Texto del artículo publicado en Aranzadi, Legal Today, 21.09.2020, en colaboración.
Recientemente la Agencia Española de Protección de Datos (AEPD) ha publicado el “Plan de Inspección de Oficio de la Atención Sociosanitaria” para verificar el cumplimiento de la normativa de protección de datos personales en el ámbito sanitario. Esto supone un nuevo reto para las entidades de atención sociosanitaria, cuyo número ha aumentado exponencialmente para atender a una población mayor cuya esperanza también ha crecido en los últimos años. Y todo ello en pleno impacto de la crisis del Covid-19 en todo el sistema sanitario.
El objetivo del plan es que los propios centros sociosanitarios, como responsables de tratamiento de los datos, y las terceras entidades o encargados de tratamiento de dichos datos, conozcan y cumplan las obligaciones legales del RGPD y de la LOPDyGDD.
El objetivo del plan es que los propios centros sociosanitarios, como responsables de tratamiento de los datos, y las terceras entidades o encargados de tratamiento de dichos datos, conozcan y cumplan las obligaciones legales del Reglamento (UE) 2016/679 (RGPD) y de la Ley Orgánica 2/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDyGDD),
En esta labor de cumplimiento, el Delegado de Protección de Datos (DPD) desempeñará un rol fundamental. Los centros sanitarios deben designar a un DPD para que vele por el correcto cumplimiento de la normativa, a fin de evitar sanciones por un inadecuado procesamiento de datos de carácter especial. Pero también debe informar y asesorar al responsable o al encargado de tratamiento y a los empleados, colaborar en la realización de la evaluación de impacto sobre la protección de datos y supervisar su aplicación.
Estos son algunos aspectos que la AEPD señala como de especial cuidado:
- Identificación de la clase de datos tratados
Las entidades sociosanitarias deben ser conscientes de que gran parte de los datos personales que tratan son de categoría especial (sensibles): relativos a la salud física o mental del pasado, presente o futuro, datos genéticos y biométricos.
Por ello, deben ofrecer garantías de que el tratamiento de los datos es adecuado, pertinente y limitado a lo estrictamente necesario. Además, como responsables de tratamiento, deben aplicar las medidas técnicas y medidas organizativas para proteger los derechos de los usuarios/interesados, como la seudonimización, que impide que el dato pueda atribuirse a un interesado sin utilizar información adicional. Para incrementar las garantías, la información adicional debe figurar por separado.
- Gestión y almacenamiento de los datos de salud
Se recomienda la utilización e implementación de un solo mecanismo para la elaboración y conservación de los historiales clínicos, con el objetivo de evitar su dispersión y desprotección de los datos personales de carácter especial (sensibles). Con esta medida también se cumplirá con el principio de exactitud y facilitará su actualización, incluyendo medidas para su supresión o rectificación. La figura del Delegado de Protección de Datos vuelve a ser fundamental para cumplir el RGPD y también la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en materia de Información y Documentación Clínica (LAP).
- Confidencialidad y limitación de acceso a documentación
Las entidades sociosanitarias deben restringir el acceso a los datos personales de categoría especial a los trabajadores. Se recomienda al centro sanitario elaborar perfiles específicos atendiendo a su función profesional, diferenciando el tratamiento de los datos denominados “administrativos” y los “clínicos y asistenciales”.
Se deberán respetar los principios de integridad y confidencialidad en el tratamiento de datos, desde el diseño y por defecto. Los sistemas de seguridad deben incluir medidas contra su tratamiento ilícito, pérdida, destrucción o daño accidental, para evitar posibles infracciones por falta de garantías necesarias.
- Deber de información en la recogida de datos
La entidad sociosanitaria debe mantener todos los carteles informativos actualizados, con información clara para el usuario sobre la finalidad de la recogida de sus datos.
Cuando se obtengan los datos personales directamente de un interesado, se informará en el momento de la recogida (y no del ingreso) de la identidad y datos de contacto del responsable de tratamiento y de su representante, del delegado de protección de datos, así como de los fines del tratamiento, los destinatarios de los datos personales y, si es el caso, de la intención de transferir sus datos a un tercer país u organización internacional.
¿Y si el ingreso es de urgencia? Se facilitará una copia al usuario del documento firmado, a fin de poder facilitar con posterioridad una consulta detallada, para asegurar que comprende el texto.
- Solicitud de información a familiares o terceros
Se deberá establecer un procedimiento para recabar el consentimiento explícito del paciente sobre si desea que se facilite información sobre su presencia y ubicación en el centro a personas o familiares que lo pregunten. El responsable debe poder probar que ha obtenido el consentimiento.
Si el paciente no se ha opuesto, el centro puede informar que la persona se encuentra ingresada y su ubicación en casos de urgencia vital o cuando sea necesaria la presencia de familiares, pero sin indicar datos de categorías especiales. Aunque la AEPD no lo menciona, convendrá tener en cuenta el criterio e indicaciones de la dirección médica.
- Garantías de cumplimiento de los contratos con los encargados de tratamiento
La entidad sociosanitaria será la responsable de elegir diligentemente a aquellos encargados de tratamiento que ofrezcan las garantías suficientes para aplicar medidas técnicas y organizativas apropiadas. En los servicios sociosanitarios que conlleven el tratamiento de datos personales, se deberá prohibir el acceso a dicha información sensible. Por ello, es recomendable incluir en las cláusulas de estos contratos el contenido obligatorio del encargo de tratamiento y los compromisos de confidencialidad.
Fuente Original: Aranzadi, Legal Today, 21.09.2020
© Efrén Díaz Díaz
Abogado y Doctor en Derecho. Responsable de las Áreas de Tecnología y Derecho Espacial del Bufete Mas y Calvet.