Guía de Protección de datos en Sanidad

Ayer fui testigo de un hecho bastante preocupante.

Acudí a una consulta médica y mientras estaba siendo atendida por mi médico podía ver varios historiales de otros pacientes que estaban abiertos sobre la mesa con todos los datos visibles. Es decir, si hubiera querido, podía haber recopilado datos de salud de otras personas sin su consentimiento.

Estos datos son considerados como «datos especialmente protegidos» por afectar especialmente a la intimidad, los derechos fundamentales y las libertades públicas de las personas.

Y, por tanto, se exige una mayor protección que para el resto de datos personales.

Si trabajas en el sector sanitario esto te interesa.

Que no te pase como a mi médico.

Aquí tienes la guía definitiva para cumplir el RGPD en el sector sanitario.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos para el sector sanitario son:

• RGPD (vigente a partir del 25 de mayo en toda Europa)
• LOPDGDD (España)
• Nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (aprobada en diciembre de 2018)
• Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
• Ley 41/2002, de Autonomía del Paciente.

¿Cómo cumplir el RGPD en centros sanitarios?

Las principales actuaciones que debes realizarse en el sector sanitario para cumplir el RGPD son:

1. Realizar un Registro de actividades de tratamiento
2. Elaborar un análisis de riesgos
3. Realizar una Evaluación de impacto
4. Firmar los contratos con terceros
5. Incluir los textos legales en la página web
6. Solicitar el consentimiento a los pacientes
7. Facilitar los derechos de los usuarios
8. Firmar los contratos con los empleados
9. Nombrar un DPD

¿Te parece mucho?

No te preocupes, te explico paso por paso todo lo que debes hacer.

1. Registro de actividades de tratamiento

En primer lugar es necesario que analices qué tipo de datos manejas y qué cantidad.

Así de sencillo.

Ni más ni menos.

En tu hospital o clínica debes responder a preguntas como:

• Tipo de datos que recopilas
• Finalidad del tratamiento
• Política de almacenamiento de esos datos
• Si cedes esos datos o los transfieres fuera de nuestro país
• Medios de tratamiento

Por eso debes realizar un registro de actividades de tratamiento y mantenerlo actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

En el centro sanitario debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

• el tipo de tratamiento:
  • ¿dónde se almacenan los datos?
  • ¿durante cuánto tiempo?
  • ¿en un archivo o en una base de datos?
  • ¿en qué equipos?
• la naturaleza de los datos,
  • identificativos
  • bancarios
  • de salud ….
• el número de interesados afectados;
  • 2.000
  • 6.000
  • 50.000 …

Una vez realizado este análisis, es importante que apliques unas medidas de seguridad avanzadas para de impedir o bloquear los ataques informáticos actuales. Si cifras los datos, por ejemplo, no debes usar sistemas de cifrado obsoletos.

3. Evaluación de impacto

Aquí viene lo complicado.

Agárrate a la silla y ¡vamos al lío!

Además, al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

• Empresas que que se dediquen a la elaboración de perfiles, y en base a esos perfiles tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente.
• Entidades que traten a gran escala categorías especiales de datos, o datos personales relativos a condenas e infracciones penales.
• Empresas que observen sistemáticamente a gran escala una zona de acceso público.

¿Te has quedado como estabas?

Resumiendo

Tu empresa de sanidad debe realizar esa Evaluación de impacto ya que trata categorías especiales de datos. Es decir, manejas datos de salud de tus pacientes.

4. Contratos con terceros

¿Facilitas datos de tus pacientes a laboratorios?

¿Tienes una empresa informática que realiza el mantenimiento de los equipos en la clínica?

¿A que sí?

Entonces cedes datos a terceros.

Y esos terceros son Encargados de tratamiento.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una relación de esas empresas externas que te prestan algún servicio y asegurar que también cumplan la normativa de Protección de Datos.

Numerosas clínicas y hospitales recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Por ello, debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD.

Y qué decir tiene que hay que estar seguros de que el paciente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

En caso de ofrecer servicios de información o asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

• Aviso legal
• Política de privacidad
• Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

• Nombre del propietario
• CIF / NIF
• Dirección
• Email
• Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad del centro sanitario y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

• ¿Dónde se utilizan esos datos?
• ¿Se está haciendo con el consentimiento de los usuarios?
• ¿Tiene fines comerciales?
• ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tienes que informar expresamente de:

• que se van a tratar los datos que se le piden,
• finalidad,
• destinatario o destinatarios de aquella información,
• datos identificativos del responsable del tratamiento de los datos y
• medios por los que puede ejercer sus derechos de acceso, rectificación, cancelación y oposición.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Una cookie es un archivo informático diminuto que trabaja para las marcas facilitándoles información de patrones de comportamiento y gustos.

