Farmacéuticos Comunitarios. 2019 Mar 29; 11(1):24-28 DOI: 10.5672/FC.2173-9218.(2019/Vol11).001.05

El consentimiento y el tratamiento de los datos sanitarios del paciente en la prestación y realización de estudios de investigación de servicios profesionales farmacéuticos asistenciales

Introducción

La importancia de los derechos de los pacientes como eje básico de las relaciones clínico-asistenciales ha sido puesta de manifiesto por casi todas las organizaciones internacionales con competencia en la materia (Naciones Unidas, UNESCO, OMS, Unión Europea o el Consejo de Europa, entre muchas otras) que han impulsado declaraciones o, en algún caso, han promulgado normas jurídicas sobre aspectos genéricos o específicos relacionados con esta cuestión (1). La Declaración Universal de Derechos Humanos, del año 1948, fue la referencia para todos los textos constitucionales promulgados desde el final de la Segunda Guerra Mundial, mientras que en el ámbito más estrictamente sanitario, fue la Declaración sobre la promoción de los derechos de los pacientes en Europa, promovida en el año 1994 por la Oficina Regional para Europa de la Organización Mundial de la Salud (2). Por otro lado, hay que destacar la entrada en vigor en España, el 1 de enero de 2000, del Convenio del Consejo de Europa para la protección de los derechos humanos y la dignidad del ser humano respecto de las aplicaciones de la biología y la medicina (Convenio sobre los derechos humanos y la biomedicina), suscrito en 1997. Este convenio estableció un marco común para la protección de los derechos humanos y la dignidad humana en la aplicación de la biología y la medicina. Proclamó la prevalencia del interés y bienestar del ser humano sobre el interés exclusivo de la sociedad o de la ciencia, tratando la necesidad de reconocer los derechos de los pacientes, entre los cuales resaltaban el derecho a la información, el consentimiento informado y la intimidad (3). En esta misma línea, procede destacar la Carta de los derechos fundamentales de la Unión Europea, del año 2000, que estableció que, en el marco de la medicina y la biología, se respetaría el consentimiento libre e informado de la persona (4).

Los servicios profesionales farmacéuticos asistenciales de farmacia comunitaria (SPFA) se definen como aquellas actividades sanitarias prestadas desde la farmacia comunitaria por un farmacéutico que emplea sus competencias profesionales para la prevención de la enfermedad y la mejora tanto de la salud de la población como la de los destinatarios de los medicamentos y productos sanitarios, desempeñando un papel activo en la optimización del proceso de uso y de los resultados de los tratamientos. Dichas actividades, alineadas con los objetivos generales del sistema sanitario, tienen entidad propia, con definición, fines, procedimientos y sistemas de documentación, que permiten su evaluación y retribución, garantizando su universalidad, continuidad y sostenibilidad (5). Los SPFA son, por tanto, actividades que conllevan actuaciones en el ámbito de la salud de un paciente y están sometidos a la Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (1) que, como su nombre indica, tiene por objeto la regulación de los derechos y obligaciones de los pacientes, usuarios y profesionales, así como de los centros y servicios sanitarios, públicos y privados, en materia de autonomía del paciente y de información y documentación clínica. 

Los principios básicos de esta Ley son los que justifican las consideraciones legales previas que es necesario tener en cuenta en la farmacia comunitaria para la prestación de los SPFA. En este sentido, previamente a la prestación de cualquier SPFA en la farmacia comunitaria, el farmacéutico ha de conocer la información que se le debe proporcionar al paciente para que éste decida si quiere que se lo presten, así como obtener el consentimiento del paciente en caso de que éste acepte participar en estudios de investigación relacionados con la prestación de estos servicios. Además, es importante conocer cómo debe tratar los datos sanitarios que recabe, teniendo en cuenta las diferentes aplicaciones de gestión de las que dispone.

Consentimiento informado del paciente 

La Ley de autonomía del paciente establece que toda actuación en el ámbito de la salud de un paciente necesita el consentimiento libre y voluntario del afectado, una vez que, recibida la información prevista….haya valorado las opciones propias del caso. 

Por tanto, una vez informado sobre un determinado SPFA, el paciente debe decidir si consiente o no en que se le preste. Sin embargo, este consentimiento ¿ha de ser verbal o escrito? 

