Protección de datos en residencias de ancianos

Guía 2021

Las personas de la tercera edad precisan de especial protección, ya que, en ocasiones, se encuentran en una situación que les impide conocer y ejercer sus derechos en igualdad de condiciones. Por ello, en este artículo te hablamos sobre la protección de datos en residencias de ancianos. ¿Qué deben hacer las residencias de mayores y centros de día para cumplir con el RGPD y la LOPDGDD?

Leyes de protección de datos aplicables a las Residencias de Mayores: RGPD y LOPDGDD

Nadie puede poner en duda que las residencias de ancianos son instituciones, tanto públicas como privadas, en las que se tratan datos personales de diferentes categorías, tanto de sus residentes como de sus empleados.

Por ello, es obligatorio que las residencias de ancianos cumplan con las obligaciones de la normativa de protección de datos, que encontramos en las siguientes leyes:

  • RGPD, que es el Reglamento General de Protección de Datos, el marco europeo que todo Estado miembro de la UE ha debido adaptar a su ordenamiento jurídico.
  • LOPDGDD, Ley Orgánica de Protección de Datos y Garantías Digitales, la ley española que adapta el RGPD y que regula también los derechos digitales de los ciudadanos.
  • LSSI-CE, Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.
  • Ley 41/2002, de Autonomía del Paciente.
  • Ley 39/2006, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia.
  • Ley 7/1991, de Asistencia y Protección al anciano.

Cumplir con la normativa en residencias geriátricas es fundamental para ofrecer la mejor asistencia a los pacientes y proteger sus datos de cualquier intromisión ilegítima.

¿Cómo cumplir con la protección de datos en las Residencias de Mayores?

Las residencias geriátricas deben tener una especial diligencia en el tratamiento de los datos de sus residentes.

Desde la entrada en vigor del RGPD y la LOPDGDD en 2018, la protección de datos en residencias de ancianos requiere cumplir con varias obligaciones, que detallaremos en los siguientes puntos de esta guía.

Hay que tener en cuenta que los datos personales que se tratan habitualmente en las residencias de ancianos son datos sensibles o de categorías especiales (como se recoge en el artículo 9 del RGPD), como por ejemplo, los relativos a la salud, y que estos datos tienen una especial protección, que conlleva observar ciertas medidas técnicas y organizativas en cuanto a protección de datos, que en otro tipo de empresas u organizaciones no es necesario.

pasos cumplir ley lopd rgpd residencias ancianos

Registro de actividades de tratamiento

Una de las primeras obligaciones de la normativa de protección de datos en residencias de ancianos es elaborar un registro de actividades de tratamiento. Se trata de un documento que debe realizarse por cada tratamiento de datos que se lleve a cabo. Generalmente, en la base de datos de residencias de ancianos tendremos los siguientes tratamientos:

  • Residentes
  • Empleados
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Videovigilancia

El registro de actividades de tratamiento contendrá información concisa, pero detallada sobre todo lo relativo a dicho tratamiento de datos personales, en concreto:

  • Identidad y datos de contacto del responsable del tratamiento y, en su caso, del corresponsable, del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
  • Legitimación del tratamiento
  • Finalidad del tratamiento
  • Categorías de interesados y datos
  • Categorías de destinatarios (cesiones a terceros)
  • Información relativa a transferencias internacionales de datos (si procede)
  • Descripción de las medidas de seguridad
  • Plazo de conservación de los datos

Asimismo, el libro de incidencias de residencias de ancianos ha de contener todos los protocolos, programas, registros o incidencias diarias que tengan lugar en el centro.

Consentimiento de los residentes

Aunque su finalidad principal no es la prestación de atención sanitaria, entre las obligaciones de las residencias de ancianos se encuentran:

  • Proteger a los residentes de los riesgos que pudieran afectar a su salud y seguridad.
  • Potenciar la autonomía de las personas mayores.
  • Ofrecer, en la medida de lo posible, los tratamientos adecuados para el cuidado de la salud de los residentes.

