Medidas recomendadas por la AEPD para el sector sociosanitario. ¿Qué hacer con los datos de los pacientes?

La atención asistencial y sociosanitaria se ha convertido en un servicio esencial en estos momentos, debiéndose prestar especial atención a cuestiones como la protección y seguridad de los datos asistenciales o sanitarios implicados. Por otra parte, el incremento exponencial de los ciberataques a los sistemas de información hospitalarios y el consiguiente robo o acceso indebido a la información protegida ha puesto de relieve la absoluta necesidad de adoptar medidas urgentes en este ámbito.

Es por ello que resulta tan importante el que la Agencia Española de Protección de Datos haya publicado su Plan de Inspección de oficio de la atención sociosanitaria, en el que, ha evaluado la exposición al riesgo de las actividades de tratamiento en los servicios sociosanitarios, con relación a los derechos y libertades de las personas, así como las garantías que deben implementarse respecto a la protección de los datos afectos a estos servicios, recogiendo evidencias, realizando recomendaciones y sopesando su impacto para determinar el grado de cumplimiento, así como el mantenimiento de estas garantías.

En este ámbito, la AEPD formula el siguiente decálogo de recomendaciones:

  1. Se debe ofrecer información al usuario preferiblemente en capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Brindar información clara, transparente y sencilla es la clave para mejorar la confiabilidad del usuario en los servicios sociosanitarios prestados e incide, de forma directa, en la competitividad y diferenciación de tales servicios.
  2. Para cada actividad de tratamiento que se realice hay que identificar su base jurídica, que será una o varias de las recogidas en el art. 6 del RGPD en conjunción con las condiciones de tratamiento previstas en el art. 9.2.h) del RGPD. Mantener Registros de Actividades de Tratamiento en consonancia con la ley y actualizarlos debidamente conforme las políticas dispuestas al efecto por la entidad resulta crucial.
  3. Se debe minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario, sin mermar la atención sociosanitaria. La AEPD indica que no es válido permitir un acceso total a los datos de los usuarios a todos los profesionales que intervienen en la atención. Es necesario elaborar perfiles de acceso que consideren las necesidades de información de cada profesional, desde el diseño de las aplicaciones, aplicando por defecto los privilegios de acceso mínimos necesarios para prestar la atención al usuario.
    Esta afirmación debe ponerse en relación, por ejemplo, con situaciones y obligaciones legales específicas de compartición de datos e información como la que prevé, por ejemplo, la reciente Orden SND/404/2020, de 11 de mayo, de medidas de vigilancia epidemiológica de la infección por SARS-CoV-2 para la mejor vigilancia epidemiológica en relación a este virus.
  4. Todos los empleados que traten datos personales de los usuarios deben suscribir un compromiso de confidencialidad. Asimismo, en todos los contratos de encargado de tratamiento deberá establecerse como obligatorio la firma del compromiso por parte de los empleados del encargado, siendo deseable que el modelo de compromiso concreto conste anexo al contrato de encargo. Esto es muy importante por lo que se refiere a las garantías que deben ofrecer los proveedores externalizados de servicios en estos casos.
  5. Se debe evitar que los documentos en papel se encuentren dispersos en diferentes ubicaciones del centro y su traslado debe realizarse con las suficientes medidas de seguridad (custodiados en todo momento y en sobre cerrado). Es necesario crear procedimientos seguros para el traslado de la documentación y su almacenamiento, con mecanismos que impidan su acceso a personas no autorizadas.
  6. No se deben utilizar usuarios genéricos, cuya utilización se comparte entre varios empleados, para el acceso a datos de carácter personal, ni de carácter básico ni de categorías especiales, ya que ello supone una vulnerabilidad de la seguridad de los datos, sin perjuicio de la posible merma de confidencialidad añadida.
  7. Debe recabarse el consentimiento del usuario para facilitar información a familiares sobre su estancia o ubicación en el centro, así como de su estado de salud. Ahora bien, en el supuesto de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre y cuando el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.
  8. Desde una perspectiva de protección de datos, no se debería utilizar el fax ni el correo electrónico sin cifrar para la remisión de documentación que contenga datos personales de categorías especiales, como pueden ser datos de salud u otros datos como informes sociales, psicosociales o de evaluación. El cifrado de los datos personales es una medida de seguridad recomendada con carácter transversal, máxime si nos encontramos antes datos sensibles.
  9. Los contratos de encargo de tratamiento deben especificar todas las obligaciones estipuladas por el RGPD, que deben ser consideradas y cumplidas durante la contratación, estableciendo los mecanismos necesarios para ello. En los contratos de prestación de servicios sin acceso a datos personales se debe prohibir expresamente el acceso a los mismos, e informar a los trabajadores de dicha prohibición. En el contrato deben considerarse también posibles accesos accidentales o fortuitos, con un compromiso de confidencialidad.
  10. Las políticas de seguridad deberán basarse en el Análisis de Riesgos. Se considera que la Evaluación de Impacto relativa a la Protección de Datos (EIPD) es obligatoria para los nuevos tratamientos de los centros sociosanitarios, al presentarse datos de categorías especiales en número suficiente, considerando además la vulnerabilidad de sus usuarios y entendiendo que supone un alto riesgo para los derechos y libertades de estos.

Noemí Brito e Ingrid González 
Área de Tecnología, Innovación y Economía Digital

2 Comments

  • Julio Santiago

    Noemí me parece un buen artículo pero has de tener en cuenta que hay diversos documentos que se deben de separar estrictamente, las historias clínicas, porque dichos usuarios tienen una HC, y la historia social en la que intervienen los trabajadores sociales, en estas historias sociales hay ingresos involuntarios ordenados judicialmente, o bien se nombran a un tutor o administrador judicial bien institucional o familiar. Esta bien pero necesita bajo mi opinión que discutible, una vuelta de tuerca. Pero lo básico está.
    Atentamente.
    Julio Santiago.
    👏👏👏👌

    • Ceca Magan

      De parte de Noemi Brito – Autora del post-

      Hola Julio, muchas gracias por haber leído nuestro post y por tus comentarios al mismo. Te lo agradecemos de forma especial dada tu visión experta sobre estos temas. Como bien indicas, la temática sobre la documentación clínica daría para mucho y, ciertamente, en el Plan de Inspección sectorial de la Agencia, comentado de forma muy sintética en nuestro artículo, quizás no se aborda con toda su amplitud. También hay otros temas cruciales, que hemos tenido la ocasión de comentar entre nosotros en alguna ocasión previa, relativos a los retos legales (y de otra índole) relacionados con la teleasistencia o telemedicina (más en estos tiempos que corren) y que darían igualmente para mucho.

      En definitiva, múltiples desafíos y cuestiones aún por abordar y racionalizar en el sector sanitario y asistencial. Lo dicho, millones de gracias por tu contribución y por tu atenta y certera mirada a estos temas.
      Un abrazo, Noemí.

Post A Comment