personal de enfermería o personal administrativo, se deberá hacerles firmar un compromiso de confidencialidad, informándoles de los deberes relativos tanto a la custodia como al tratamiento de los datos personales de los pacientes.
Se adjunta, como Anexo IV, un modelo de compromiso de confidencialidad que deberá firmar el personal que desarrolle su actividad en los centros sanitarios o que sea dependiente de los facultativos de ejercicio individual, y que accedan a datos personales de los pacientes.
En cualquier caso, el personal de administración y gestión de los centros sanitarios o que dependa de los facultativos de ejercicio individual sólo puede acceder a los datos de la historia clínica relacionados con sus propias funciones.
La persona que tenga acceso a la información y la documentación clínica está obligada a guardar la reserva debida.
Criterio general para la cesión: Previo consentimiento del afectado
Los centros sanitarios y los facultativos de ejercicio individual no podrán comunicar datos relativos a la salud de sus pacientes salvo cuando se haya prestado el previo consentimiento del afectado, estando pues la cesión amparada en el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
Para la cesión o comunicación de datos de salud relativos a menores de edad o incapacitados se deberá disponer del consentimiento de los padres o tutores legales.
Excepciones al criterio general: Cuando no es necesario el consentimiento
La comunicación de los datos de salud únicamente se permite sin el previo consentimiento del afectado, entre otros supuestos previstos en la Ley Orgánica 15/1999, de protección de datos de carácter personal (art. 11), cuando la cesión sea necesaria para solucionar una urgencia que requiera acceder a un fichero (por ejemplo, historia clínica), para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica, para dar cumplimiento a los requerimientos judiciales, y en cualquier otro supuesto previsto en una disposición con rango de ley.
Si la comunicación se efectúa previo procedimiento de disociación, esto es, de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable, no será necesario entonces el consentimiento del afectado.
Cesión a terceros implicados en el diagnóstico, prevención o tratamiento médico
Para los casos comprendidos en el criterio general, los centros sanitarios y los facultativos de ejercicio individual podrán ceder aquellos datos de salud de sus pacientes a terceros implicados en el diagnóstico, prevención o tratamiento médico (por ejemplo, los laboratorios de análisis clínicos u otro médico especialista de distinto centro sanitario), que fuesen estrictamente necesarios para dar cumplimiento a una correcta prestación de los servicios médicos, siguiendo el siguiente procedimiento:
Se informará y solicitará, con carácter previo a la comunicación o cesión, el consentimiento expreso de los pacientes. Asimismo, se informará al paciente de la obligación que tal tercero tiene para la creación y conservación de un fichero con los datos personales de los pacientes que trata y cuya responsabilidad sería de dicho tercero según lo dispuesto en la legislación estatal o autonómica en esta materia.
Se adjunta, como Anexo V, un modelo de texto relativo al consentimiento para comunicar o ceder los datos de los afectados o interesados a los terceros implicados en el diagnóstico, prevención o tratamiento médico.
Es preciso que exista un contrato de colaboración por escrito que prevea la posibilidad de la cesión de datos personales de los pacientes, a firmar entre los centros sanitarios o los facultativos de ejercicio individual y el tercero implicado en el diagnóstico, prevención o tratamiento médico. Dicho contrato debe contener los siguientes extremos:
- El compromiso del tercero al que se ceden los datos de que no aplicará o utilizará dichos datos con un fin distinto al que figura en el contrato, en general para la prestación de servicios médicos o sanitarios que complementen las actuaciones médicas llevadas a cabo por el centro sanitario/consulta, siendo los datos a comunicar estrictamente los pertinentes, adecuados y no excesivos para la prestación de los referidos servicios médicos o sanitarios. La comunicación sólo será legítima en cuanto se limite tanto a la finalidad que la justifique como a los datos concretos que sean necesarios para dar cumplimiento a una correcta prestación de los servicios médicos o sanitarios solicitados.
- La obligación de dicho tercero implicado en el diagnóstico, prevención o tratamiento médico de que no comunicará, ni siquiera para su conservación, los datos de carácter personal a terceros, salvo que ello se realice con el previo consentimiento del afectado.
- El deber del referido tercero de mantener la confidencialidad de los datos de carácter personal comunicados como consecuencia del contrato, reconociendo expresamente su deber de secreto sobre los mismos.