El consentimiento informado está definido en esta misma Ley 41/2002, como la conformidad libre, voluntaria y consciente de un paciente, manifestada en el pleno uso de sus facultades después de recibir la información adecuada, para que tenga lugar una actuación que afecta a su salud, y es la misma Ley la que responde a esta cuestión indicando que por regla general este consentimiento será verbal salvo en los casos de: intervención quirúrgica, procedimientos diagnósticos y terapéuticos invasores y, en general, aplicación de procedimientos que suponen riesgos o inconvenientes de notoria y previsible repercusión negativa sobre la salud del paciente.

Así pues, según la Ley, los SPFA no requieren un consentimiento por escrito y bastaría con un consentimiento verbal. Sin embargo, hay que tener en cuenta que los SPFA todavía no son conocidos ampliamente por la población, que se trata de servicios novedosos que en su mayoría todavía no han sido regulados por una normativa, ni están financiados por el Sistema Nacional de Salud, y que requieren para su prestación de la colaboración del paciente, por lo que obtener su consentimiento por escrito refuerza la información proporcionada, la transparencia, y, en caso de problemas, que el farmacéutico esté más protegido legalmente. 

Otro argumento a favor de esta recomendación, sería que el consentimiento informado del paciente es uno de los datos que debe figurar en el contenido mínimo de la historia clínica. Además, no debemos olvidar que un inconveniente del consentimiento verbal es que, salvo que haya testigos, no se puede probar que éste se haya otorgado, y por tanto podría generar cierta inseguridad jurídica al farmacéutico comunitario en caso de problemas derivados de la prestación de un SPFA. Por último, otra razón que apoyaría pedir el consentimiento informado del paciente por escrito radica en el hecho de que el paciente también tiene derecho a revocar libremente su consentimiento en cualquier momento, pero por escrito; con lo cual, si fuese el caso, tendríamos que acudir al formato escrito. Por todas estas razones la recomendación sería utilizar un modelo de consentimiento informado de prestación de un determinado SPFA por escrito en el que figurase también un apartado para poder decidir la revocación.

Información necesaria para obtener el consentimiento 

Tal y como se ha comentado en el apartado anterior, para prestar un SPFA es imprescindible que los profesionales que atiendan al paciente proporcionen una información sobre dicho SPFA que, como consecuencia, permita al paciente valorar libre y voluntariamente si decide dar su consentimiento para que se le preste. 

No obstante, en la práctica farmacéutica habitual se podrían plantear una serie de dudas sobre cómo se cumple con la obligación de proporcionar esta información al paciente. Es decir, ¿cómo se proporciona esta información, verbalmente o por escrito?, ¿qué información se ha de proporcionar? ¿a quién se le debe proporcionar?

Algunos farmacéuticos podrían pensar que la información/publicidad escrita (folletos...) o visual (anuncios, carteles…) de un determinado servicio en la farmacia comunitaria podría ser suficiente para cumplir con esta obligación. Sin embargo, el artículo 4 de la misma Ley 41/2002 aclara que la información, que como regla general se proporcionará verbalmente dejando constancia en la historia clínica, comprende, como mínimo, la finalidad y la naturaleza de cada intervención, sus riesgos y sus consecuencias, añadiendo además que ...será verdadera, se comunicará al paciente de forma comprensible y adecuada a sus necesidades y le ayudará a tomar decisiones de acuerdo con su propia y libre voluntad. Además, en cuanto al contenido de dicha información, establece que debe incluir como mínimo “la finalidad y la naturaleza de cada intervención, sus riesgos y sus consecuencias”. De acuerdo con la Ley, esta información, como regla general se proporcionará verbalmente, si bien, parece razonable que con el fin de garantizar que esta información se comunica de forma uniforme, comprensible y adecuada a las necesidades del paciente, y que su contenido pueda ser revisado y actualizado y ayude al paciente a tomar decisiones, evitando equivocaciones y olvidos al realizarse verbalmente (no olvidemos que esta información no puede ser “genérica” y ha de adaptarse a cada SPFA), se opte por proporcionarla, complementariamente, de forma escrita o bien -en caso necesario- por ser leída al paciente.

