Las personas de la tercera edad precisan de especial protección ya que, en ocasiones, se encuentran en una situación que les impide conocer y ejercer sus derechos en igualdad de condiciones. Por ello, en este artículo te hablamos sobre la protección de datos en residencias de ancianos. ¿Qué deben hacer las residencias de mayores y centros de día para cumplir con el RGPD y la LOPDGDD?

Protección de Datos en residencias de ancianos: normativa aplicable

Las normas que regulan la Protección de Datos para las residencias de ancianos son:

  • Reglamento GeneraL de Protección de Datos o RGPD.
  • Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD)
  • LSSI (Ley de servicios de la sociedad de la información y de comercio electrónico)
  • Ley 41/2002, de Autonomía del Paciente.
  • Ley 39/2006, de 14 de diciembre, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia

Asimismo, otra ley para residencias de ancianos es la Ley 7/1991 de asistencia y protección al anciano

Cumplir con la normativa en residencias geriátricas es fundamental para ofrecer la mejor asistencia a los pacientes y proteger sus datos de cualquier intromisión ilegítima.

¿Cómo deben cumplir las residencias de ancianos el RGPD?

Las residencias geriátricas deben tener una especial diligencia en el tratamiento de los datos de sus residentes.

A la hora de cumplir con la normativa de protección de datos en una residencia de ancianos hay que tener en cuenta una serie de preguntas y cuestiones.

Cada vez que un anciano ingresa en el centro estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu residencia de ancianos para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los residentes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las residencias de ancianos centros geriatricos

Registro de actividades de tratamiento en residencias de ancianos

Para cumplir con la protección de datos en residencias geriátricas es necesario llevar un registro de las actividades de tratamiento, en concreto las siguientes:

  • Identidad del responsable del tratamiento, del encargado o de sus representantes
  • Tipo de datos recopilados
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Cesión de datos a terceros
  • Transferencias internacionales de datos
  • Medios de tratamiento

Tener actualizado este registro es imprescindible, ya que te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

Generalmente, en una base de datos de residencias de ancianos se maneja información sobre:

  • Residentes
  • Empleados
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Videovigilancia

Asimismo, el libro de incidencias de residencias ancianos ha de contener todos los protocolos, programas, registros o incidencias diarias que tengan lugar en el centro.

Consentimiento de los residentes

Aunque su finalidad principal no es la prestación de atención sanitaria, entre las obligaciones de las residencias de ancianos se encuentran:

  • Proteger a los residentes de los riesgos que pudieran afectar a su salud y seguridad.
  • Potenciar la autonomía de las personas mayores.
  • Ofrecer, en la medida de lo posible, los tratamientos adecuados para el cuidado de la salud de los residentes.

Como ya hemos mencionado, para cumplir con sus responsabilidades las residencias de ancianos deben tener acceso a datos sensibles de los pacientes o residentes, como son los datos relacionados con la salud. Además, con el agravante en que puede haber ocasiones en las que los residentes pueden estar incapacitados para otorgar su consentimiento de forma consciente.

Entonces, ¿cómo recabar el consentimiento para cumplir con la protección de datos en las residencias de ancianos?

Por un lado, la legislación para residencias de ancianos señala que cualquier tipo de intervención debe ser consentido de forma expresa, inequívoca y voluntaria por parte del paciente.

En caso de que una persona mayor esté incapacitada para prestar consentimiento, este deberá ser otorgado por un representante, en este caso un tutor o un familiar próximo. La ley señala que esto no es impedimento para que se consulte la opinión a la persona afectada, ya que una persona incapacitada no es lo mismo que una persona incapaz.

Hay ciertos supuestos en los que podría no ser necesario recabar el consentimiento del residente o sus representantes, por ejemplo en caso de necesidad vital urgente o de riesgos para la salud pública. Si el residente o sus representantes no estuvieran de acuerdo con la decisión tomada en estos casos, se deberá someter a consideración judicial.

Otorgar el consentimiento es esencial incluso durante el protocolo de ingreso en la residencia de mayores, por ejemplo al firmar el modelo de contrato de residencia ancianos.

