Les dades de salut són considerades per la normativa vigent sobre protecció de dades personals com a dades de categoria especial, i per tant, recau sobre aquestes la prohibició del seu tractament, a excepció que aquest es faci basant-se en una finalitat legítima. En el cas de les històries clíniques, la legitimitat de l’accés a aquesta informació pot provenir d’una de les següents circumstàncies:

• Prestació d’assistència a un pacient concret.
• Realització de tasques administratives i de gestió, en relació amb les dades personals mínimes imprescindibles que calgui tractar.
• Investigació/epidemiologia/docència, amb subjecció als requisits que estableix la normativa sobre protecció de dades (el consentiment previ, exprés i per escrit del pacient) i la normativa sanitària.
• Auditoria interna.
• Petició judicial.

Només tenen accés a les històries clíniques dels pacients aquells professionals de Mútua Terrassa que ho requereixin per a desenvolupar les seves tasques dins l’entitat.

Per accedir a la plataforma informàtica d’històries clíniques electròniques de Mútua Terrassa (“HCIS”), cal autentificar-se amb un codi d’usuari/clau d’accés segur i individualitzat, que permet la traçabilitat de tots els accessos. L’alta dels usuaris es duu a terme d’acord amb el procediment intern d’Alta d’usuaris al fitxer de pacients, i les funcions de consulta/modificació de cada usuari són les que pertoquin segons els perfils professionals definits en aquest procediment. En accedir a l’HCIS cal validar un avís legal específic sobre els deures de confidencialitat i de compliment de la normativa sobre protecció de dades:

De conformitat amb el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en allò que respecta el tractament de dades personals i a la lliure circulació d’aquestes, tot treballador o personal col·laborador que tingui accés a dades de caràcter personal resta obligat a garantir-ne la confidencialitat i a complir amb el deure de secret professional, obligació que es mantindrà fins i tot després de finalitzada la relació laboral o de col·laboració amb l’entitat. Es recorda que tots els accessos queden enregistrats, pel que tot usuari és responsable de mantenir en secret i no compartir la seva clau d’accés personal. L’accés a les dades es produirà única i exclusivament per a l’execució de les funcions de cada usuari, sense que en cap cas les pugui fer servir amb una altra finalitat. Tots els accessos a dades personals de pacients han d’estar justificats per raó de la tasca a desenvolupar per cada treballador o col·laborador. La normativa aplicable en matèria de protecció de dades i el Codi de Bones Pràctiques de l’entitat es troben a disposició dels usuaris a la intranet de l’entitat.”

En compliment del que estableix el Conveni tipus d'adhesió a l'HC3, en el cas de voler accedir a la Història Clínica Compartida de Catalunya, es mostra un tercer avís legal, en aquest cas específic per accedir a HCCC, que també requereix acceptació expressa per part de l'usuari.

Tots els accessos a l'HCIS queden enregistrats en el Registre d'accessos, que és objecte d'una auditoria interna periòdica per a verificar la legitimitat d'aquests accessos, com a mesura de seguretat pel tractament de dades de categoria especial, que es realitza seguint el procediment intern d'Auditoria dels accessos al fitxer de pacients, al qual s'acompanya, en annex, el règim disciplinari segons Conveni, i un esquema de les sancions.

Els usuaris d'HCIS han estat degudament informats d'aquesta mesura, mitjançant el document de Normativa interna de sistemes, els avisos legals en accedir a l'VDI, a l'HCIS i a l'HC3, en la intranet de Mútua Terrassa, i en les comunicacions específiques que s'han tramès als treballadors en aquest sentit.