domingo, 21 de abril de 2013

Reglamento General de Protección de Datos de la Unión Europea :: El Médico Interactivo :: Según el informe de cumplimiento de la Ley de Protección de Datos de Carácter Personal en hospitales los centros públicos respetan menos la norma que los privados

:: El Médico Interactivo :: Según el informe de cumplimiento de la Ley de Protección de Datos de Carácter Personal en hospitales los centros públicos respetan menos la norma que los privados

Según el informe de cumplimiento de la Ley de Protección de Datos de Carácter Personal en hospitales los centros públicos respetan menos la norma que los privados


Madrid (20-22/04/2013) - Ana Montero

El nuevo Reglamento General de Protección de Datos de la Unión Europea, que se prevé para 2014, presenta importantes novedades como el principio de rendición de cuentas; el principio de evaluación de impacto; el principio de transparencia; y otros principios específicos, como el derecho al olvido y el derecho a la portabilidad de los datos
El reto actual para la privacidad es posibilitar una elección efectiva, que el paciente sepa para qué van a ser utilizados sus datos



En el marco de la jornada “e-Salud y Ley Orgánica de Protección de Datos. Retos para el profesional sanitario y de servicios estéticos”, organizado por Círculo Legal, en colaboración con la Fundación Tejerina, expertos en el tratamiento de datos y la trascendencia del derecho fundamental a la protección de los mismos en el sector sanitario, han analizado aquellas cuestiones que un profesional sanitario debe saber en relación con la protección de datos de sus pacientes y clientes.
En este sentido, Jesús Rubí Navarrete, adjunto al director de la Agencia Española de Protección de Datos (AEPD) ha abordado el criterio de la AEPD ante tratamientos de datos de salud y, concretamente, los deberes del responsable del fichero.

Del mismo modo, Rubí se ha referido al informe de cumplimiento de la Ley Orgánica, 15/1999, de Protección de Datos de Carácter Personal (LOPD) en hospitales de toda España, realizado por la Agencia Española de Protección de Datos, del que se extrae que el cumplimiento de la normativa es alto en el conjunto de centros privados, alcanzándose niveles altos en la mayoría de conceptos, tales como inscripción de ficheros; inclusión de cláusulas informativas en los formularios de recogida de datos; implantación de medidas de seguridad y su auditoría periódica. En promedio, y con excepción de las comunidades de La Rioja y Murcia, el nivel de cumplimiento en los centros públicos es menor que en los centros privados y las mayores diferencias con estos se dan en la inclusión de cláusulas informativas en los formularios de recogida de datos, un 55 por ciento frente a un 94,5 por ciento, y en la realización de la auditoría bienal de seguridad, con un 45 por ciento frente a un 88 por ciento.

Aparte de las señaladas, como ha indicado el experto, las áreas de mejora más importantes son la instalación de carteles informativos sobre el derecho a la protección de datos; la revisión periódica del documento de seguridad; el registro de todos los accesos de información; el archivo de las historias clínicas en dispositivos dotados de mecanismos que obstaculicen su apertura; así como la adopción de medidas para evitar su sustracción, pérdida o acceso indebido a la documentación durante su transporte. Asimismo, es importante destacar que en el caso de los hospitales de titularidad pública, los indicadores varían significativamente según el aspecto y comunidad autónoma que se trate.
Por último, en el informe se recoge que la mayoría de hospitales, en torno al 86 por ciento, han contratado actividades de tratamiento de datos personales y que en la práctica totalidad de estos casos se ha incluido en el contrato de prestación de servicios la cláusula informativa prevista en el artículo 12 de la LOPD; y que la implantación de la historia clínica electrónica alcanza al 55 por ciento de los hospitales requeridos, siendo mayor en los centros públicos que en los privados, con un 67 por ciento frente a un 44 por ciento.

A la luz de los resultados, el documento plasma algunas recomendaciones, tales como: mantener actualizada la inscripción de los ficheros de carácter personal; incluir en los impresos y formularios de recogida de datos de los pacientes cláusulas informativas respecto al tratamiento de los datos personales; colocar carteles informativos sobre el derecho a la protección de datos personales de los usuarios del centro; informar al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos; aplicar procedimientos de disociación de los datos; registrar los accesos a las historias clínicas…

En otro orden de cosas, Rubí se ha referido a los servicios del cloud computing y ha anunciado que en breve se presentará una guía con recomendaciones a tener en cuenta cuando se contrata esta solución tecnológica.