Análisis de riesgos en residencias de la tercera edad

En la residencia de ancianos debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • Tipo de tratamiento:
    • ¿Dónde se almacenan los datos?
    • ¿Durante cuánto tiempo?
    • ¿En un fichero o en una base de datos?
    • ¿En qué equipos?
  • Naturaleza de los datos,
    • Identificativos
    • Bancarios
    • De salud …
  • Número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizada la evaluación de riesgos en residencia de ancianos, se deberán implementar las medidas de seguridad adecuadas para evitar pérdidas o robos de datos, o que la información acerca de los residentes o sus familiares pueda quedar expuesta.

Evaluación de impacto en residencias de mayores. ¿Es obligatoria?

El RGPD y la LOPDGDD señalan qué empresas tienen la obligación de realiza una evaluación de impacto al tratar los datos de sus clientes.

La normativa señala que toda aquella entidad que realice tratamientos a gran escala que categorías especiales de datos, deben realizar una evaluación de impacto.

En este sentido, hay que tener en cuenta que las residencias de ancianos manejan datos sensibles de los residentes, como son la información relativa a su salud, la cual es necesaria a la hora de ofrecerles los cuidados necesarios y suministrarles la medicación o alimentación adecuada.

Por tanto, realizar una evaluación de impacto es imprescindible a la hora de respetar la normativa de protección de datos en residencias de la tercera edad.

Contratos de la residencia de ancianos con terceros

Las residencias de la tercera edad se relacionan también con terceros que disponen de algunos de los datos de los usuarios.

  • La gestoría que te lleva los temas fiscales y las nóminas de los empleados.
  • La empresa informática que realiza el mantenimiento de los equipos.
  • Las farmacias a las que entregas las recetas de los residentes.
  • Profesionales externos que se encargan de cuidados de los residentes o brindan tratamiento especiales (fisioterapia, rehabilitación, etc).

Para poder ceder datos a terceros es necesario firmar un contrato de acceso. La firma de este documento es imprescindible siempre que la residencia de ancianos contrate los datos de un tercero y éste necesite saber información personal de los residentes o la propia residencia para prestar sus servicios.

En dicho contrato de cesión de información a terceros debe figurar expresamente el objeto de la prestación, probar que el tratamiento de datos es imprescindible para cumplir el objeto contractual y establecer las obligaciones para el encargado del tratamiento.

Por otra parte, también se debe indicar cuál será el destino de los datos una vez que la relación contractual termine. En este caso, el responsable del tratamiento puede eliminar los datos o solicitar que el encargado los devuelva. Una vez finalizada la relación contractual, el tercero encargado de la prestación de servicios a la residencia no podrá seguir usando esos datos.

Cabe destacar que el contrato de acceso se puede registrar en papel o a través de medios electrónicos. Ambas fórmulas son válidas siempre que se acredite que el encargado del tratamiento ha firmado el acuerdo.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

Cumplir el RGPD en la página web de la residencia de ancianos

Si en tu residencia de ancianos tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la residencia de ancianos y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Quién es el responsable o encargado del tratamiento?
  • ¿Dónde se utilizan esos datos?
  • ¿Con qué objetivo?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?
  • ¿Cómo ejercer los derechos ARSULIPO?

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en un apartado exclusivo y claramente visible de la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de uso de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

Derechos de los residentes/pacientes en las residencias geriátricas

Las personas internadas en residencias de ancianos o sus representantes puede ejercer diversos derechos sobre sus datos personales. Es lo que se denomina derechos ARCO, actualmente ARSULIPO.

  • Acceso a la información personal objeto del tratamiento.
  • Rectificación de aquellos datos inexactos o que no se ajustan a la realidad.
  • Supresión, en caso de que los datos hayan sido recabados de forma ilegal o no son necesarios para la finalidad por la que se recabaron
  • Limitación del tratamiento, o solicitar al responsable la toma de medidas necesarias para evitar la modificación o supresión de sus datos.
  • Portabilidad, por ejemplo para pedir la transmisión de los datos en caso de solicitar un cambio de residencia de ancianos.
  • Oposición a que sus datos sean tratados con determinados fines.

Entre las normas de una residencia de ancianos está proveer de los mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los residentes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

En cuanto al derecho al olvido, el paciente/residente puede solicitar que se eliminen o se oculten los datos que le conciernen. Te recuerdo que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Contratos con empleados de la residencia

¿Tienes empleados en tu residencia?

Pues esto te interesa.

