La protección de datos personales es un derecho fundamental recogido en el artículo 18.4 de la Constitución española, donde dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos, así como en su artículo 10, que reconoce el derecho a la dignidad de la persona.
Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Conocido también por sus siglas RGPD.
En los centros y organizaciones sanitarias debe existir documentación donde se informa acerca del tratamiento de los datos personales y de la existencia de ficheros, si los hubiera, con datos personales.
En relación con los datos de salud, el menor de edad mayor de 14 años puede ejercitar por sí solo el derecho de acceso a su historia clínica, pero no oponerse a que lo hagan sus padres o tutores.
Los centros y organizaciones sanitarias, así como cualquier profesional sanitario que tenga un ejercicio individual (consulta) facilitarán el acceso a la historia clínica de las personas fallecidas que hayan sido pacientes suyos a sus familiares, salvo que la persona fallecida lo hubiese prohibido expresamente y así se pueda acreditar. En cualquier caso, no se debería facilitar información de la persona fallecida que afecte a su intimidad ni a las anotaciones subjetivas de los profesionales, ni aquellas anotaciones que puedan perjudicar a terceros. Salvo que exista un requerimiento judicial, el derecho de acceso a la historia clínica no incluye la identificación de los profesionales sanitarios que accedan a la historia.