Las cookies pueden recoger información de varios tipos:

• direcciones y contraseñas,
• datos personales,
• nuestra dirección de IP,
• sistema operativo de nuestro equipo,
• navegador que utilizamos,
• páginas que hemos visitado anteriormente, etc.

Posteriormente esta información es utilizada para mostrarnos publicidad que pueda ser de nuestro interés según nuestro perfil de usuario o para enviarnos información vía email relacionada con las páginas que hemos visitado.

Si tu web incluye algo de esto, debes cumplir con la ley de cookies (LSSI).

Tienes que elaborar un texto en el que informes sobre las cookies utilizadas en la página, su finalidad y duración. También debes dar la opción al usuario si quiere o no permitir ese uso de cookies o cambiar la configuración de las mismas.

6. Consentimiento de pacientes

Esto es muy importante.

Espero que ya lo estés haciendo.

Además de actualizar la política de privacidad, en el centro sanitario debes tener el consentimiento expreso de todos tus pacientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Cuando el propio cliente/paciente pone sus datos personales en la página web, es necesario que exista siempre una casilla desmarcada por defecto donde pueda aceptar esa política de privacidad.

En el centro

En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:

• quién es el responsable del tratamiento,
• para qué se van a usar los datos,
• si se van a ceder a terceros y
• el medio para ejercer sus derechos ARCO.

Con el RGPD los clientes serán mucho más conscientes de qué información tienen las empresas de ellos y para qué la usan. Por eso, es esencial que se les notifique cualquier cambio que vayas a realizar. Por ejemplo, enviándoles emails o publicando alguna entrada en la página web y difundiéndola posteriormente por redes sociales, para generar más confianza.

7. Derechos de los usuarios

Los clientes o pacientes, como dueños de los datos personales, tienen reconocidos una serie de derechos por el RGPD. Estos derechos son:

• acceso a los propios datos personales;
• rectificación si los datos son incorrectos;
• supresión (derecho al olvido) si los datos se manejan ilegalmente o ya no son necesarios para la finalidad para la que se recogieron;
• limitación del tratamiento;
• portabilidad de los datos;
• oposición a que se utilicen posteriormente con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
• a que no se usen para tomar decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En tu entidad sanitaria debes establecer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben especificarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Los datos personales deben ser almacenados y administrados en un formato ordenado, para que sean fáciles de utilizar y compartir. De esta forma se facilita el cumplimiento de este derecho.

En cuanto al derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

8. Contratos con empleados

Los empleados tienen acceso a toda la información que maneja la entidad y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Y, por supuesto, están obligados a cumplir las medidas de seguridad para garantizar la protección de los datos personales que la empresa adopte.

En una empresa de sanidad, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con pacientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y el técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción por parte de la entidad, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Y debes notificar a las autoridades ese incidente de seguridad en un plazo máximo de 72 horas, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

Es importante recordar que existirán atenuantes a las sanciones si puedes demostrar a las autoridades y a los clientes que estás haciendo todo lo posible para cumplir con la ley.

10. Nombrar un DPD

Puede ser necesario que la empresa de sanidad, por el volumen de datos que trate, designe a un profesional con la cualificación necesaria en esta materia para supervisar el cumplimiento de la ley en los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

El nombramiento del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes. Con ello se cumple el deber de información exigido en el RGPD.

El DPO podrá ser una persona de la plantilla de la empresa o contratarse de forma externa con una empresa que ofrezca el servicio.

Si quieres saber si vas a necesitar un DPD en tu clínica puedes leer este post que redacté hace unos meses (con más de 4.000 visitas).

Preguntas sobre tratamiento de datos de salud

Vamos a responder a las dudas más habituales planteadas en relación a la protección de los datos sanitarios.

¿Quién se considera el responsable del fichero «Historia Clínica»?

Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.

Solicitud del correo electrónico y el móvil al paciente

Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.