Además, la misma ley indica que se debe dejar constancia en la historia clínica de la información proporcionada. Sin embargo, como hasta el momento el farmacéutico comunitario no tiene acceso a la historia clínica, no puede dejar constancia del cumplimiento de este requisito. Una opción real con similares garantías podría ser que el paciente confirmase con su firma que ha recibido esta información, plasmándola en un modelo de consentimiento informado del paciente que luego se archive en la historia farmacéutica del paciente.

Por tanto, a pesar de que tanto la información previa sobre la prestación de un SPFA, como el consentimiento informado del paciente para que se le preste, se deben realizar de forma verbal, en la práctica farmacéutica es recomendable que la información verbal se complemente con la escrita obteniéndose el correspondiente consentimiento por escrito del paciente. 

Otro aspecto que hay que concretar en relación con la información y el consentimiento de los SPFA es el relativo a quién es el destinatario de la información y quién debe dar el consentimiento. A este respecto es conveniente recordar que la información se le debe dar tanto al paciente como a las personas vinculadas a él “por razones familiares o de hecho, en la medida que el paciente lo permita de manera expresa o tácita”, lo que ampararía la presencia del cuidador en caso necesario cuando esta se proporcione. En relación con esta cuestión conviene recordar el derecho a la intimidad que también trata la Ley de autonomía del paciente y que engloba tanto a la confidencialidad de los datos como al secreto profesional, y que consiste en la siguiente proclamación de la citada ley: Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley. De ahí que, para garantizar la intimidad de esta información respecto a otras personas, en la farmacia donde se presten SPFA se requiera de una zona de atención personalizada (ZAP) que garantice la confidencialidad de la información proporcionada y facilite que el paciente pueda preguntar sus dudas, así como que el paciente tome la decisión por su propia y libre voluntad. Además, esta obligación se extiende a todo el personal de la farmacia que participe en la prestación de SPFA, tal y como indica la ley: la persona que elabore o tenga acceso a la información y la documentación clínica está obligada a guardar la reserva debida.

En cuanto a los casos en que el paciente no pueda otorgar su consentimiento y sea necesario obtener el consentimiento por representación del paciente, la ley limita esta posibilidad restringiéndola a los supuestos de incapacidad para tomar decisiones y de minoría de edad para comprender el alcance de la intervención. Por lo que, salvo que el paciente sea incapaz legalmente o de hecho (en cuyo caso su consentimiento lo otorgaría su representante legal) el consentimiento lo debe dar siempre el propio paciente. 

Obligaciones relacionadas con el derecho a la protección de datos de carácter personal del paciente en la prestación de SPFA

El derecho a la protección de datos personales es un derecho fundamental protegido por el art. 18.4 de la Constitución Española, que en esencia consiste en reconocer a los ciudadanos un haz de facultades para conocer en todo momento quién, qué y para qué tiene su información personal y poder controlarla, ya sean datos de carácter íntimo o no. De esta manera, se impide el abuso por terceros que pretendan utilizarlos para finalidades que no sean legítimas o que no haya autorizado el interesado.

Las dos normas fundamentales que actualmente regulan el derecho a la protección de datos son el Reglamento europeo de protección de datos (6) (RGPD) y la Ley orgánica de protección de datos personales y garantía de los derechos digitales (7) (LOPD-GDD). Debe significase que el RGPD es directamente aplicable en España sin necesidad de que exista una disposición legal interna que lo establezca (a diferencia de las directivas europeas que necesitan norma de transposición).

Por lo que se refiere a los datos de salud, que serían el tipo de datos que se manejarían con ocasión de los SPFA, el RGPD permite su tratamiento siempre que se den dos condiciones básicas: la primera, que sea necesario para, entre otros fines, la prestación de asistencia o tratamiento de tipo sanitario o social, en virtud de un contrato con un profesional sanitario; y la segunda, que el tratamiento sea realizado por un profesional sujeto a la obligación de secreto profesional, o bajo su responsabilidad, o por cualquier otra persona sujeta también a la obligación legal de secreto.

Las dos citadas condiciones las cumple perfectamente el farmacéutico comunitario cuando realiza un SPFA, pues no cabe duda de que la actividad que lleva a cabo consiste en asistencia sanitaria y tampoco de que es un profesional sanitario sujeto a secreto profesional, como así lo establecen las normas legales y deontológicas que le son de aplicación. Esto significa que el farmacéutico que ha convenido con un paciente la prestación de un SPFA (lo que equivale a un contrato de prestación de servicios) no necesita pedirle a este último el consentimiento informado para tratar sus datos personales de salud, siempre que los mismos sean precisos para la asistencia sanitaria y se utilicen para dicho fin.

