La Agencia Española de Protección de Datos (AEPD) publicaba recientemente el ‘Plan de Inspección de oficio de la atención sociosanitaria’, donde analiza por primera vez los tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la normativa de protección de datos con el fin de obtener una visión integral que permita detectar deficiencias. Entre las RECOMENDACIONES que realiza se destacan las siguientes:
Información al usuario
- Debe ser concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información.
- Preferiblemente, en capas. La primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, junto con las leyendas informativas insertas en todos los formularios de recogida de datos personales. En esta primera capa se pueden incluir referencias a otras capas de información más detallada, a las que el usuario deberá tener accesibilidad inmediata.
Base jurídica
- Para cada actividad de tratamiento que se realice hay que identificar su base jurídica, que será una o varias de las recogidas en el 6 del RGPD en conjunción con las condiciones de tratamiento previstas en el art. 9.2.h) del RGPD.
Compartición de datos personales y perfiles de acceso
- Se debe minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario, sin mermar la atención sociosanitaria. No es válido permitir un acceso total a los datos de los usuarios a todos los profesionales que intervienen en la atención.
- Se deben elaborar perfiles de acceso que consideren las necesidades de información de cada profesional, desde el diseño de las aplicaciones, aplicando por defecto los privilegios de acceso mínimos necesarios para prestar la atención al usuario. Se debe realizar auditoría de los accesos.
Compromiso de confidencialidad
- Todos los empleados que traten datos personales de los usuarios deben suscribir un compromiso de confidencialidad.
- En todos los contratos de encargado de tratamiento, si los hubiere, deberá establecerse como obligatorio la firma del compromiso por parte de los empleados del encargado, siendo deseable que el modelo de compromiso concreto conste anexo al contrato de encargo.
Documentos en papel
- Se debe evitar que los documentos en papel se encuentren dispersos en diferentes ubicaciones del centro.
- Su traslado debe realizarse con las suficientes medidas de seguridad (custodiados en todo momento y en sobre cerrado).
- Se deben crear procedimientos seguros para el traslado de la documentación y su almacenamiento, con mecanismos que impidan su acceso a personas no autorizadas.
Usuarios genéricos
- No se deben utilizar usuarios genéricos, cuya utilización se comparte entre varios empleados, para el acceso a datos de carácter personal, ni de carácter básico ni de categorías especiales, ya que ello supone una vulnerabilidad de seguridad.
Facilitar información a familiares
- Debe recabarse el consentimiento del usuario para facilitar información a familiares sobre su estancia o ubicación en el centro, así como de su estado de salud.
- En caso de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre y cuando el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.
Utilización de fax o correo electrónico sin cifrar
- No se debería utilizar el fax ni el correo electrónico sin cifrar para la remisión de documentación que contenga datos personales de categorías especiales, como pueden ser datos de salud u otros datos como informes sociales, psicosociales o de evaluación.
Contratos de encargo de tratamiento
- Deben especificar todas las obligaciones estipuladas por el RGPD, que deben ser consideradas y cumplidas durante la contratación, estableciendo los mecanismos necesarios para ello.
- En los contratos de prestación de servicios sin acceso a datos personales se debe prohibir expresamente el acceso a los mismos, e informar a los trabajadores de dicha prohibición. En el contrato deben considerarse también posibles accesos accidentales o fortuitos, con un compromiso de confidencialidad.
Evaluación de Impacto relativa a la Protección de Datos
- La Evaluación de Impacto relativa a la Protección de Datos (EIPD) es obligatoria para los nuevos tratamientos de los centros sociosanitarios, al presentarse datos de categorías especiales en número suficiente, considerando además la vulnerabilidad de sus usuarios y entendiendo que supone un alto riesgo para los derechos y libertades de estos.
Además de estas recomendaciones, el documento recoge una serie de PREGUNTAS Y RESPUESTAS FRECUENTES con las dudas generadas a lo largo de su ejecución. Entre ellas, destacamos:
- En un centro sociosanitario, ¿es posible cancelar determinados datos de un usuario a petición suya? Por ejemplo, datos de tipo social, como que sus hijos no le visitan, considerados imprescindibles para prestar la debida atención al reflejar los apoyos familiares.
Al no ser el consentimiento la base jurídica del tratamiento no cabe la revocación del consentimiento ni la oposición al tratamiento, por lo que la solicitud debe ser contestada motivando las razones por las cuales no se cancelan los datos. Una cautela apropiada podría ser marcar estos datos como confidenciales, estableciendo mecanismos para que solo sean consultados cuando sea estrictamente necesario y advirtiendo mediante un mensaje de su carácter especialmente sensible en cada uno de los accesos.
- En caso de órdenes de alejamiento relacionadas con un usuario del centro, ya sea por malos tratos, acoso, violencia de género… ¿es posible informar de ello a todos los empleados del centro, incluidos los que no tienen acceso a datos de carácter personal, como puede ser empleados de contratas de limpieza?
La información debe trasladarse a todo el personal que tenga la función de identificar visitas y tomar decisiones sobre las mismas. Hay que tener en cuenta que todo el personal, con y sin acceso a datos personales, debería tener suscrito un compromiso de confidencialidad.
- Si un organismo como un Juzgado solicita datos de categorías especiales de un usuario del centro, como datos de salud, vía un medio de comunicación que se puede considerar inseguro, tal como el fax o correo electrónico sin cifrar, ¿se debe dar curso a la solicitud?
Desde una perspectiva de protección de datos, no se debería utilizar el fax para remitir documentación que contenga datos de categorías especiales. Se debería poner de manifiesto al organismo en cuestión que en la actualidad existen otras vías, sencillas, igual de rápidas y más seguras, como por ejemplo el correo electrónico cifrado, acordando con el organismo el envío de forma segura de la documentación citada.
- En los puestos de guardia, o puestos donde se realizan pruebas médicas, donde se establecen turnos y hay equipos en funcionamiento las 24 horas por necesidades del servicio, ¿es posible compartir el usuario del sistema de información para evitar salir y entrar del sistema?
No se debe compartir la utilización del usuario, ni desvelar la clave de acceso asociada a ningún empleado, compañero o tercera persona. Tampoco deben utilizarse usuarios genéricos compartidos. Cada empleado, cuando comienza su jornada, debe iniciar sesión con su usuario y cerrarla al terminar.
- ¿Es posible colocar carteles con nombres y apellidos de los usuarios de un centro en las puertas de sus habitaciones con el objetivo de que no se extravíen o entren por error en otra habitación que no es la suya, así como para facilitar las visitas? ¿Y colocar carteles en las mesas del comedor con la identificación (nombre y apellidos o fotografía) del usuario y sus alergias, disfagias, u otras características de especial relevancia durante la comida?
Se deberá valorar la necesidad de identificar a los pacientes, considerando otras medidas menos intrusivas para la privacidad que puedan existir y que ofrezcan garantías de seguridad equivalentes. Así, por ejemplo, en lugar de colocar un cartel con el nombre y apellidos del usuario en la puerta de su habitación, disponer el número de la habitación en una ficha o distintivo portado por el usuario. Respecto a la información, deberá ser la mínima necesaria que permita la administración segura de los alimentos o medicamentos, valorándose positivamente otras alternativas que permitan que la información esté exclusivamente a disposición de los trabajadores del comedor que lo necesiten, sin mantenerse expuesta a toda la concurrencia.
Equipo Govertis