Nota Informativa per a professionals de salut
Per a operacions de tractament de dades personals de salut
Finalitat del document
Aquest document, "Health Professional Information Notice" (HPIN), té com a objectiu complir les obligacions d'informació als interessats que disposen els articles 13 i 14 del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals (d'ara en avant, RGPD), i la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades personals i garantia dels drets digitals (d'ara en avant, LOPDGDD)
El seu propòsit és informar els professionals sanitaris sobre el tractament de les seues dades personals de contacte professional en la demanda d'assistència sanitària per part d'un pacient d'un estat de la Unió Europea i l'ús de sistemes d'accés a dades clíniques habilitat per a facilitar l'assistència sanitària transfronterera.
Àmbit de treball
La infraestructura de serveis digitals de salut electrònica (eHDSI o eHealth DSI) permet accedir a la informació clínica de pacients, a través de mitjans electrònics segurs, a aquells professionals sanitaris involucrats en la provisió d'assistència sanitària, incloent-hi la prestació farmacèutica, per a pacients europeus.
Aquest accés es realitza a través d'una ruta d'enllaç segura proporcionada pels punts de contacte nacionals per a salut electrònica (NCPeH) designats per cada estat membre de la UE. Aquests NCPeH designats per cada estat actuen com a responsables del tractament de dades per a la recopilació, l'emmagatzematge, la transferència i altres operacions sobre dades personals i informació clínica.
Vosté, com a professional sanitari, pot accedir a aquesta informació dels pacients per als fins d'assistència sanitària, incloent-hi la prestació farmacèutica, a través de l'aplicació habilitada per la comunitat autònoma en la qual fa el seu treball, per a l'accés al Sistema d'Història Clínica Digital del SNS o per a l'accés al Sistema de Recepta Electrònica del SNS.
Responsable del tractament
Els serveis de salut autonòmics són responsables del tractament de dades personals en l'àmbit de les seues competències per a l'intercanvi de dades dins del SNS i amb altres estats membres de la UE. Vosté pot consultar amb el seu servei de salut qui és responsable del tractament de les seues dades. La Subdirecció General d'Informació Sanitària és la responsable del tractament de dades personals en l'àmbit del Ministeri de Sanitat. El delegat o delegada de Protecció de Dades del Ministeri de Sanitat és la persona titular de la Subdirecció General de Recursos Humans.
El Ministeri de Sanitat té el domicili al Paseo del Prado, 18, 28014 Madrid. El Ministeri de Sanitat no té responsabilitat sobre les dades administratives que dels seus professionals sanitaris tinguen els serveis de salut autonòmics.
Finalitats del tractament
Tractem les seues dades personals perquè vosté, en qualitat de professional de la salut, puga prestar els serveis assistencials i de prestació farmacèutica a un pacient que procedisca d'un altre estat membre de la Unió Europea (UE). Quan es produïsca un esdeveniment d'assistència sanitària o prestació farmacèutica, les seues dades podran ser comunicades a un altre estat membre de la UE, sempre a través de les xarxes d'informació segura autonòmiques, nacionals i europees habilitades a aquest efecte. Així mateix, en el cas que un pacient nacional sol·licite assistència sanitària, incloent-hi la prestació farmacèutica, en un altre estat membre, les seues dades com a professional de contacte en els documents comunicats o com prescriptor de receptes podran ser tractades en l'estat de tractament, i en aquest cas serà aplicable la normativa d'aquell estat.
Les seues dades es tractaran conforme als principis i obligacions disposats en l'RGPD i l'LOPDGDD. Concretament, el tractament de les seues dades es farà sempre que calga per a complir una llei, per a complir una obligació contractual entre vosté i el servei de salut o per motius d'interés públic, en els termes disposats en els articles 6.1.c) i e) de l'RGPD. En aquest sentit, la comunicació de les seues dades fora del Sistema Nacional de Salut s'efectuarà per a complir les obligacions que disposa la Directiva 2011/24/UE, d'assistència sanitària transfronterera, en els articles 4, 5, 11 i 14.
