Adecuación hospitalaria a la LOPD (Informe de la AEPD)

Adecuación de los hospitales a la LOPD (Informe de la Agencia)

La Agencia Española de Protección de Datos sacó a luz en octubre de 2010 las conclusiones de un informe sobre el cumplimiento de la normativa en protección de datos de carácter personal por parte de los hospitales.

Este informe responde a la gran cantidad de cuestiones planteadas por los usuarios de hospitales respecto a la falta de diligencia en el tratamiento de datos que, en su mayoría, deben tener medidas de seguridad de nivel alto.

En este informe se requirió a más de 600 hospitales para que atendieran a las peticiones de información sobre inscripción de los ficheros, derechos de ARCO (acceso, rectificación, cancelación y oposición), medidas de seguridad, control y registro de acceso, copias de seguridad, auditoría bienal etc.

El 90% de los hospitales contestaron a la petición, rellenando el formulario de adecuación a la LOPD, en general el cumplimiento de la normativa es alto.

Los centros privados tenían una mayor calidad en la protección de los datos que los públicos, cosa que sorprende, ya que precisamente deberían ser los centros públicos los que dieran ejemplo en el tratamiento de los datos de carácter personal, los principales errores se cometen en el acceso a los historiales clínicos debido a que no se cumplen los requisitos legales en cuanto al registro, control o transporte, lo que en la práctica ocasiona la perdida o revelación de la información que contienen, otra de las deficiencias se encuentra en las cláusulas que deben informar al paciente de la recogida de datos y en la auditoría bienal del documento de seguridad.


¿Y que ocurre con los hospitales que no contestaron el informe?

La AEPD les abrirá un expediente sancionador por infracción grave, recordemos que este tipo de infracción tiene un coste que oscila entre los 60.000 y los 300.000 euros, estas sanciones tan elevadas no tienen su razón de ser en lo importante que resulta para los pacientes que sus datos de salud mantengan la confidencialidad, la ley no distingue entre organismo infractores, pudiendo imponer estas cantidades a cualquiera que incurra en una vulneración grave de la protección de los datos.

Sin ir más lejos hace unos años se le abrió expediente sancionador a una conocida óptica por revelación de datos, debiendo hacer frente a 60.000 euros de multa, hay que estacar que todo ocurrió por negligencia de uno de sus trabajadores, por esto se considera tan importante para el empresario o autónomo crear una cadena de custodia segura que se respete tanto por los trabajadores como por los proveedores, personal externo, subcontratas etc… ya que a fin de cuentas será el titular del fichero (la persona o entidad que recoge los datos y decide acerca de su uso, contenido y finalidad) el que responderá por la vulneración de la LOPD con costes que van desde los 600 euros a los 600.000 euros.

La recomendación es clara, debemos tener una protección de los datos actualizada, intentando que las personas que estén a nuestro cargo la respeten e intentar contratar a empresas o particulares que también realicen dichas medidas.

¿Qué medidas no suelen aplicarse?


Una:
En cuanto al plazo de conservación de determinadas partes del historial clínico, la mayoría de los hospitales siguen anclados en el desfasado ya plazo de los 5 años, que proviene de la Ley 41/2002, también conocida como de Autonomía del Paciente, aunque en realidad se llama de Información y Documentación Clínica, Autonomía del Paciente, Derechos y Obligaciones. Pues bien, dicho precepto remite a la normativa sanitaria propia de cada Comunidad Autónoma (con competencias en esta materia, naturalmente), a fin de que la misma desarrolle dicho aspecto. Un ejemplo: En Canarias, y según la norma que lo regula (el Decreto Canario de Historias Clínicas, que entró en vigor el 9.8.5)hay partes del historial que se podrán destruir a los 5 años, otras a las 20, y otras que no se podrán destruir nunca. El incumplmiento de ello supondría una infracción grave a tenor del cuadro de sanciones contemplado en la LOPD, cuyo tramo de multa iría de 300.000 a 600.000 euros.

Otra:
Cuestiones aparentemente tan inocentes como que, cuando hay gente esperando en una sala de espera, y se las va citando, llamarlas por su nombre, de modo que el resto de los pacientes acceden de tal modo a la identidad completa de la persona llamada (no digamos ya cuando ello se produce en la sanidad pública, y ello se efectúa por megafonía, recorriendo dicho sonido salas o plantes que pueden tener unos 40 metros o más, repletos de ciudadanos esperando su turno). En sentido estricto, supondría una cesión de datos, igualmente sancionable como el ejemplo anteriormente expuesto, por la LOPD; con multas que podrían de los 300.000 a los 600.000 euros.


¿Necesito realizar auditorías (de protección de datos) y controles periódicos?

Pues sí, y no por capricho, sino como consecuencia de lo previsto en la LOPD y sus normas de desarrollo. La auditoría es una vez cada dos años, salvo que durante intervalo de tiempo haya habido un cambio sustancial en ei sistema de información. Observermos que no se dice sistema “”informático””, sino n””de información””, concepto éste más amplio que el anterior (pues incluiría, por ejemplo, el tratamiento de la información en soporte físico (placas radiológicas, analíticas en papel, etc.). A su vez, y por lo menos dos veces al años, habremos de efectuar controles, a fin de verificar y que las normas de seguridad se están realmente aplicando. El modo y frecuencia de ello habrá de estar plasmado en el correspondiente documento de seguridad. Hoy por hoy, dichas auditorías y controles no habrán de inscribirse en ningún lugar, aunque cuando el reglamento actual de la LOPD estaba en fase de borrador se discutió acerca de si las auditorías habría que inscribirlas o no en la Agencia Española de Protección de Datos, optándose al final por la respuesta negativa.


Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: