La protección de datos socio/sanitarios a examen

La Agencia de Protección de Datos ha publicado los resultados del Plan de Inspección Sectorial de Oficio de la Atención Sociosanitaria, como parte de su estrategia de medición del cumplimiento de la protección de datos en los diferentes ámbitos de actuación de las empresas y organismos que prestan estos servicios.

La sanidad, y la atención social, vienen posicionándose desde hace años, como sectores críticos en materia de protección de datos, entre otras razones por: la tipología de datos afectados, tratamientos masivos de datos de pacientes o personas con necesidades de atención social, abundante normativa que afecta a la gestión de los servicios prestados y el intercambio necesario de información, etc.

La Agencia concluye que no existe como tal una normativa reguladora convergente y por ello cambia el término “sector sociosanitario” por el de “espacio sociosanitario”. La atención sociosanitaria definida en art. 14 de la Ley 16/2003, de 28 de mayo, de Cohesión y Calidad del Sistema Nacional de Salud: ” La atención sociosanitaria comprende el conjunto de cuidados destinados a aquellos enfermos, generalmente crónicos, que por sus especiales características pueden beneficiarse de la actuación simultánea y sinérgica de los servicios sanitarios y sociales para aumentar su autonomía, paliar sus limitaciones o sufrimientos y facilitar su reinserción social.”

 

Como resultado del estudio destacamos algunas de las principales conclusiones y recomendaciones a las que llega la Agencia en relación con los problemas encontrados en la gestión de los datos personales en estos espacios sociosanitarios:

 

  • Abundancia de categorías especiales de datos y la necesidad de la existencia de medidas de seguridad adecuadas y aplicación del principio de minimización debiendo implementar medidas técnicas que lo garanticen.
  • Falta de integración de las historias sociosanitarias y gran dispersión de documentos en las Centros, generando falta de actualización y de integridad de la información, riesgos ante la dispersión, problemas de disponibilidad. Se recomienda la digitalización como medio seguro de custodia de la información, políticas de mesas limpias, procesos de destrucción segura.
  • Intercambio de abundante información entre profesionales. Los perfiles de acceso no están bien definidos y en ocasiones resultan demasiado amplios, o incluso existen usuarios genéricos. Se recomienda trabajar en la elaboración de perfiles y documentar la relación de usuarios. Hay que estructurar la información y configurar los accesos con un estudio minucioso de los datos y las necesidades de los colectivos de profesionales.
  • Confidencialidad como base de las relaciones con los profesionales y usuarios que alcance tanto a personal propio como externo. Se debe revisar que todas las personas implicadas en el tratamiento estén bajo este compromiso.
  • Falta de información actualizada en cuestionarios, formularios, carteles, etc. Confusión en los conceptos de finalidad, legitimación, datos sobre como ejercitar los derechos incompletos. Se recomienda el uso de lenguaje claro, sencillo, inclusión de leyendas informativas en todos los formularios o cuestionarios, informar en la recogida de los datos, la oferta del documento único de información debe ir acompañada de una copia al afectado o ser fácilmente accesible de forma posterior. Determinación concienzuda de la base de legitimación para el tratamiento teniendo en cuenta para cada caso el artículo 6 y 9 del RGPD.
  • Recogida irregular de consentimientos teniendo en cuenta la situación real de los afectados que pueden llegar a no estar en condiciones de prestarlo libremente. Problemas a la hora de informar a los familiares. Se deben recoger finalidades claras y consentimientos con acciones afirmativas de la voluntad, prestados por personas capaces o sus representantes acreditados.
  • Flujos de datos entre organismos y centros sin cifrar, con medios obsoletos como el fax, etc. Se recomienda que el uso del fax se prohíba, cifrado en las comunicaciones.
  • Falta de actualización en los contratos con proveedores de servicios, especialmente los encargados de tratamiento. Se debe proceder a la actualización y vigilar que los términos de los contratos propuestos tengan todas las obligaciones del RGPD.
  • Por último, llevar a cabo políticas de seguridad en base a los análisis de los riesgos. Evaluaciones de impacto para todos los nuevos tratamientos por el alto riesgo.

 

Se recomienda a nuestros lectores, especialmente aquellos de sectores sociosanitarios, una lectura detallada del Plan y en contraste con los controles de sus Sistemas de Gestión de Protección de Datos, a fin de poner en marcha las recomendaciones establecidas.

#helas #dataprotection #GDPR #datos sociosanitarios #riesgos#privacy #privacidad

María Victoria López Carnevali 

Asesor Jurídico- Auditor de Helas Consultores