InicioBase de conocimientos › Expediente de personal frente a expediente del paciente
Sanidad

Centro sanitario: expediente de personal frente a expediente del paciente

· 6 min de lectura · DeSnipperaar

Un centro sanitario gestiona dos grandes tipos de archivo que pueden parecerse por fuera, pero que jurídicamente difieren de forma fundamental. Los expedientes de pacientes se rigen por la WGBO con un plazo de conservación de veinte años. Los expedientes de personal se rigen por una combinación de derecho laboral, obligación fiscal de conservación y RGPD, con un plazo que varía de dos a siete años por tipo de documento. La base jurídica difiere, el perfil de riesgo difiere, y el almacenamiento físico o digital debe estar estrictamente separado. Este artículo muestra cómo organizar la separación en la práctica.

Dos archivos, dos regímenes

Expedientes de pacientes: categorías especiales del art. 9 del RGPD, base jurídica la ejecución del contrato de tratamiento (WGBO), plazo de conservación veinte años desde el último contacto. Acceso limitado a los terapeutas y al personal sanitario directamente implicados en el tratamiento. Romper la confidencialidad solo por motivos imperiosos.

Expedientes de personal: datos personales ordinarios con a veces elementos especiales (expediente de prevención laboral), base jurídica la ejecución del contrato de trabajo y una obligación legal, plazos de conservación diferenciados por tipo de documento. Acceso limitado a RRHH, al responsable y a los directamente implicados.

El contexto WGBO ampliado está en nuestro artículo WGBO 20 años de expedientes de pacientes.

Plazos de conservación en orden

Expediente del paciente

  • Expediente principal: veinte años desde el último contacto (WGBO art. 7:454 BW).
  • Para menores: veinte años desde el 18.º cumpleaños.
  • Material de imagen (radiografía, ecografía, RM): acompaña al expediente.
  • Expedientes de ingreso, informes de enfermería, listas de medicación: parte del expediente principal.

Expediente de personal

  • Administración salarial: siete años por motivos fiscales desde el cierre del ejercicio.
  • Contrato de trabajo: hasta siete años tras el fin del contrato.
  • Copia del DNI: por regla general como máximo dos años tras el fin del contrato.
  • Datos de candidatos rechazados: cuatro semanas, con consentimiento hasta un año.
  • Registro BIG y diplomas profesionales: mientras el trabajador esté en funciones más un plazo razonable para reclamaciones de responsabilidad.
  • Expediente de prevención laboral: tras el fin del contrato a menudo se conserva poco tiempo, según la responsabilidad.

Por qué es arriesgado que se mezclen

En consultas sanitarias más pequeñas (médico de cabecera, dentista, fisio, psicólogo GZ) la administración de RRHH es a veces una tarea secundaria del titular de la consulta. Entonces es grande la tentación de conservar los contratos de trabajo del personal en la misma fila de carpetas que los expedientes de pacientes. Riesgos:

  • Un trabajador sanitario, al buscar a un paciente, accede por error a datos laborales de un colega.
  • Un paciente con derecho a copia solicita «todo el expediente» y se va con un contrato de trabajo.
  • En una adquisición o escisión de la consulta queda confuso qué corresponde a dónde.
  • Al destruir tras veinte años se incluyen por error documentos de personal que aún están dentro del plazo de los siete años.
Que se mezclen los expedientes de personal y de pacientes es uno de los fallos silenciosos de estructura en los archivos sanitarios. Solo sale a la luz en una auditoría, una brecha de datos o una adquisición.

Deber de confidencialidad y secreto profesional

El secreto profesional de los profesionales sanitarios (art. 7:457 BW, derecho disciplinario) rige para la información del paciente y es independiente del RGPD. El deber de confidencialidad sobre la información de personal recae en el empleador y en los trabajadores implicados sobre la base de la relación laboral. Cuando conserva ambos tipos en el mismo archivo, hay un riesgo real de que un suceso que afecte al secreto profesional también exponga información de personal.

Separación física y digital

Tres reglas prácticas:

  1. Físico. Expedientes de pacientes en un armario o sala aparte. Expedientes de personal en otro armario o en una caja fuerte en la oficina. Llaves y acceso gestionados por separado.
  2. Digital. Expedientes de pacientes en el sistema de información sanitaria (por ejemplo HIS, software dental, fysiomanager). Expedientes de personal en una herramienta de RRHH o una carpeta protegida. Sin solapamiento de acceso.
  3. Transporte. En un traslado físico (mudanza, reforma, destrucción) la separación permanece intacta. Otra caja, otro contenedor, otro lote.

Vea también nuestra guía rápida de plazos de conservación RGPD para una visión rápida por tipo de documento.

Rutinas de destrucción

Como los plazos difieren, también los ritmos. Los expedientes de pacientes se destruyen por regla general en cohortes anuales o bianuales sobre la base de «último contacto más veinte años». Los expedientes de personal se limpian anualmente en dos volúmenes. La copia del DNI tras dos años desde la salida, el salario y el contrato tras siete años. Mantenga siempre estos volúmenes separados durante la destrucción, aunque solo sea para poder archivar el certificado de destrucción por categoría.

Destrucción móvil in situ

Dada la sensibilidad de ambos tipos de expediente, la destrucción móvil en la ubicación sanitaria es el camino más tranquilo. El vehículo de destrucción acude al centro, se procesan por separado dos lotes a DIN 66399 P-5, se entregan dos certificados y nada sale del edificio intacto. Sobre todo en centros sanitarios con varias ubicaciones esto funciona bien. Planificación por sede, con la certeza de que el secreto profesional no corre peligro por el camino.

¿Separar y limpiar el archivo?

Acudimos a la ubicación sanitaria y destruimos por separado el archivo de personal y el de pacientes. Dos certificados, entregados en el sitio.

Solicita un presupuesto

En resumen

  • Expediente del paciente: veinte años, categoría especial del art. 9 del RGPD.
  • Expediente de personal: plazo diferenciado, de dos a siete años.
  • Almacenar separado física y digitalmente y limitar el acceso.
  • Destruya por volumen, documente por volumen, conserve los certificados por separado.
  • La destrucción móvil in situ evita que el secreto profesional caiga por el camino.

Hay más información por sector en nuestra página para profesionales sanitarios y consultas.