- El compromiso de que el reseñado tercero adoptará e implementará las medidas de seguridad necesarias sobre los datos de carácter personal cedidos, reseñando la relación de tales medidas de seguridad.
- El deber del tercero implicado en el diagnóstico, prevención o tratamiento médico de crear y conservar un fichero con los datos personales cedidos y cuya responsabilidad sería de aquél, según lo dispuesto en la legislación estatal o autonómica en esta materia.
Cesión a compañías de asistencia colectiva
Los centros sanitarios y los facultativos de ejercicio individual que traten datos personales referentes a la salud de pacientes que tengan contratada una póliza de seguro para la prestación de servicios médicos podrán ceder dichos datos de carácter personal a la empresa o compañía de seguro libre de asistencia sanitaria siempre que el centro sanitario o el facultativo de ejercicio individual informen al paciente y obtengan de éste, con carácter previo a la cesión, su consentimiento expreso para ello. A tal efecto, el centro sanitario o el facultativo de ejercicio individual recogerán del paciente su consentimiento para ceder los datos de los afectados o interesados a las empresas o compañías de seguro libre de asistencia sanitaria. En este sentido, se adjunta, como Anexo VI, un modelo de texto relativo al referido consentimiento.
Únicamente se comunicarán a las empresas o compañías aseguradoras aquellos datos estrictamente necesarios para dar cumplimiento a la finalidad propia de la cesión.
Con independencia de lo anterior, es conveniente que el centro sanitario o el facultativo de ejercicio individual dispongan de un contrato firmado con la empresa o compañía aseguradora en la que se incluya la obligación de facilitar los datos personales de los asegurados como obligación para la prestación de los servicios de asistencia sanitaria a los mismos, y en el que se garantice al centro sanitario o al facultativo de ejercicio individual que la empresa o compañía aseguradora tiene recabado el consentimiento de sus asegurados para que le sean cedidos los datos.
Acceso por tercero para el tratamiento de los datos
Los centros sanitarios y los facultativos de ejercicio individual que encarguen el tratamiento de los datos personales de sus pacientes a un tercero (por ejemplo, para organizar informaticamente las historias clínicas o para externalizar la gestión de las historias clínicas en formato papel) deberán regular por escrito dicho tratamiento, mediante la firma de un contrato, que debe contener los siguientes extremos:
- El compromiso del encargado del tratamiento de que no aplicará o utilizará dichos datos a los que tiene acceso con un fin distinto al que figura en el contrato.
- La obligación del encargado del tratamiento de que no comunicará, ni siquiera para su conservación, los datos de carácter personal a terceros, salvo que ello se realice en nombre y por cuenta del responsable del fichero con el previo consentimiento por escrito de dicho responsable.
- El deber del encargado del tratamiento de mantener la confidencialidad de los datos de carácter personal a los que tenga acceso como consecuencia del contrato, reconociendo expresamente su deber de secreto sobre los mismos.
- El compromiso de que el encargado del tratamiento adoptará e implementará las medidas de seguridad necesarias sobre los datos de carácter personal a los que tiene acceso, reseñando la relación de tales medidas de seguridad.
- El deber del encargado del tratamiento que una vez finalizado el objeto del contrato de prestación de servicios, devolverá o, en su caso, destruirá los datos de carácter personal, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento.
ANEXO IV
MODELO DE COMPROMISO DE CONFIDENCIALIDAD
D./Dª. ...................................................., de profesión ............, provisto/a de D.N.I. ................., y con domicilio en .................................................., DECLARO:
1.- Que presto mis servicios laborales/profesionales en el centro sanitario/consulta ...................................................................
2.- Que, en el ejercicio de mis funciones, tengo acceso autorizado a datos de carácter personal y demás información confidencial relativa a los pacientes del centro sanitario/de la consulta.
3.- Que conozco la obligación de secreto profesional respecto de los datos de carácter personal y demás información confidencial a la que tengo acceso autorizado, en el ejercicio de mis funciones, así como el deber de guardarlos y, en general, a la adopción de las obligaciones y deberes relativos al tratamiento de datos personales, en virtud de lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y demás normativa vigente.
4.- Que tengo conocimiento de que las obligaciones mencionadas anteriormente subsistirán aún después de finalizar mis relaciones con el centro sanitario/la consulta de referencia.
