COMPROMISO DE CONFIDENCIALIDAD Y DEBER DE SECRETO DEL PERSONAL
Art. 5 LOPDGDD · art. 9.3 RGPD · art. 16.6 Ley 41/2002 · art. 199 Código Penal
Documento de firma obligatoria para todo el personal que acceda a datos de pacientes: personal sanitario, personal administrativo y de recepción, becarios, personal en prácticas y colaboradores externos con acceso a los sistemas. Se firma al inicio de la relación y se conserva mientras dure y tras su finalización.
Responsable del tratamiento (centro): [Nombre y apellidos de la médica], NIF [ ], con centro sanitario en [dirección].
Persona que se compromete: - Nombre y apellidos: [ ] - DNI/NIE: [ ] - Puesto / función: [ ] - Categoría: ☐ Personal sanitario ☐ Personal administrativo ☐ Becario/en prácticas ☐ Colaborador externo - Nº de colegiado (si procede): [ ]
MANIFIESTA Y SE COMPROMETE
Primero. Deber de secreto y confidencialidad. Toda la información sobre los pacientes a la que acceda por razón de su puesto (muy especialmente los datos de salud e imágenes clínicas, que son categoría especial de datos) tiene carácter estrictamente confidencial. Se compromete a guardar secreto sobre ella y a tratarla solo en la medida imprescindible para desempeñar sus funciones. Este deber de secreto es complementario del secreto profesional sanitario y de confidencialidad del art. 5 LOPDGDD, del art. 9.3 RGPD y del art. 16.6 de la Ley 41/2002.
Segundo. Subsistencia tras la relación. El deber de confidencialidad subsiste aunque finalice la relación laboral, mercantil, formativa o de colaboración con el centro, y con carácter indefinido. La terminación del contrato no libera del secreto.
Tercero. Uso conforme a instrucciones y por necesidad. Accederá únicamente a los datos que necesite para su función (principio de necesidad, need-to-know) y los tratará solo siguiendo las instrucciones y protocolos del Responsable. No accederá a historias clínicas ni a datos de pacientes por curiosidad, interés personal o cualquier motivo ajeno a la asistencia o a su cometido. El acceso indebido del propio personal a la historia clínica es una de las infracciones más frecuentes y se considera falta grave.
Cuarto. Prohibiciones expresas. Se compromete a no: - Comunicar, ceder, divulgar ni comentar datos de pacientes a terceros no autorizados, dentro o fuera del centro, incluido el entorno familiar o social. - Extraer, copiar, fotografiar, reproducir o sacar del centro documentación o soportes con datos de pacientes sin autorización. - Difundir imágenes de pacientes por ningún canal (redes sociales, mensajería, correo personal). La publicación de imágenes de pacientes solo la realiza el centro con el consentimiento específico del interesado. - Utilizar credenciales de acceso ajenas ni ceder las propias; mantendrá la confidencialidad de sus contraseñas y activará el doble factor cuando el sistema lo requiera. - Tratar los datos para fines propios o distintos de los del centro.
Quinto. Medidas de seguridad. Cumplirá las medidas técnicas y organizativas del centro (art. 32 RGPD): bloqueo de sesión al ausentarse, política de mesa limpia y pantalla limpia, custodia de la documentación en papel, destrucción segura de soportes, y no instalación de software no autorizado.
Sexto. Brechas de seguridad. Comunicará de inmediato al Responsable cualquier incidente que pueda suponer una violación de la seguridad de los datos (pérdida o robo de dispositivos, envío erróneo de información, acceso o divulgación indebidos, sospecha de ataque), para permitir la eventual notificación a la AEPD en el plazo de 72 horas (art. 33 RGPD).
Séptimo. Consecuencias del incumplimiento. Conoce que el incumplimiento del deber de secreto puede dar lugar a responsabilidad disciplinaria, a responsabilidad administrativa conforme al RGPD y la LOPDGDD, y a responsabilidad penal. En particular, el art. 199 del Código Penal castiga con pena de prisión y multa a quien revele secretos ajenos de los que tenga conocimiento por razón de su oficio o sus relaciones laborales, y prevé pena agravada e inhabilitación para el profesional que incumpla su obligación de sigilo o reserva. La revelación de datos de salud puede constituir asimismo el tipo del art. 197 (descubrimiento y revelación de secretos).
Octavo. Formación. Declara haber recibido información y formación básica sobre sus obligaciones en materia de protección de datos y confidencialidad, y se compromete a actualizarla conforme el centro lo indique.
Leído y conforme, firmo este compromiso, que asumo libremente y del que recibo copia.
En [localidad], a [fecha].
| La persona que se compromete | Por el centro (Responsable) |
|---|---|
| [Nombre y apellidos] | [Nombre y apellidos de la médica] |
| DNI/NIE: [ ] | |
| Firma: | Firma: |
Documento a conservar por el Responsable durante la relación con la persona firmante y tras su finalización, como prueba del cumplimiento del deber de formar e informar al personal (art. 5.2 LOPDGDD).