Como ya hemos mencionado, para cumplir con sus responsabilidades las residencias de ancianos deben tener acceso a datos sensibles de los pacientes o residentes, como son los datos relacionados con la salud. Además, con el agravante de que puede haber ocasiones en las que los residentes pueden estar incapacitados para otorgar su consentimiento de forma consciente.

Entonces, ¿cómo recabar el consentimiento explícito para cumplir con la protección de datos en las residencias de ancianos?

Por un lado, la legislación para residencias de ancianos señala que cualquier tipo de intervención debe ser consentida de forma expresa, inequívoca y voluntaria por parte del paciente.

En caso de que una persona mayor esté incapacitada para prestar consentimiento, este deberá ser otorgado por un representante, en este caso un tutor o un familiar próximo. La ley señala que esto no es impedimento para que se consulte la opinión a la persona afectada, ya que una persona incapacitada no es lo mismo que una persona incapaz. De la misma forma que no se puede llevar a un anciano a una residencia sin su consentimiento, cuando este no está declarado incapaz por un juez.

Hay ciertos supuestos en los que podría no ser necesario recabar el consentimiento del residente o sus representantes, por ejemplo en caso de necesidad vital urgente o de riesgos para la salud pública. Si el residente o sus representantes no estuvieran de acuerdo con la decisión tomada en estos casos, se deberá someter a consideración judicial.

Otorgar el consentimiento es esencial incluso durante el protocolo de ingreso en la residencia de mayores, por ejemplo al firmar el modelo de contrato de residencia de ancianos.

Análisis de riesgos en residencias de la tercera edad

Otra de las obligaciones que establece la normativa de protección de datos en residencias de ancianos es la realización de un análisis de riesgos antes de comenzar un tratamiento de datos personales.

Con el análisis de riesgos se busca evaluar a qué peligros pueden exponerse los datos personales de los ancianos o empleados al ser tratados (por ejemplo, si vamos a guardar en una base datos los datos identificativos de los ancianos y el número de teléfono de uno de sus familiares, ¿a qué tipo de riesgos podrían exponerse estos datos?).

Se trata de determinar el nivel de amenaza para la disponibilidad, integridad y fiabilidad de los datos, la posibilidad de que se produzca, así como del impacto negativo que podría tener en los derechos y libertades de los interesados (es decir, los ancianos o los empleados).

Las conclusiones del análisis de riesgos servirán para diseñar e implantar las medidas de seguridad necesarias para asegurar la confidencialidad de la información personal y su integridad. El objetivo de estas medidas de seguridad será reducir la posibilidad de que las amenazas se materialicen o, en caso de que ocurran, minimizar su impacto en la vida de los interesados.                                     

Evaluación de impacto en residencias de mayores

Las residencias de ancianos son una de esas organizaciones que deben hacer obligatoriamente una evaluación de impacto cuando vayan a tratar datos de categorías especiales, puesto que cuando se tratan este tipo de datos, existe un riesgo alto para los derechos y libertades de los interesados.

La función de la evaluación de impacto de protección de datos (EIPD) es determinar qué amenazas existen por llevar a cabo el tratamiento de datos, qué posibilidades hay de que se materialicen y qué medidas de seguridad es necesario implantar para reducir esas posibilidades, eliminarlas completamente o reducir las consecuencias negativas si se produce una brecha de seguridad que afecte a esos datos personales.

Por ejemplo, la EIPD puede determinar que el riesgo que un determinado tratamiento de datos personales es muy elevado y, por tanto, la mejor «medida de seguridad» sería no realizar dicho tratamiento.

Contratos de la residencia con terceros

El personal necesario para una residencias de ancianos es muy variado, igual que algunos de los servicios que ofrecen, por ello, en muchas de ellas se recurre a contrataciones externas para poder cubrir todas las necesidades de sus residentes, además de llevar la gestión administrativa y de los empleados. Cuando estas empresas externas necesitan tratar datos personales de residentes o empleados para poder cumplir con su cometido, es necesario cederles dichos datos.