5.- Que conozco la responsabilidad personal que podría derivarse frente al centro sanitario/la consulta y a sus pacientes, a los efectos de resarcir los daños y perjuicios que se pudieran ocasionar, derivados de un incumplimiento culpable de las obligaciones en materia de protección de datos de carácter personal propias de mi puesto de trabajo.
En ..................., a ..........................................
Fdo.: ........................................................
ANEXO V
MODELO DE CONSENTIMIENTO PARA COMUNICAR O CEDER LOS DATOS DE LOS AFECTADOS O INTERESADOS A TERCEROS IMPLICADOS EN EL DIAGNÓSTICO, PREVENCIÓN O TRATAMIENTO MÉDICO.
D./Dª. ...................................................., provisto/a de D.N.I. ................., y con domicilio en .....................................................
DECLARO haber sido informado/a que mis datos personales serán tratados y quedarán incorporados en los ficheros del centro sanitario/de la consulta, con la finalidad de facilitar la prestación de los servicios médicos, en cumplimiento a lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal.
Los destinatarios de la información son el médico o médicos de este centro sanitario/consulta, implicados en su proceso asistencial.
Asimismo, he sido informado/a que puedo ejercitar los derechos de acceso, rectificación y, en su caso, cancelación u oposición, ante el centro sanitario/la consulta, en ...................., cuyo responsable es ……………
Con la firma del presente escrito CONSIENTO de forma expresa que mis datos, cuando fuese necesario, puedan ser comunicados o cedidos a .................................................., como servicios médicos o sanitarios en general que complementan las actuaciones médicas llevadas a cabo por este centro sanitario/esta consulta. Los datos a comunicar son los pertinentes, adecuados y no excesivos para la prestación de los referidos servicios médicos o sanitarios en general, y son los siguientes: ……………………………………………………………………..
La finalidad concreta que motiva la cesión o comunicación de datos es la siguiente: ………...........................................................
La persona física o jurídica a la que se ceden los datos se comprometerá a no ceder a su vez dichos datos a ningún tercero, ni siquiera para su conservación.
Del mismo modo, he quedado informado de la obligación que tienen tales servicios médicos o sanitarios para la creación y conservación de un fichero con los datos personales cedidos y cuya responsabilidad sería de aquéllos, según lo dispuesto en la legislación estatal o autonómica en esta materia.
En ..................., a ..........................................
Fdo.: ........................................................
ANEXO VI
MODELO DE CONSENTIMIENTO DE LOS AFECTADOS PARA LA CESIÓN DE DATOS A LAS COMPAÑIAS DE SEGURO LIBRE DE ASISTENCIA SANITARIA.
D./Dª. ...................................................., provisto/a de D.N.I. ................., y con domicilio en .....................................................
DECLARO haber sido informado/a que mis datos personales serán tratados y quedarán incorporados en los ficheros del centro sanitario/de la consulta, con la finalidad de facilitar la prestación de los servicios médicos, en cumplimiento a lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal.
Los destinatarios de la información son el médico o médicos de este centro sanitario/consulta, implicados en su proceso asistencial.
Asimismo, he sido informado/a que puedo ejercitar los derechos de acceso, rectificación y, en su caso, cancelación u oposición, ante el centro sanitario/la consulta, en .....................................................................................................
Con la firma del presente escrito dejo constancia de haber sido informado/a previamente, y CONSIENTO de forma expresa que mis datos puedan ser comunicados o cedidos a ......................................................., como compañía de seguro libre de asistencia sanitaria.
Únicamente se comunicarán a dicha entidad aquellos datos personales que sean los pertinentes, adecuados y no excesivos para cumplir, desarrollar y controlar las obligaciones que para asegurado y entidad aseguradora vienen establecidas en el contrato de seguro de salud por el que se garantiza la prestación sanitaria.
En ..................., a ..........................................
Fdo.: ........................................................
4. Recomendación del ICOMEM sobre las medidas de seguridad a adoptar respecto a los datos de salud contenidos en las historias clínicas
Tanto en el caso de los centros sanitarios como en el de los médicos que ejerzan su actividad profesional por cuenta propia, de manera individual, la normativa reglamentaria en vigor, al entender de la AEPD, les impone adoptar una serie de medidas de seguridad para sus ficheros automatizados.
Se obliga al médico a la adopción de tales medidas sin perjuicio de que la confidencialidad e integridad de los datos relativos a la salud de sus pacientes, contenidos en las historias clínicas, se protegen por su secreto profesional.
Medidas de seguridad para ficheros automatizados.