Al margen de la cuestión del consentimiento, está la obligación de información que contemplan tanto el RGPD como la LOPD-GDD, y que se refiere fundamentalmente a los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos y conocidos con el acrónimo “derechos ARCO-POL”, a los que habría que añadir también la informiento sobre el derecho a presentar una reclamación ante la Agencia Española de Protección de Datos, si fuera el caso. Aunque la normativa no especifica la forma en que debe facilitarse esta información es recomendable incluirla en el documento de consentimiento informado del SPFA, para que quede constancia escrita de que se facilitó al interesado y, además, para indicarle la dirección postal y electrónica en la que puede ejercitar los citados derechos.

Realización de estudios de investigación con SPFA

Para la realización de estudios de investigación con obtención de datos relacionados con la prestación de SPFA es necesario tener en cuenta si estos se realizan o no con medicamentos, así como el tipo de estudio que se va a realizar, ya que la normativa aplicable y los requisitos que habrá que cumplir serán diferentes en cada caso. Por ejemplo, no es lo mismo un ensayo clínico con medicamentos que un estudio observacional o un estudio de seguimiento prospectivo. No obstante, centrándonos en el objetivo de este artículo, siempre que se vaya a realizar un estudio de investigación con pacientes es necesario informarles del objetivo de éste y pedir su consentimiento. De hecho, este requisito será uno de los necesarios para que el protocolo del estudio sea aprobado por un comité de ética de la investigación (CEI) o por un comité de ética de la investigación con medicamentos (CEIm) en el caso de estudios observacionales con medicamentos. En este contexto, el consentimiento informado se define como: La expresión libre y voluntaria por parte de un sujeto de ensayo clínico de su voluntad de participar en un ensayo clínico determinado, tras haber sido informado de todos los aspectos del mismo que sean pertinentes para su decisión de participar o, en el caso de los sujetos de ensayo menores o incapaces, una autorización o acuerdo de sus representantes legalmente designados de incluirlos en el ensayo clínico (8) y debe ser expresado por el paciente antes de su inclusión en el estudio.

Por lo que se refiere a la utilización de datos de salud con fines de investigación, la regla general es que se necesita obtener el consentimiento informado del paciente. Es decir, no se aplica lo comentado anteriormente para el tratamiento de datos con fines asistenciales (que no requiere consentimiento cuando lo lleva a cabo un farmacéutico comunitario). Por este motivo, si se quisieran utilizar los datos de salud del paciente obtenidos durante el SPFA habría que explicárselo, informarle del tipo de investigación que se quiere llevar a cabo y pedirle que lo autorice de manera expresa (por ejemplo, marcando una casilla específica).

La LOPD-GDD contempla como excepción a la citada regla del consentimiento del paciente para usar sus datos de salud con fines de investigación, el supuesto de que se trate de datos personales seudonimizados (lo que habría que extender también al caso de datos anonimizados) y se cumplan determinadas condiciones. La seudonimización viene a consistir en una codificación de los datos a la que se aplican medidas de seguridad para evitar la identificación, si bien su definición técnica, incluida en el RGPD, es la de un tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable (9).

Los requisitos que contempla la LOPD-GDD para este supuesto de investigación con datos de salud seudonimizados (disposición adicional decimoséptima) consisten en lo siguiente: 1º) que exista una separación técnica y funcional entre el equipo investigador y quienes realicen la seudonimización y conserven la información que posibilite la reidentificación, 2º) que los datos seudonimizados únicamente sean accesibles al equipo de investigación cuando exista un compromiso de confidencialidad y de no realizar ninguna actividad de reidentificación, y cuando se adopten medidas de seguridad específicas para evitar la reidentificación y el acceso de terceros no autorizados. Además, el uso de estos datos tiene que ser sometido a un informe previo del comité de ética de la investigación que tenga que evaluar el estudio de que se trate.

