La recogida, almacenamiento y gestión de los datos sanitarios es un componente esencial de la práctica clínica. En los hospitales, la información sobre diagnósticos, tratamientos y evolución de los pacientes se integra en sistemas digitales que deben garantizar su confidencialidad¹.

En España, la ley básica reguladora de la autonomía del paciente establece la obligación de custodiar la documentación clínica y proteger el derecho a la intimidad. Esta norma recuerda que toda persona tiene derecho a decidir sobre el uso de sus datos de salud y que el acceso a esa información está limitado a los profesionales directamente implicados en su atención².

Protección europea

El Reglamento General de Protección de Datos (RGPD) refuerza estas obligaciones, al reconocer el tratamiento de información sanitaria como una categoría especial de datos personales³.

Este RGPD exige que los hospitales adopten medidas técnicas y organizativas adecuadas para garantizar la seguridad, integridad y confidencialidad de la información e introduce principios como aplicar sobrenombre y el consentimiento explícito para el tratamiento de los datos³.

Normativa combinada

La Ley de Protección de Datos Personales y garantía de los derechos digitales adapta ese reglamento comunitario a la realidad nacional⁴. Ambas normas obligan a las instituciones sanitarias a realizar evaluaciones de impacto sobre la privacidad antes de implantar sistemas que manejen datos clínicos, con sanciones por incumplimiento que pueden alcanzar los 20 millones de euros o el 4 % del volumen de negocio del ejercicio financiero anterior³.

La Agencia Española de Protección de Datos (AEPD) publicó una Guía para pacientes y usuarios de la Sanidad en la que detalló que el paciente puede⁵.

• Acceder a su historia clínica.
• Corregir errores.
• Solicitar su supresión cuando ya no sea necesaria.

Por su parte, el personal médico y administrativo está obligado a limitar el acceso a esos datos para realizar funciones estrictamente asistenciales⁵.

Responsabilidad penal

El artículo 197 del Código Penal español tipifica como delito el acceso o la difusión no autorizada de información sanitaria. Las penas pueden ir de uno a siete años de prisión si los datos afectan a la salud, la ideología o la vida sexual del paciente, y son más severas si el infractor es un profesional sanitario o el responsable del fichero⁶.

Esta responsabilidad penal coexiste con las sanciones administrativas previstas⁴, lo que refuerza la necesidad de implantar:

• Protocolos de control de accesos.
• Trazabilidad de operaciones.
• Formación continua del personal.

Historia clínica digital

El Ministerio de Sanidad coordina la interoperabilidad de la Historia Clínica Digital del Sistema Nacional de Salud (HCDSNS), que permite a las comunidades autónomas compartir información clínica relevante. Este esquema se apoya en estándares técnicos y medidas de cifrado que garantizan la autenticidad de los datos y la identificación segura de los profesionales que los consultan⁷.

Desde hace años los hospitales integran sistemas de información clínica basados en redes privadas seguras y autenticación de doble factor. Los registros de acceso permiten auditar quién consulta cada expediente y en qué momento, lo que reduce el riesgo de intrusiones y mejora la trazabilidad del tratamiento de los datos⁷.

Tratamiento anónimo

El RGPD promueve la aplicación de técnicas como la seudonimización y la anonimización, que disocian los datos personales de los identificadores directos del paciente y resultan esenciales en la gestión de grandes bases de datos clínicas, estudios multicéntricos y proyectos de inteligencia artificial aplicados a la salud³.

Una medida en auge es la tokenización, que reemplaza información sensible por identificadores aleatorios para mantener la coherencia de los registros sin exponer la información original. Esta herramienta facilita tanto el análisis avanzado como el intercambio eficiente de los datos sin comprometer la identidad del paciente, pero no equivale a anonimización y puede ser vulnerable ante ataques de reidentificación⁸.

Descentralización de información

La cadena de bloques o blockchain permite disponer de una base de datos distribuida y descentralizada en la que cada operación genera un registro inmutable. Implantar esta tecnología en el ámbito sanitario garantizaría la trazabilidad de la información y hasta permitiría a los pacientes autorizar o revocar el acceso en tiempo real⁹. Aunque reduciría el riesgo de manipulación y facilitaría la auditoría de las transacciones, el hecho de que un bloque no se pueda modificar choca con el derecho de rectificación y supresión que garantiza el RGPD³.

El InterPlanetary File System (IPFS) es una tecnología descentralizada de almacenamiento que fragmenta los datos, los distribuye en una red y los recupera mediante un identificador criptográfico único¹⁰. En entornos hospitalarios se podría combinar con blockchain para verificar la integridad de los archivos y registrar el historial de accesos como alternativa a los sistemas centralizados, que suelen concentrar más riesgos de sufrir ciberataques¹¹.

Formación a usuarios

La concienciación para que los sanitarios que trabajan con datos sensibles de pacientes sean más conscientes de su labor se puede realizar mediante¹²:

• La jerarquización de los niveles de acceso a la información.
• La documentación de los procedimientos a seguir.
• La elaboración y ratificación de acuerdos de confidencialidad.
• La impartición de cursos de formación y sesiones de sensibilización.
• La actualización periódica de las funciones de los empleados que tratan esa información y acceden a su contenido.
• La realización de acciones de comunicación interna para recordar los protocolos relacionados con este proceso.

Responsabilidad de gestión

Para que el personal sanitario pueda cumplir su función de la manera más eficiente y segura posible, los responsables de los centros sanitarios tienen que¹².

• Instaurar un mecanismo automático que bloquee la sesión cuando el equipo de trabajo no se utiliza durante un periodo de tiempo.
• Instalar software de seguridad y actualizar las aplicaciones de manera periódica.
• Habilitar sólo los puertos de comunicación que sean estrictamente necesarios.
• Respaldar el almacenamiento de los datos en más de un lugar y realizar copias de seguridad.La documentación de los procedimientos a seguir.

Fuentes:

1.Your Europe, Reglamento general de protección de datos https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_es.htm

2. Boletín Oficial del Estado, Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, Artículo 16. Usos de la historia clínica. https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188#a16

3. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) https://www.boe.es/doue/2016/119/L00001-00088.pdf

4. Boletín Oficial del Estado, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. https://www.boe.es/eli/es/lo/2018/12/05/3

5. Agencia Española de Protección de Datos, Guía para pacientes y usuarios de la Sanidad https://www.aepd.es/guias/guia-pacientes-usuarios-sanidad.pdf

6. Boletín Oficial del Estado, Código Penal https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444#a197

7. Ministerio de Sanidad, Historia Clínica del Sistema Nacional de Salud (HCDSNS) https://www.sanidad.gob.es/areas/saludDigital/historiaClinicaSNS/home.htm

8. Springer Nature link, Tokenization of electronic health records and healthcare data: enhancing security and privacy while enabling usability https://link.springer.com/article/10.1007/s12553-025-01012-3

9. BM, ¿Qué es blockchain? https://www.ibm.com/mx-es/think/topics/blockchain

10. InterPlanetary File System https://ipfs.tech/

11. EURASIP Journal on Wireless Communications and Networking, A blockchain-based secure storage scheme for medical information https://jwcn-eurasipjournals.springeropen.com/articles/10.1186/s13638-022-02122-6

12. Comité Europeo de Protección de Datos, Datos personales seguros https://www.edpb.europa.eu/sme-data-protection-guide/secure-personal-data_es