LOPD: una gran desconocida
Por su parte, Diego Fanjul Martínez, socio responsable de protección de datos de Círculo Legal Mallorca, ha hablado del régimen jurídico del dato de salud, de la información, del consentimiento y del principio de autonomía del paciente. Así pues, Fanjul ha asegurado que “la Ley Orgánica, 15/1999, de Protección de Datos de Carácter Personal (LOPD) sigue siendo una gran desconocida porque aun no queda claro cuál es su valor fundamental y qué es lo que protege, y esto es el poder de control y disposición de nuestra información”. Del mismo modo, además de aseverar que “no se puede hacer una norma sin conocer en qué consiste el trabajo de las personas”, Fanjul ha señalado que el hombre “es objeto de traducción en datos lo que se utilizará para la prestación de los servicios”. En este punto, se ha referido al entorno cambiante en el que vivimos, en el que la revolución tecnológica exige una respuesta “ineludible” en términos de privacidad. Avances en e-Salud, como los “tatuajes” electrónicos que monitorizan en tiempo real las constantes vitales o aplicaciones para smartphones que controlan la salud son algunos ejemplos que el experto ha puesto sobre la mesa. “El reto es proporcionar al profesional sanitario información integrada y total sobre el perfil de una persona”, ha subrayado.

Igualmente, el experto se ha referido a los principios de la protección de datos, entre ellos, el de calidad de los datos; el derecho a la información en la recogida de datos, donde Fanjul ha apostado por estrategias imaginativas a la hora de posibilitar información efectiva al paciente, “el reto actual para la privacidad es posibilitar una elección efectiva, que el paciente sepa para qué van a ser utilizados sus datos”, tal y como ha apuntado; también sobre el consentimiento del afectado; el deber de secreto; y la seguridad de los datos, “la cultura de seguridad exige un cambio de cultura en la organización”, ha defendido el socio responsable de protección de datos de Círculo Legal Mallorca. “Los profesionales tienen que conocer la ley e integrar sus valores en la práctica diaria”, ha concluido.


Los datos de salud y las aseguradoras sanitarias
Por lo que se refiere al tratamiento de datos de salud en el ámbito de las aseguradoras sanitarias: cesiones de datos y derechos de los particulares en el nuevo Reglamento de la Unión Europea, Isabel Jiménez Bautista, asesora jurídica de ASISA, ha explicado el conflicto que existe entre normativas, por un lado, la Ley 50/1980, de 8 de octubre, de Contrato de Seguro, “que está obsoleta”, como ha matizado la experta, y la Ley Orgánica, 15/1999, de Protección de Datos de Carácter Personal (LOPD). “Las normas se contradicen, de una parte, está el deber de declarar la información necesaria en la fase precontractual para que la aseguradora evalúe el riesgo, y también el derecho de las personas a no facilitar los datos amparándose en la normativa de protección de datos”, ha señalado Jiménez Bautista. En este punto, puesto que la Ley del Seguro tampoco es absoluta, lo que las aseguradoras pueden hacer es pedir al usuario datos estrictamente necesarios, adecuados, pertinentes y no excesivos. “En el tratamiento de datos de salud lo que se trata es de encontrar equilibrio entre ambos derechos”, ha concluido la asesora jurídica de ASISA.