1. El centro sanitario o el facultativo de ejercicio individual elaborarán e implantarán un documento de seguridad en el que se recogerán las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos de carácter personal relativos a la salud de los pacientes, de obligado cumplimiento para el personal con acceso a dichos datos y a los sistemas de información.
a) El documento de seguridad deberá contener, como mínimo, los siguientes aspectos: Ambito de aplicación; medidas, normas y procedimientos de seguridad; funciones y obligaciones del personal; estructura de los ficheros; procedimiento de incidencias y su registro; procedimiento de copias de respaldo y de recuperación de los datos; gestión y distribución de soportes; identificación y autenticación de los usuarios y registro de acceso; responsable de seguridad; controles de verificación; auditoría; control de acceso físico; y, en su caso, transmisión telemática de datos.
b) El documento de seguridad deberá expresar el ámbito de aplicación del mismo, con especificación detallada de los siguientes extremos:
- Indicación del centro sanitario/consulta al que se aplica el documento de seguridad.
- Identificación del responsable del fichero y de la ubicación física del mismo.
- Relación de las personas a las que por tener acceso a los datos les sea de aplicación las medidas de seguridad establecidas en el documento.
c) El documento de seguridad incluirá el conjunto de medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel alto de seguridad aplicable.
Se describirá detalladamente el sistema informático a través del cual se accede a los ficheros de datos, indicando los equipos informáticos existentes, aislados o conectados en red, sus características técnicas, la existencia de conexiones remotas y el tipo de las mismas (módem analógico, ADSL, RDSI, cable, etc), el sistema operativo utilizado, los sistemas de protección existentes como antivirus o firewalls y las características técnicas de los mismos.
Se expresarán las medidas de seguridad existentes, tanto las medidas de seguridad físicas del local en el que se ubiquen los ficheros como las medidas de seguridad con que cuente el sistema informático.
d) Los terminales y equipos informáticos que contengan datos de salud en soporte automatizado serán utilizados, única y exclusivamente, por el personal autorizado en el documento de seguridad. Este personal tendrá acceso autorizado, únicamente, a aquellos datos que precisen para el desarrollo de sus funciones, de acuerdo con lo establecido en el documento de seguridad.
El documento de seguridad, en relación al personal, debe relacionar todas y cada una de las personas que tengan acceso a los ficheros que contengan datos de salud de los pacientes, con indicación de las funciones, obligaciones y prerrogativas de acceso de cada uno de ellos respecto a dichos datos. El personal deberá conocer las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
Igualmente se referirán las personas físicas o entidades ajenas al centro sanitario que tengan acceso a tales datos por razón de servicios que presten a la organización (por ejemplo, empresas de mantenimiento del hardware o del software).
e) El documento de seguridad deberá expresar la estructura de los ficheros y la descripción de los sistemas de información que los tratan.
Se explicará la estructura de los ficheros que contienen los datos de salud de los pacientes, sus características y, en su caso, la finalidad de los mismos, aparte de la propiamente asistencial.
Se describirán los programas informáticos utilizados para el tratamiento de los datos.
Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad alto correspondiente al tipo de fichero tratado.
2. Cada centro sanitario/consulta deberá llevar un registro de incidencias, en el que se hará constar:
- Las incidencias que se produzcan que afecten a la seguridad de los datos de salud de los pacientes.
- El momento en que se han producido.
- La persona que ha notificado la existencia de la incidencia y la persona a la que se comunica la incidencia.
- El procedimiento seguido y las medidas adoptadas como consecuencia de la incidencia producida.
- El procedimiento de recuperación de los datos, la persona que haya ejecutado dicho procedimiento, los datos restaurados y aquellos que haya sido preciso grabar manualmente en el proceso de restauración. Será necesaria la autorización por escrito del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos.
3. El responsable del fichero se encargará de verificar los procedimientos de realización de copias de respaldo y de recuperación de los datos. Las copias de respaldo se realizarán semanalmente.
El documento de seguridad contemplará un procedimiento de copias de respaldo y de recuperación de los datos.
Se expresará el procedimiento para la realización de copias de respaldo (copias de seguridad), así como el procedimiento para la recuperación de los datos, indicando los medios técnicos o programas que se utilizan para esas tareas. Tales procedimientos deberán garantizar la reconstrucción de los datos de salud de los pacientes en el estado en que se encontraban al tiempo de su pérdida o destrucción.