Por último, hay que referirse a un aspecto importante en esta materia y es la distinción entre las figuras de “responsable” y “encargado” del tratamiento de datos. La farmacia comunitaria que realiza un SPFA es la responsable de los datos personales de salud de sus pacientes y será también encargada de dichos datos si los gestiona internamente dentro del establecimiento. Ahora bien, cuando para la prestación de un SPFA utiliza un programa de gestión de dichos datos que administra un tercero ajeno a la farmacia, este último es el encargado del tratamiento. Pues bien, la normativa de protección de datos es muy exigente para estos supuestos en que el responsable y el encargado del tratamiento son distintos y obliga a que exista siempre un contrato de encargado del tratamiento con un clausulado específico, en el que habrá de constar, entre otras previsiones, que el encargado solo puede utilizar los datos para los fines convenidos y ­siguiendo las instrucciones del responsable (de la farmacia), así como que, cuando finalice la relación, habrá de destruir, devolver o entregar dichos datos a un nuevo encargado.

Por tanto, el farmacéutico comunitario deberá disponer de tantos contratos de encargado de tratamiento de datos, como programas de gestión o aplicaciones, plataformas, o app diferentes utilice para el registro de los datos personales y sanitarios de los pacientes a los que atienda o preste un SPFA.

En este sentido, las sanciones económicas para los supuestos de vulneración del derecho a la protección de datos personales son muy elevadas, por lo que conviene ser muy cautos en este terreno y asesorarse siempre que se considere necesario. Si el tratamiento de datos de salud de los pacientes se realiza por la farmacia a gran escala, es decir, con un número muy elevado de pacientes y para diversos servicios, puede ser conveniente designar un Delegado de protección de datos (DPO), que puede ser compartido para varias farmacias. De acuerdo con lo establecido en el RGPD, el DPO tiene entre sus funciones la de informar y asesorar en esta materia al responsable del tratamiento y a los empleados, y supervisar el cumplimiento de las obligaciones.

Referencias bibliográficas

1. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Boletín oficial del Estado, nº274, (15/11/2002). Disponible en: https://www.boe.es/buscar/act.php?id=BOE-A-2002-22188

2. Oficina Regional para Europa de la Organización Mundial de la Salud. Declaración para la Promoción de los Derechos de los Pacientes en Europa (ICP/HLE 121, 28 de junio de 1994). Disponible en: https://www.ffis.es/ups/documentacion_ley_3_2009/Declaracion_promocion_derechos_pacientes_en_Europa.pdf

3. Convention for the Protection of Human Rights and Dignity of the Human Being with Regard to the Application of Biology and Medicine: Convention on Human Rights and Biomedicine. J Med Philos. 2000 Apr;25(2):259-66. https://doi.org/10.1076/0360-5310(200004)25:2;1-O;FT259

4. Carta de los Derechos Fundamentales de la Unión Europea. Diario Oficial de las Comunidades Europeas, nºC 364, (18-12-2000). Disponible en: http://www.europarl.europa.eu/charter/pdf/text_es.pdf

Nota: La Carta, en su adaptación de 12 de diciembre de 2007 en Estrasburgo, fue reconocida con el mismo valor jurídico que los tratados, a raíz del Tratado de Lisboa, de 13 de diciembre de 2007, por el que se modificó el Tratado de la Unión Europea y el Tratado Constitutivo de la Unión Europea (Art. 6.1 del Tratado, Diario Oficial de la Unión Europea. nºC 306, (17-12-2007).

5. Foro AF FC. Servicios Profesionales Farmacéuticos asistenciales; definiciones y clasificación. Panorama Actual del Medicamento 2016;40(395):709-711.

6. Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Diario Oficial de la Unión Europea, nºL119, (4-5-2016). Disponible en: https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=ES

7. Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales. Boletín oficial del Estado, nº294, (6-12-2018). Disponible en: https://www.boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf

8. Real Decreto 1090/2015, de 4 de diciembre, por el que se regulan los ensayos clínicos con medicamentos, los Comités de Ética de la Investigación con medicamentos y el Registro Español de Estudios Clínicos. Boletín oficial del Estado, nº 307, (24-12-2015). Disponible en: https://www.boe.es/boe/dias/2015/12/24/pdfs/BOE-A-2015-14082.pdf

9. Troncoso Reigada A: Investigación, salud pública y asistencia sanitaria en el Reglamento General de Protección de Datos de la Unión Europea y en la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Revista Derecho y Genoma Humano 49/2018: 187-266.