Para que esa cesión de datos a estos terceros esté conforme con la normativa de protección de datos, esta establece la necesidad de firmar un contrato de encargado del tratamiento.

En este contrato debe figurar expresamente el objeto de la prestación, probar que el tratamiento de datos es imprescindible para cumplir el objeto contractual y establecer las obligaciones para el encargado del tratamiento.

Por otra parte, también se debe indicar cuál será el destino de los datos una vez que la relación contractual termine. En este caso, el responsable del tratamiento puede eliminar los datos o solicitar que el encargado los devuelva. Una vez finalizada la relación contractual, el tercero encargado de la prestación de servicios a la residencia no podrá seguir usando esos datos.

Así mismo, también se debe informar a los interesados de que sus datos van a ser cedidos a terceros, indicando la identidad de los mismos y la finalidad de dicha cesión.

Página web de la residencia

Muchas residencias de ancianos tienen página web para promocionar sus servicios y darse a conocer; la ley también establece un requisito muy concreto para las páginas web y es la inclusión de los llamados textos legales.

Los textos legales deben ser accesibles desde cualquier parte de la página o subpágina y estar redactados de forma clara y comprensible. Se componen de:

  • Aviso legal: Es el apartado donde figuran los datos identificativos del propietario de la web, que es la propia residencia de ancianos. Como mínimo debe contener la siguiente información:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro Mercantil
  • Política de privacidad: Aquí hay que describir toda la información relativa a la gestión que se hará de los datos personales que se recaben a través de la página web (formularios, comentarios, cookies, etc.). Al menos debe mostrar:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • En qué forma se gestionarán los datos personales
    • Tiempo de conservación de los datos
    • Cesiones a terceros, identificando a estos
    • Vía para que los interesados ejerzan sus derechos
  • Política de cookies: Actualmente, todas las páginas web generan cookies técnicas (también llamadas propias), pero además, si incluye botones de compartir, utiliza Google Analytics o tiene anuncios de terceros, también está generando cookies de terceros. Todo esto obliga a incluir la información relativa a las cookies, tal y como recogemos en esta guía de uso de cookies (finalidad, titular, duración, etc.).

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Derechos de los residentes/pacientes en las residencias geriátricas

Entre las normas de una residencia de ancianos en materia de protección de datos, está proveer a sus residentes (o sus representantes) y empleados de los mecanismos para que puedan ejercer los derechos que les reconoce la normativa sobre sus derechos, los denominados ARSLPO (antiguos derechos ARCO):

  • Acceso a la información personal objeto del tratamiento.
  • Rectificación de aquellos datos inexactos o que no se ajustan a la realidad.
  • Supresión, en caso de que los datos hayan sido recabados de forma ilegal o no son necesarios para la finalidad por la que se recabaron
  • Limitación del tratamiento, o solicitar al responsable la toma de medidas necesarias para evitar la modificación o supresión de sus datos.
  • Portabilidad, por ejemplo para pedir la transmisión de los datos en caso de solicitar un cambio de residencia de ancianos.
  • Oposición a que sus datos sean tratados con determinados fines.

Los medios para ejercer estos derechos deben indicarse en el documento de consentimiento y en la política de  privacidad de la página web.

Contratos con empleados

En las residencias de ancianos trabajan diferentes tipos de empleados, algunos de ellos podrán tener acceso a los datos personales de los residentes, por lo que deben cumplir con la obligación de mantener la confidencialidad respecto a esa información, así como observar y respetar las medidas de seguridad implantadas por el responsable del tratamiento. Puede que alguno de esos trabajadores incluso tenga el deber de mantener el secreto profesional (que no está regulado en la normativa de protección de datos, pero puede conllevar sanciones penales si se incumple).