Debe conservarse una copia de respaldo y del procedimiento de recuperación de los datos en un lugar diferente de aquel en el que se encuentran los equipos informáticos en los que están almacenados los datos de salud, con una periodicidad semanal, pudiendo depositarse a estos efectos en el ICOMEM.
4. Se debe efectuar un inventario exhaustivo de los soportes informáticos existentes que contengan datos de salud de los pacientes, a incluir en el documento de seguridad.
Estos soportes deben estar etiquetados de forma que permitan conocer la información que contienen, y han de almacenarse en un lugar al que sólo tenga acceso el personal autorizado para ello en el propio documento de seguridad.
La salida de cualquier tipo de soporte informático que contengan datos de salud, fuera del centro sanitario/consulta en la que se encuentre el fichero, deberá ser autorizada por el responsable del fichero.
Cuando un soporte informático que contenga datos de salud de los pacientes vaya a ser reutilizado o desechado, deberán adoptarse las medidas necesarias para evitar una posterior recuperación de la información contenida en el mismo y, además, darle de baja en el inventario de soportes incorporado al documento de seguridad.
En el documento de seguridad debe existir un registro de entrada de soportes informáticos y un registro de salida de los mismos en los que deberán anotarse los extremos relacionados a continuación.
En el registro de entrada de soportes: (1) Tipo de soporte, (2) fecha y hora de entrada, (3) persona que entrega el soporte, (4) número de soportes entregados, (5) tipo de información que contienen, (6) forma de envío y (7) persona autorizada para la recepción del soporte.
En el registro de salida de soportes: (1) Tipo de soporte, (2) fecha y hora de salida, (3) destinatario del soporte, (4) número de soportes que se entregan, (5) tipo de información que contienen, (6) forma de envío y (7) persona autorizada para la entrega del soporte.
La distribución de soportes informáticos que contengan datos de carácter personal relativos a la salud de los pacientes debe hacerse cifrando tales datos y con una contraseña de acceso, para garantizar que los datos no puedan ser leídos ni manipulados durante su transporte.
5. Deberá restringirse el acceso a los terminales o equipos informáticos en los que se almacenen los ficheros automatizados, que contengan datos de salud, mediante identificación del usuario y su autenticación.
El documento de seguridad recogerá una relación actualizada de usuarios con derecho de acceso al sistema de información que contenga los datos de salud de los pacientes.
A estos efectos, el centro sanitario o el médico de ejercicio individual, responsable del fichero, deberá establecer un sistema que permita la identificación inequívoca y personalizada de todo usuario que accede al sistema de información, así como la verificación de que dicho usuario está autorizado para acceder al sistema.
Cuando la autenticación de los usuarios se base en la existencia de contraseñas, éstas deberán cumplir los siguientes requisitos:
1. Se establecerá un sistema de asignación, distribución y almacenamiento de las mismas que garantice su integridad y confidencialidad.
2. Las contraseñas se almacenarán de forma ininteligible.
3. Las contraseñas se cambiarán con la periodicidad que señale el documento de seguridad.
4. Cada usuario podrá acceder únicamente a los datos que sean necesarios para el desarrollo de la función que tiene encomendada.
El documento de seguridad incorporará un registro de accesos, cuyo contenido deberá conservarse al menos durante dos años y ser verificado mensualmente por el responsable de seguridad, en el que se expresarán los siguientes extremos:
- Identificación del usuario que accede.
- Fecha y hora del acceso.
- Fichero al que se accede.
- Tipo de acceso.
- Expresión de si el acceso solicitado ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.
Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
6. El responsable del fichero debe designar a una o varias personas como responsables de seguridad, cuyo cometido será controlar y coordinar el cumplimiento de las medidas de seguridad implantadas en el documento de seguridad.
7. El documento de seguridad preverá la implantación de controles periódicos de verificación del cumplimiento de las disposiciones contenidas en el propio documento, debiendo realizarse tales verificaciones con la periodicidad que exprese el mismo.
8. Los terminales o equipos informáticos que contengan ficheros automatizados de datos de salud deberán ubicarse en lugares a los que solo tenga acceso el personal del centro sanitario/consulta, evitándose su ubicación en pasillos, salas de espera o de recepción.
Unicamente el personal autorizado en el documento de seguridad deberá tener acceso a los locales donde se ubiquen físicamente los ficheros de datos de salud de los pacientes, debiendo establecerse un sistema de control de acceso a tales efectos.