El uso posterior de los datos de salud sólo puede hacerse para fines históricos, estadísticos o científicos. Los datos personales recogidos no pueden usarse para ofrecer productos para curar una enfermedad o para cursos privados ya que esto se considera una infracción de la LOPD por ser opuesto a esa finalidad de asistencia sanitaria.

Cumplimiento del derecho de información en la recogida y tratamiento de datos médicos de las personas

En el formulario de admisión se debe informar al paciente sobre la recogida de sus datos, salvo en casos de urgencia, en los que esta información puede facilitarse posteriormente.

El texto que se utiliza normalmente para la información es:

Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla) y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla).

Para tratar estos datos necesitamos igualmente el consentimiento del paciente salvo el caso establecido en la LOPD en que por razones de interés general, así lo establezca una Ley.

¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?

Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

Multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes. PS/00698/2010

Cesión de datos de pacientes

Otras cuestiones importantes sobre la Protección de Datos médicos

Aparte de los casos tratados existen otras cuestiones de especial interés en materia de Protección de Datos que afectan a datos de salud.

Debemos tener en cuenta que sólo los profesionales sanitarios o quienes les representen están facultados para recabar estos datos de salud.

Cuando un paciente facilita sus datos a un profesional sanitario para que éste elabore su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre el uso que se va a dar a esos datos. El paciente debe ser informado de modo claro, conciso e inequívoco que sus datos van a ser almacenados en un fichero, de la finalidad para la que se recogen y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, y para poder hacerlo deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

Ficheros que contienen datos de pacientes con VIH

Actualmente existe un fichero nacional, que depende del Ministerio de Sanidad en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada, por lo que los médicos han de advertir de que tienen un paciente enfermo de SIDA, esta información se remite a las delegaciones provinciales, que la trasladan a las autoridades autonómicas, que a su vez realizan las actualizaciones del fichero y lo envían al Ministerio de Sanidad.

Los médicos tienen obligación de avisar al paciente de que existe este fichero, que incluye su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

El propósito de creación de este fichero es el interés general, para llevar un control de esta enfermedad.

Ficheros con datos sobre donaciones

Existe un fichero de donaciones, en el que se almacenan el nombre, apellidos, dirección y resultados de los análisis del donante. La finalidad de hacer este registro es la de terner acceso a los resultados y poder comunicar al paciente la siguiente cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requerimientos técnicos y requisitos mínimos de la hemodonación y bancos de sangre, regula en su artículo 29 el control de estos datos.

Los datos se guardarán durante un plazo no superior a 5 años, sin embargo, si se estima que hay posibilidad de contagio de enfermedades infecciosas se mantendrán indefinidamente.

Los datos genéticos y biométricos

Plantillas

Aquí te dejo todos los documentos que necesitarás para adaptar tu centro sanitario a la normativa de Protección de Datos.

• Contrato con terceros
• Página web
  • Aviso legal
  • Política de cookies
  • Política de privacidad
• Compromiso confidencialidad empleados
• Consentimientos
  • Consentimiento clientes
  • Consentimiento CV
• Videovigilancia
  • Carteles Videovigilancia
  • Información a trabajadores de instalación de Videovigilancia
• Comunicaciones
  • Correos electrónicos
  • Facturas

Sanciones

Esta es la parte más peliaguda.

No te lo tomes a la ligera.

Las sanciones del RGPD a médicos por el incumplimiento de la normativa de protección de datos son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí. Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.

Las sanciones a médicos por incumplir el RGPD se interpondrán teniendo en cuenta:

• naturaleza, gravedad y duración de la infracción,
• número de interesados afectados,
• nivel de los daños y perjuicios que hayan sufrido,
• intencionalidad o negligencia en la infracción, y
• medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

En definitiva, las sanciones del RGPD a médicos y doctores no son ninguna broma. Un ejemplo de ello es un caso ocurrido en 2014, cuando un médico de un hospital privado de Madrid fue sancionado con 5.000 euros por la AEPD por extraviar las imágenes de la operación a un paciente.

El tribunal consideró que se había denegado además el derecho de acceso del cliente a sus dato protegidos. Por ello, a pesar de considerar que no existió voluntariedad infractora por parte del médico, incurrió en una falta de diligencia grave.

Este caso ha sentado un procedente, al considerar que las imágenes de operaciones forman parte del historial clínico, aunque dichas imágenes solo hayan sido recogidas con fines de investigación.

¿Te ha quedado claro?

Pues espero que comiences cuanto antes a adaptar tu centro médico a la ley de Protección de Datos.