Una forma de lograr el compromiso con la confidencialidad de los empleados, es incluir las denominadas cláusulas de confidencialidad en los contratos de trabajo. Otra forma es recurrir al contrato de confidencialidad, un documento independiente, en el que se pueden especificar todas las obligaciones para los empleados en cuanto a confidencialidad y protección de datos.

Notificar brechas de seguridad

Sufrir algún tipo de incidente informático o de otra índole que pueda poner en riesgo la confidencialidad de los datos personales de residentes y/o empleados de la residencia de ancianos, obligará al responsable del tratamiento a notificar lo antes posible del mismo a la autoridad de control.

Así, cuando se produzca una brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de los interesados, se deberá informar a la AEPD de ello en un plazo máximo de 72 horas.

También es obligatorio informar a los interesados cuyos datos hayan podido verse afectados.

Delegado de Protección de Datos

Si en la residencia de ancianos se dan las condiciones para tener que elaborar el registro de actividades de tratamiento y la evaluación de impacto, también se dan para tener que designar obligatoriamente a un Delegado de Protección de Datos o DPO.

Se trata de un profesional con formación en protección de datos, que se ocupará de asesorar al responsable del tratamiento, asegurarse de que se cumple con la normativa y garantizar la salvaguarda de los datos e información personal de los interesados tratada en la organización, supervisar las auditorías que puedan realizarse y representar a la residencia ante la AEPD.

La ley permite nombrar de manera interna al DPO, así como contratar a un profesional externo para que se ocupe de estas funciones.

Modelos de ayuda para residencias de mayores

Aquí te dejo todos los documentos que necesitarás para adaptar tu residencia de ancianos a la normativa de Protección de Datos.

 

Sanciones por no adaptarse correctamente a la normativa de protección de datos

De la misma forma que no cumplir con las leyes y reglamento para residencias de ancianos puede suponer la imposición de sanciones administrativas, no cumplir con la normativa de protección de datos de manera adecuada también puede hacerlo.

La LOPDGDD establece una serie de infracciones y sanciones en función de la gravedad, el número de personas afectadas, la posible negligencia o intencionalidad detrás de un incidente de seguridad, y la duración en el tiempo de la propia infracción.

Siguiendo las líneas generales del RGPD en cuanto tipo de infracciones y cuantías, el régimen sancionador en España queda así:

  • Infracciones muy graves (artículo 72): multa de 300.000 a 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que sea más elevada)
  • Infracciones graves (artículo 73): multa de 40.000 a 300.000 euros
  • Infracciones leves (artículo 74): multa de hasta 40.000 euros

Como decimos, se trata de sanciones administrativas, que son las que la AEPD tiene autoridad para imponer. Pero eso no quita que algunas infracciones puedan ser también constitutivas de delito penal (como ya dijimos sobre el secreto profesional) y puedan conllevar también penas de prisión.

Ejemplos

A continuación os dejamos dos ejemplos de infracciones cometidas por residencias de ancianos, que fueron sancionadas por la AEPD:

El listado aportado por la residencia de ancianos contenía los siguientes campos de información: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social. En los contratos suscritos entre la residencia y los residentes no se informa a los mismos de esa cesión de datos ni sobre los derechos que les asisten.

No haber atendido el ejercicio del derecho de acceso a la historia clínica de un residente por parte de un familiar, cuando este estaba legitimado por la ley para poder hacerlo. Resolución AEPD R/02421/2017.

Residencia de ancianos

Preguntas frecuentes

Ahora que ya conocemos las principales actividades obligatorias en una residencia de ancianos en materia de protección de datos, vamos a resolver algunas dudas frecuentes sobre el tema.

¿Cómo tratar los datos personales de un residente que ha fallecido?

El RGPD y la LOPDGDD dicen que no son aplicables a los fallecidos, es decir, que los datos personales de un residente fallecido no están amparados por la normativa de protección de datos y no hay obligaciones que cumplir respecto a ellos.