9. Los centros sanitarios/consultas deberán disponer de aplicaciones informáticas que cifren los datos personales correspondientes a la salud de los pacientes cuando éstos sean transmitidos por redes de telecomunicaciones.
Si se transmiten datos de salud por medio de redes de telecomunicaciones debe procederse al cifrado de tales datos, o bien utilizar cualquier otro procedimiento que garantice que los datos no pueden ser leídos ni manipulados por terceros.
10. Al menos cada dos años ha de hacerse una auditoría interna o externa de los sistemas de información que contienen los datos personales relativos a la salud de los pacientes, así como del grado de cumplimiento de las medidas de seguridad de aplicación.
Tal auditoría podrá ser realizada por el Ilustre Colegio Oficial de Médicos de Madrid, desarrollando a tal efecto un símbolo, marca o logotipo que exprese la aplicación y vigencia de las medidas de seguridad adoptadas por parte del centro sanitario o del médico colegiado, pudiendo ser reproducido el mismo en la documentación utilizada por el centro sanitario o por el facultativo, en su propia consulta, a la vista de sus pacientes.
Medidas de seguridad aconsejables para ficheros no automatizados (en formato papel).
Los ficheros no automatizados, responsabilidad tanto de los centros sanitarios como de los médicos que desarrollen su actividad profesional de forma individual, que contengan datos de salud de sus pacientes, es aconsejable que cumplan las siguientes medidas de seguridad:
1. El responsable del fichero elaborará e implantará una normativa de seguridad que se recogerá en un documento de obligado conocimiento y cumplimiento para el personal con acceso a los datos de salud.
2. En este documento se establecerán las siguientes medidas o normas, encaminadas a garantizar el nivel de seguridad de los ficheros no automatizados:
a) Los archivos de ficheros deberán ubicarse en lugares a los que solo tenga acceso el personal del centro sanitario o consulta médica individual, evitándose su ubicación en pasillos, salas de espera o de recepción.
b) Deberá restringirse el acceso a los archivos en los que se ubiquen los ficheros no automatizados, que contengan datos de carácter personal referentes a la salud, mediante el uso de mecanismos que impida el libre acceso de cualquier persona a dichos archivos.
c) Los ficheros que contengan datos de salud en soporte no automatizado, única y exclusivamente serán tratados por el personal autorizado en el documento de seguridad.
d) Los usuarios tendrán acceso autorizado únicamente a aquellos datos que precisen para el desarrollo de sus funciones.
e) Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos, conforme a los criterios establecidos por el responsable del fichero.
f) En el traslado de los informes, historias clínicas y demás documentación que contenga datos de salud se garantizará la confidencialidad de dicha documentación. El tratamiento de tales datos fuera de los centros sanitarios o consultas médicas individuales, donde se encuentren ubicados los ficheros, deberá ser autorizada expresamente por el responsable del fichero, garantizándose el cumplimiento de las medidas de seguridad aplicables.
3. Los soportes físicos de datos de carácter personal relativos a la salud serán eliminados mediante sistemas mecánicos de destrucción que garanticen la imposibilidad del conocimiento y utilización de la información contenida en los mismos. Para ello, el ICOMEM dispone de un servicio que certificará la destrucción o eliminación de dicha documentación, a disposición de sus colegiados.
5. Recomendación del ICOMEM sobre la jubilación o cese en la actividad profesional y los datos de salud de los pacientes
Los centros sanitarios y los facultativos de ejercicio individual que cesen de forma definitiva en su actividad profesional podrán ceder la totalidad de las historias clínicas de sus pacientes a otro profesional médico ejerciente y colegiado, como responsable de un centro sanitario o como facultativo de ejercicio individual, para que continúe el seguimiento de las mismas o se ocupe de su archivo durante el plazo legalmente establecido. Tal cesión deberá ser comunicada por escrito previamente a los pacientes, recabándose su consentimiento expreso para la cesión de sus datos personales mediante la firma del Anexo VII.
Posteriormente, tras el consentimiento de cada paciente, se debe documentar la cesión entre centro/s sanitario/s y profesional/es. Se adjunta modelo al respecto, como Anexo VIII.
