TOP

CUMPLIMIENTO DE LA LOPD EN HOSPITALES

Estas y otras causas han sido la principal motivación que ha llevado a la Agencia Española de Protección de Datos (AEPD) a plantearse la realización de un informe que se hizo público el pasado mes de octubre y que versa sobre el cumplimiento de la LOPD en centros que componen el Catálogo Nacional de Hospitales (ver DM del 14-X-2010). En el dictamen se recogen resultados y conclusiones del análisis iniciado el pasado mes de marzo. En general se pueden apreciar distintas carencias en el cumplimiento de las garantías de protección de datos por parte de los centros, y lo que llama la atención es que el grado de cumplimiento es mayor en centros privados que en los públicos.

Aspectos sin aclarar, cabe destacar que el informe sigue sin clarificar el cumplimiento real de los registros de accesos a datos de salud en soporte papel. Una de las principales causas puede ser que en el cuestionario enviado a los centros la pregunta se formula de manera genérica. Tal vez muchos de los centros pueden haber contestado que sí cumplen, interpretando que la pregunta se refería a accesos a datos informatizados, y aun siendo ese el sentido de la pregunta del cuestionario, no está del todo claro, ya que el cumplimiento de los registros de accesos a datos de salud en soporte papel sigue siendo una cuestión controvertida de difícil cumplimiento. Según el artículo 103.1. del RD 1720/2007, de 21 de diciembre, "de cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado". Difícil cumplimiento.

Llevar un registro de accesos a historias en formato papel en el sentido que marca la normativa es en muchas ocasiones prácticamente imposible y pueden ser muy diversas las razones esgrimidas por algunos de los centros. Una cosa es la limitación de acceso a datos de salud en soporte papel únicamente al personal autorizado y la custodia de la información según establece la normativa (en un entorno de acceso restringido y a través de mecanismos que obstaculicen su apertura y demás preceptos que están razonablemente al alcance de todos los centros) y otra cumplir con el contenido íntegro del referido artículo 103.1. No estaría de más que en un futuro la AEPD clarifique este aspecto.

Por otro lado, el informe destaca el elevado cumplimiento en la obligación de inscribir los ficheros en el Registro General de Protección de Datos. Y es que una cosa es cumplir con el trámite administrativo de la inscripción de los ficheros y otra la correcta implementación de las medidas de seguridad en el centro sanitario. Aunque cada centro, en líneas generales, dispone de la documentación requerida por la LOPD, no están bien implementadas las medidas de seguridad en aras de salvaguardar la confidencialidad de los datos. Esto ocurre porque no están personalizadas cada una de las medidas con los posibles problemas de confidencialidad específicos de cada centro.

En general, informes como el elaborado por la AEPD son una buena iniciativa que sirven para pulsar el grado de cumplimiento de la LOPD en otros sectores obligados por la norma. El informe sigue sin clarificar el cumplimiento real de los registros de accesos a datos de salud en soporte papel, tal vez porque en el cuestionario enviado la pregunta se realiza de forma genérica.

Una cosa es cumplir con el trámite administrativo de la inscripción de los ficheros y otra la correcta implementación de las medidas de seguridad en el centro sanitario ABOGADO ESPECIALISTA EN DERECHO DE LAS NUEVAS TECNOLOGÍAS Y RESPONSABLE DE PROTECCIÓN DE DATOS DEL GRUPO PSN