Entre los principales problemas que ha evidenciado la experta en este ámbito están las cesiones de datos a terceros, “no hay previsión legal respecto a esto y lo que hacemos es pedir asesoramiento a la Agencia de Protección de Datos y basarnos en el sentido común”, ha apostillado Jiménez Bautista, y ha analizado varios supuestos. En ellos, cuando el tomador de la póliza pide datos de algún miembro de su grupo familiar, mayor de 18 años, en este caso, como ha explicado la asesora, se ha pasado de una fase de negación expresa, por posibles sanciones de la Agencia, “a pesar de que el tomador argumentara que es él quien paga la prima”, como ha puntualizado, a una fase en la que se han implantado protocolos de actuación al respecto, en los que, por ejemplo, se exigen datos del porqué se solicita dicha información o el consentimiento del titular de los datos. En el caso de las pólizas colectivas, un tema recientemente regularizado, como han comentado, el titular de los datos es el responsable de los mismos y el tomador tan sólo puede acceder a información económica de la póliza pero no a los datos de salud de los asegurados. En el caso de una pretendida cesión de datos de menores de 18 años, por parte de los progenitores, el problema viene cuando los padres están separados, en este supuesto, se exige un documento donde se determine la patria potestad del menor, “en el nuevo Reglamento Europeo la minoría de edad se establece en 18 años, lo que significa un paso atrás en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, que contempla que el titular del derecho a la información es el paciente mayor de 16 años y en el caso de los niños menores de 12 años, se informa a los padres”, ha manifestado la experta.

Otro escollo se encuentra, según la asesora jurídica de ASISA, en las pretendidas cesiones por parte de la aseguradora a los profesionales y centros sanitarios que han intervenido en la prestación de asistencia a los asegurados para proceder al pago de la misma, “existe todavía la negativa de algunos profesionales y centros a dar esta información debido a la confusión que supone la LOPD, pero la Ley del Seguro asiste la petición de esa información puesto que así consta en el contrato de la póliza y el asegurado da consentimiento para ello”, ha explicado.

Nuevo Reglamento Europeo de Protección de Datos
En otro orden de cosas, tal y como han anunciado los expertos, un nuevo escenario se abre en este ámbito de la protección de datos con el borrador de la propuesta de Reglamento General de Protección de Datos de la Unión Europea, publicado el pasado 25 de enero de 2012 por la Comisión Europea. En este sentido, el futuro Reglamento Europeo, que se prevé que sea aprobado definitivamente en 2014, presenta importantes novedades, según ha explicado Jiménez Bautista, tales como el principio de rendición de cuentas, “de manera que las operaciones de tratamiento de datos serán documentadas”, según palabras de la asesora jurídica de ASISA; también el principio de evaluación de impacto, que evaluará el riesgo en el tratamiento de los datos; y el principio de transparencia, “donde la información facilitada al interesado ha de ser clara, inteligible, concreta y precisa”, como ha apuntado. Asimismo, se recogen otros principios específicos, que refuerzan los derechos individuales del titular de los datos, como el derecho al olvido, un derecho que obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia de dichos datos; y el derecho a la portabilidad de los datos, de extraordinaria relevancia en el sector de las redes sociales y en la empresas de telefonía móvil.

Además, la nueva reglamentación contempla la creación de la figura del Delegado de Protección de Datos (DPO), una figura, cuyo papel será independiente y que se prevé obligatoria para todas las administraciones públicas, independientemente de su tamaño y para las empresas privadas de más de 250 trabajadores. En este punto, la experta ha explicado que esta premisa está siendo objeto de debate ya que lo que se plantea es que la figura no sólo esté en empresas de más de 250 trabajadores sino también en aquellas en las que se registren más de 500 titulares de datos al año. Entre las funciones que le serán encomendadas están la supervisión de la implementación y aplicación de las políticas internas; la formación del personal; las auditorías; y velar por la conservación de la documentación, entre otras.

Asimismo, otra de las principales preocupaciones de la norma es reforzar el nivel de protección de los datos personales con, por ejemplo, importantes cambios en la definición de consentimiento, diluyéndose la cabida del consentimiento tácito al exigirse que la manifestación de voluntad sea libre, informada y explícita.

Del mismo modo, la normativa, que será de aplicación directa y prevalente sobre nuestro actual sistema de protección de datos personales (Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD), aporta especificaciones en la privacidad de los menores. Así, en el tratamiento de datos de menores, la norma fija la edad de los menores en menos de 13 años, frente a la actual regulación española que la fija en menos de 14, para operaciones de tratamiento de datos en la red. Además, tal y como recoge el borrador, el tratamiento de los datos de estos menores solamente será lícito si el tutor legal del menor ha prestado su consentimiento previo.

No hay comentarios: