Gestión Práctica del Consentimiento en Datos de Salud
El error #1 en salud
Pedir consentimiento para tratar datos cuando la base legal es otra.
Ejemplo real: Un hospital hace firmar un consentimiento para la HC. El paciente lo revoca. El hospital se queda sin base legal para seguir tratando sus datos… pero tiene obligación legal de conservar la HC.
Solución: Distingue siempre:
┌─────────────────────────────────────────────┐
│ LO QUE HACES │ ¿Consentimiento? │
├─────────────────────┼───────────────────────┤
│ Asistencia sanitaria │ ❌ NO (Art. 9.2.h) │
│ Investigación │ ✅ SÍ o Art. 9.2.j │
│ Marketing │ ✅ SÍ (y nunca datos │
│ │ de salud para esto) │
│ Compartir con tercero│ ✅ SÍ (salvo oblig. │
│ │ legal) │
│ Secondary use (EHDS) │ Opt-out, no consent. │
└─────────────────────────────────────────────┘
Consentimiento para investigación — Modelo práctico
Elementos que debe tener:
□ Finalidad específica del estudio (no vale "para investigación")
□ Qué datos se tratan y durante cuánto tiempo
□ Posibilidad de revocar sin consecuencias para la asistencia
□ Dónde se almacenarán los datos (país, medidas de seguridad)
□ Contacto del investigador y del DPO
□ Firma del paciente + fecha
□ Firma del profesional que informa + fecha
No debe estar:
- ❌ Enterrado en el consentimiento informado del tratamiento médico
- ❌ En letra pequeña
- ❌ Con casillas pre-marcadas
- ❌ Combinado con otros consentimientos (principio de granularidad)
Sistema de gestión de consentimientos
Un sistema mínimamente decente debe:
| Función | ¿Por qué es crítica? |
|---|---|
| Registrar fecha/hora | Demostrar cuándo se obtuvo |
| Almacenar prueba | La firma (digital o manuscrita) |
| Gestionar revocaciones | Si revoca, dejar de tratar para ese fin |
| Registrar fines separados | Granularidad: uno para investigación, otro para datos genéticos |
| Versión del documento | Saber qué versión firmó el paciente |
| Control de cambios | Si cambia el estudio, nuevo consentimiento |
Consentimiento digital
Cada vez más común en apps de salud y telemedicina. Requisitos:
- ✅ No pre-marcado (el paciente debe marcar activamente)
- ✅ Auditable (logs de cuándo se dio, desde qué IP, qué versión)
- ✅ Revocable online (tan fácil como darlo)
- ✅ Prueba de integridad (hash del documento firmado)
- ⚠️ Verificar identidad del firmante (al menos email + SMS, idealmente Cl@ve/firma digital)
El formulario de consentimiento informado sanitario
El consentimiento informado de la Ley 41/2002 (autonomía del paciente) NO es lo mismo que el consentimiento GDPR.
| Aspecto | Consentimiento informado (Ley 41/2002) | Consentimiento GDPR (Art. 7/9) |
|---|---|---|
| Finalidad | Autorizar un acto médico | Autorizar tratamiento de datos |
| Base legal | Ley de autonomía del paciente | GDPR |
| Revocación | Posible (con efectos) | Posible (pro futuro) |
| Forma | Verbal o escrito | Explícito para datos de salud |
Consejo: Puedes usar el mismo formulario para ambos, pero deja clara la separación (una sección para el acto médico, otra para el tratamiento de datos).
Consentimiento para menores
- 14 años en España: el menor puede consentir por sí mismo
- Menos de 14: deben consentir los padres/tutores
- Para datos de salud: se recomienda que siempre intervengan los padres si es posible
- Para investigación con menores: consentimiento del menor + padres (doble)
Checklist: ¿mi consentimiento es válido?
□ Libre → ¿Hay presión? ¿Es condición para recibir asistencia (si no aplica)?
□ Específico → ¿Se detalla el fin concreto?
□ Informado → ¿Se ha dado toda la información del Art. 13?
□ Inequívoco → ¿El paciente ha realizado una acción positiva clara?
□ Explícito → (Para datos de salud) ¿Ha firmado o declarado expresamente?
□ Revocable → ¿Puede retirarlo tan fácil como lo dio?
□ Granular → ¿Puede consentir unos fines y otros no?
Referencias
- ^[raw/papers/reglamento-gdpr-ue-2016-679-es.pdf] Art. 4.11, 7, 9.2(a)
- consentimiento
- articulo-9-datos-salud
- compliance-roadmap