Sin embargo, la LOPDGDD sí que matiza un detalle y es que los familiares directos, herederos o representantes que haya designado el fallecido, podrán ejercer los derechos a de acceso, rectificación y supresión de los datos personales del fallecido (salvo que esté haya dejado instrucciones expresas contrarias).

Las residencias, por tanto, deben atender las solicitudes de estos derechos cuando las reciban y darles inmediato cumplimiento.

¿Se puede ingresar a un anciano en una residencia sin su consentimiento?

En principio, y como ya señalamos más arriba, no se puede ingresar a un anciano en una residencia sin su consentimiento. Solo se podría hacer mediante resolución judicial.

En caso de que la persona se encuentre incapacitada, se puede acudir a un juez para que dictamine su grado de incapacidad. Si se trata de una incapacidad parcial, será el juez quien determine su grado de autonomía en la toma de decisiones. Si es una incapacidad total, el responsable de tomar las decisiones legales y burocráticas será el familiar o tutor elegido para el desempeño de tales funciones.

¿Puedo dar información a los familiares acerca de los residentes?

Para contestar esta pregunta debemos analizar, en un primer momento, si la persona afectada tiene capacidad plena de obrar. En este caso sería dueña de sus propios datos y la cesión de los mismos debe realizarse mediante consentimiento expreso y escrito.

De no ser así, serán sus representantes legales quienes accedan a dicha información, ya que actúan en nombre y representación del afectado.

Ocurre lo mismo que con el derecho a pedir un informe médico de familiares, solo puede hacerse bajo el consentimiento expreso del interesado.

¿Cuánto tiempo puedo guardar los expedientes de los residentes?

Ni el RGPD ni la LOPDGDD establecen un tiempo mínimo de conservación, sino que dejan en manos del responsable del tratamiento determinar esos plazos en función de la finalidad del tratamiento. De manera general, ese plazo de conservación debe ser suficiente para cumplir con la finalidad del tratamiento y mientras sean exigibles responsabilidades derivadas del mismo.

Además, también hay que tener en cuenta otras leyes que puedan afectar al tiempo de conservación de determinados documentos. Por ejemplo, la conservación para los historiales clínicos (que pueden tener algunas residencias) es de 5 años a contar desde el último tratamiento.

¿Puedo publicar fotografías de los residentes realizadas en actividades en el centro?

No, publicar fotos de ancianos en residencias está prohibido, salvo que tengas el consentimiento expreso de los residentes o de sus representantes legales.

La publicación en una página web de las fotos constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como «Toda revelación de datos realizada a una persona distinta del interesado». Y requiere el consentimiento del afectado.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Si en tu residencia de mayores instalas un sistema de videovigilancia también debes cumplir los siguientes requisitos:

  • Instalar carteles informativos en todas las entradas al centro
  • Incluir esas grabaciones en el registro de actividades de tratamiento
  • No guardar grabaciones después de 30 días
  • Las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local y en zonas comunes
  • Si tenemos una pantalla donde vemos las grabaciones, esta solo debe estar visible por personal autorizado
  • Debemos tener un Impreso donde informe de:
    • Existencia de las grabaciones
    • Fin para el que se recogen dichas grabaciones
    • Posibilidad de que un cliente pueda ejercer sus derechos
    • Identidad del responsable de esta información

¿Puedo contratar una empresa externa para destruir los historiales clínicos?

Sí, puedes contratar una empresa externa para destruir los historiales clínicos, pero para ello es necesario que firmes un contrato de encargado del tratamiento con la empresa que se vaya a ocupar de esta tarea, puesto que debes asegurarte de que ellos también cumplen con la normativa de protección de datos.

Esperamos haberte aclarado todo lo que debes hacer para adaptar tu residencia de ancianos a la normativa de Protección de Datos y evitar ser sancionado.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.