Ante la indudable dificultad que supone recabar el consentimiento de todos y cada uno de los pacientes con historia clínica, como alternativa, los centros sanitarios y los facultativos de ejercicio individual podrán suscribir un contrato de acceso con el Colegio Oficial de Médicos de Madrid en el que se prevea que, una vez cesen de forma definitiva en su actividad profesional, se permita el acceso de dicha Corporación profesional a la totalidad de las historias médicas de sus pacientes para que se ocupe de su archivo, durante el plazo legalmente establecido. A tal efecto, para mayor información, se pueden dirigir al Colegio, calle Santa Isabel nº 51, o a los teléfonos 91.538.51.06/7.
Del mismo modo, y para los supuestos de fallecimiento y/o incapacitación legal de los profesionales médicos, sus albaceas, sucesores o representantes legales encargados de custodiar los ficheros de sus pacientes podrán optar entre cederlos a cualquier centro o profesional médico, o permitir su acceso al Colegio Oficial de Médicos de Madrid, todo ello en la forma prevista en los párrafos anteriores, o incluso conservarlos por el plazo legalmente establecido.
En todos los casos, los pacientes tienen derecho a que se les informe sobre el destino de sus datos de salud contenidos en las historias clínicas, así como de los derechos que legalmente les asistan respecto a las mismas, pudiendo dirigirse para ejercer tales derechos, o para su orientación, al ICOMEM.
ANEXO VII
MODELO DE CONSENTIMIENTO PARA COMUNICAR O CEDER LAS HISTORIAS CLÍNICAS POR CESE EN LA ACTIVIDAD PROFESIONAL.
D./Dª. ...................................................., provisto/a de D.N.I. ................., y con domicilio en .....................................................
DECLARO haber sido informado/a que D./Dª. ......................................., colegiado/a nº ................., provisto/a de D.N.I. ................., y con domicilio en .................................................., en nombre y por cuenta propia/en nombre y representación de ............, con N.I.F./C.I.F. ........., va a cesar en el ejercicio de su actividad profesional.
Por medio de este documento, CONSIENTO expresamente que la historia clínica abierta a mi nombre en el referido centro sanitario/consulta, en la que constan datos relativos a mi salud, sea cedida a ................................................................................,
para que continúe con el seguimiento de la misma o se ocupe de su archivo, al menos, durante el plazo legalmente establecido.
De este modo, mis datos personales serán tratados y quedarán incorporados en los ficheros del centro sanitario/de la consulta, con la finalidad de facilitar la prestación de los servicios médicos, en cumplimiento a lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal.
Asimismo, he sido informado/a que puedo ejercitar los derechos de acceso, rectificación y, en su caso, cancelación u oposición, ante el centro sanitario/la consulta, en ....................
En ..................., a ..........................................
Fdo.: ........................................................
ANEXO VIII
MODELO DE DOCUMENTO DE CESIÓN DE HISTORIAS CLÍNICAS
De una parte, D./Dª. ..................................................................., colegiado/a nº ................., provisto/a de D.N.I. ...................., y con domicilio en .................................................., en nombre y por cuenta propia/en nombre y representación de ............, con N.I.F./C.I.F. .........
De otra, D./Dª. ..................................................................., colegiado/a nº ................., provisto/a de D.N.I. ...................., y con domicilio en .................................................., en nombre y por cuenta propia/en nombre y representación de ............, con N.I.F./C.I.F. .............
Ambas partes, de común acuerdo, convienen
1.- Que .................. ha decidido cesar en su actividad profesional, por ......... (jubilación, causas económicas, ...) ……, y como consecuencia de ello cede las historias clínicas de sus pacientes a ………………….
2.- En tales circunstancias, el cesante ha procedido ha notificar este hecho a todos sus pacientes, recabando su consentimiento expreso con carácter previo a este acto.
3.- …………….. se compromete a continuar con el seguimiento de las referidas historias clínicas o se ocupara de su archivo, al menos, durante el plazo legalmente establecido.
4.- ……………….. se obliga a que los datos personales contenidos en las historias clínicas serán tratados y quedarán incorporados en los ficheros del centro sanitario/de la consulta, con la finalidad de facilitar la prestación de los servicios médicos, en cumplimiento a lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal.
A tal efecto, permitirá el ejercicio de los derechos de acceso, rectificación y, en su caso, cancelación u oposición, ante el centro sanitario/la consulta, en ..............................................................
En ..................., a ..........................................
Fdo.: ........................................................
Más información en nuestra Asesoría Jurídica (Tel: 915385106-07)