Los empleados tienen acceso a toda la información que maneja la residencia y, por tanto, deben firmar un contrato de confidencialidad en un acuerdo que evite que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En un centro geriátrico, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con familiares de los residentes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa. Cualquier robo o pérdida de datos debe comunicarse a los ancianos residentes, sus familiares o tutores y a la Agencia Española de Protección de Datos (AEPD).

En el caso de que se dé una situación de ciberataque o infracción en la residencia de ancianos, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

¿Hay que tener un Delegado de Protección de Datos en una residencia de la tercera edad?

El Delegado de Protección de Datos puede ser necesario en una residencia de ancianos, ya que trata datos sensibles de los pacientes/residentes. En estos casos, y también si se manejan gran cantidad de datos personales, es necesaria una figura que se encargue de salvaguardar los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Se puede ingresar a un anciano en una residencia sin su consentimiento?

En principio, no. No se puede ingresar a una persona mayor en una residencia de ancianos sin su consentimiento, salvo que se haga por resolución judicial.

En caso de que la persona se encuentre incapacitada, se puede acudir a un juez para que dictamine su grado de incapacidad. Si se trata de una incapacidad parcial, será el juez quien determine su grado de autonomía en la toma de decisiones. Si es una incapacidad total, el responsable de tomar las decisiones legales y burocráticas será el familiar o tutor elegido para el desempeño de tales funciones.

¿Puedo dar información a los familiares acerca de los residentes?

Para contestar esta pregunta debemos analizar, en un primer momento, si la persona afectada tiene capacidad plena de obrar. En este caso sería dueña de sus propios datos y la cesión de los mismos debe realizarse mediante consentimiento expreso y escrito.

De no ser así, serán sus representantes legales quienes accedan a dicha información, ya que actúan en nombre y representación del afectado.

¿Cuánto tiempo puedo guardar los expedientes de los residentes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

¿Puedo publicar fotografías de los residentes realizadas en actividades en el centro?

No, publicar fotos de ancianos está prohibido, salvo que tengas el consentimiento expreso de los residentes o de sus representantes legales.

La publicación en una página web de las fotos constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”. Y requiere el consentimiento del afectado.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Si en tu residencia de mayores instalas un sistema de Vídeo Vigilancia también debes cumplir los siguientes requisitos:

  • Instalar carteles informativos en todas las entradas al centro,
  • incluir esas grabaciones en el Registro de actividades de tratamiento,
  • no guardar grabaciones después de 30 días,
  • las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local,
  • si tenemos una pantalla donde vemos las grabaciones, ésta solo debe estar visible por personal autorizado y
  • debemos tener un Impreso donde informe de:
    • existencia de las grabaciones,
    • fin para el que se recogen dichas grabaciones,
    • posibilidad de que un cliente pueda ejercer sus derechos y
    • identidad del responsable de esta información.

¿Puedo contratar una empresa externa para destruir los historiales clínicos?

puedes. Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu residencia de ancianos a la normativa de Protección de Datos.

Sanciones por no respetar la protección de datos en residencias de ancianos

La nueva normativa de protección de datos prevé un régimen sancionador que ha endurecido las sanciones del RGPD en este ámbito.

Entre las principales novedades está el incremento del importe que habremos de pagar por infracciones cometidas por la vulneración del derecho a la protección de datos. Las sanciones pueden oscilar entre diez y veinte millones de euros y, si se tratara de una empresa, se establece una regla técnica por la que se impondrá una cuantía equivalente al 2 o al 4 %, como máximo, del volumen de negocio en el cómputo anual del ejercicio financiero inmediatamente anterior. Se optará por la sanción de mayor cuantía.

Estas sanciones son comunes en todo lo referente a la protección de datos a empresas.

Facilitar datos de ancianos a una farmacia

El listado aportado por la residencia de ancianos contenía los siguientes campos de información: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social. En los contratos suscritos entre la residencia y los residentes no se informa a los mismos de esa cesión de datos ni sobre los derechos que les asisten.

No atender el ejercicio del derecho de acceso a historia clínica del residente por un familiar

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. El derecho de acceso del paciente a la historia clínica puede ejercerse también por representación debidamente acreditada. Los centros sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. Resolución AEPD R/02421/2017

Esperamos haberte aclarado todo lo que debes hacer para adaptar tu residencia de ancianos a la normativa de Protección de Datos y evitar ser sancionado.

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.