Categoria de les dades que tractem
Tractem dades personals de tipus identificatiu i de contacte professional dels professionals de la salut que presten serveis assistencials, incloent-hi la prestació farmacèutica.
Com hem obtingut les seues dades
Les dades personals que es comunicaran a un altre estat membre a través de les xarxes d'informació segures autonòmiques, nacionals i europees procedeixen dels diferents serveis de salut autonòmics.
Quina és la legitimació per al tractament de les seues dades personals
La base legal per al tractament de les seues dades personals són els articles 6.1.b), c) i e) de l'RGPD; la Llei orgànica 3/2018, de 5 de desembre, de protecció de dades i garanties dels drets digitals; la normativa nacional d'adaptació d'aquesta; la Directiva 2011/24/UE, d'assistència sanitària transfronterera, en compliment de les obligacions establides en aquesta, i la seua normativa nacional de transposició, per al compliment d'una obligació legal i d'una missió d'interés públic.
Per quant temps i on conservem les seues dades, i quines mesures apliquem
L'emmagatzematge de les dades personals podrà realitzar-se en els serveis de salut autonòmics i en els estats membres on un pacient nacional haja sol·licitat prestació assistencial o farmacèutica.
El termini de conservació de les seues dades personals i de contacte professional dins del SNS és el disposat per part de cada servei de salut, en compliment de les obligacions legals i contractuals aplicables.
El termini de conservació de les seues dades personals en un altre estat membre podrà variar depenent de les obligacions legals a les quals estiga sotmés o del temps que es necessite per a fer efectiva la prestació assistencial i/o farmacèutica.
Cada estat membre, segons la seua legislació nacional, podrà aplicar períodes de conservació més amplis per a fins d'arxivament en interés públic, d'investigació científica o finalitats estadístiques, per als quals s'aplicaran les oportunes mesures que salvaguarden la privacitat, com l'anonimització de les dades personals, entre altres.
Tots els estats membres de la UE estaran sotmesos als principis i obligacions que disposa l'RGPD per al tractament de dades personals, si bé els terminis de conservació en altres estats membres poden variar.
Els responsables del tractament, en la comunicació de dades dins de les xarxes nacionals i europees, apliquen les mesures organitzatives adequades per a preservar la privacitat de la ciutadania. També apliquen les mesures tècniques i de seguretat que es disposen en l'Esquema Nacional de Seguretat (Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'administració electrònica) i les mesures de seguretat que disposa la Directiva (UE) 2016/1148 del Parlament Europeu i del Consell, de 6 de juliol de 2016, relativa a les mesures destinades a garantir un elevat nivell comú de seguretat de les xarxes i sistemes d'informació en la Unió.
Qui podrà accedir a les seues dades
Les seues dades personals i la informació clínica de pacients atesos podran comunicar-se dins del SNS, entre les diferents comunitats autònomes, les ciutats autònomes de Ceuta i Melilla i amb altres estats membres de la Unió Europea. Els professionals que tindran accés seran els degudament autoritzats i habilitats en cada jurisdicció i per a cada cas. El tractament de les seues dades en altres estats membres de la UE l'efectuaran professionals habilitats a aquest efecte perquè puguen realitzar les funcions relacionades amb la provisió d'assistència sanitària, incloent-hi la prestació farmacèutica, que haja sol·licitat un pacient. Aquests professionals, tal com indica la normativa en matèria de protecció de dades, estaran sotmesos al deure de secret. Fora dels supòsits esmentats, no hi haurà cessions a tercers ni transferències internacionals de dades.
Quins són els seus drets
Pot exercir els drets d'accés, rectificació, supressió, oposició i limitació del seu tractament, quan siga procedent, davant del responsable del tractament de la seua comunitat autònoma i/o servei de salut o INGESA. A aquest efecte, haurà de dirigir un escrit en la forma que aquest li indique, o mitjançant el formulari habilitat en la seu electrònica corresponent.
Així mateix, vosté podrà exercir aquests drets davant del responsable del tractament de l'estat membre de la UE.
També pot presentar una reclamació davant de l'Agència Espanyola de Protecció de Dades quan no haja obtingut satisfacció en l'exercici dels seus drets.