El Centro Hospitalario Barreiró-Montijo, a orillas de la desembocadura del Tajo, en Portugal, ha sido la primera entidad al sur de Europa multada por no cumplir con el Reglamento General de Protección de Datos, que empezó a ser obligatorio desde el pasado 25 de mayo. La sanción de 400.000 euros fue impuesta a finales del año pasado por la Comisión Nacional de Protección de Datos de Portugal (CNPD), el equivalente en el país luso a la Agencia española (AEPD).
El hospital ha recurrido la multa, pero “tienen difícil defensa”, reconoció Isabel Jiménez Bautista, delegada de Protección de Datos del Grupo HLA, que pertenece a Asisa, durante su participación en la jornada del pasado 21 de febrero dedicada a esta materia y organizada por la Alianza para la Sanidad Privada Española (ASPE), con la consultora Alaro Avant y la Fundación Global Salud.
El delegado de protección de datos queda a juicio regional
La Agencia Española de Protección de Datos (AEPD) no parece que tenga intención de poner orden, ni unificar criterios en relación a la figura del delegado de protección de datos. Cada comunidad autónoma decidirá si hay un único delegado por cada servicio sanitario autónomico o uno a nivel general para toda la Administración.
“Hay que cambiar el chip. Esta norma requiere que cada servicio sanitario analice su situación y las necesidades de organización. No hay que unificar criterios a nivel nacional, ni la AEPD lo va a hacer”, con esta claridad respondió Jesús Rubí Navarrete a Diario Médico, zanjando así cierto cuestionamiento sobre la implantación de la nueva figura del delegado de protección de datos en el Servicio Nacional de Salud. Rubí también aclaró que, a su juicio, “no parece razonable que haya un solo delegado de protección de datos para todo un servicio de salud autonómico, como por ejemplo, para el Sermas. Otra cosa es que éste hiciera una labor de coordinación de otros delegados de centros sanitarios”.
La CNPD portuguesa sancionó al hospital por un acceso indebido a las historias clínicas de los pacientes. Al menos nueve profesionales del departamento de servicios sociales del hospital habría consultado una información sanitaria de los enfermos para la que solo estaban autorizados los médicos. Pero es que, según recoge la investigación, en el centro trabajan 296 facultativos y los reconocidos para acceder a las historias clínicas de los pacientes eran 985. También habrían incurrido en una falta de mecanismos de protección y protocolos de creación y acceso de cuentas profesionales y de pacientes. En definitiva, la CNPD sancionó al Hospital Barreiró-Montijo por incumplir con la confidencialidad de la información de sus enfermos.
Jiménez Bautista, que conoce en primera persona el esfuerzo que el Grupo HLA ha tenido que hacer en los últimos meses para cumplir con la normativa, del caso luso destaca la importancia de observar “el principio de responsabilidad proactiva que caracteriza al Reglamento General de Protección de Datos”.
María del Carmen de la Cruz, responsable de la Unidad de Apoyo a la Investigación Clínica y Ensayos Clínicos de la Fundación para la Investigación Biomédica del Hospital Gregorio Marañón, de Madrid, coincide con su colega en esa observación, pues admite la dificultad de implementar la norma, pero valora la exigencia que supone la identificación de las necesidades.
Jesús Rubí Navarrete, adjunto a la Dirección de la Agencia Española de Protección de Datos (AEPD), expuso, en el mismo encuentro, sin complejos que ni esta regulación, ni el reglamento general ni la ley orgánica de protección de datos, puede ser interpretada “en términos de blanco y negro”. En definitiva apuntó que hay pocas verdades absolutas en relación a lo que se tiene o no que hacer y todo queda sujeto a las características de cada hospital o clínica.
Por lo tanto, antes de nada, las entidades sanitarias han tenido que realizar una identificación de los procesos de gestión de información que llevan a cabo y de los riesgos asociados. Esto, en sí, ya ha sido de utilidad, como reconoce De la Cruz. “Cumplir con esta norma es un requisito legal, exigente, complicado y fuera de nuestra área de especialidad. Sin embargo, detrás de esta dificultad hemos encontrado la oportunidad de mejorar en el análisis continuo de nuestras actividades, la necesidad de adecuar nuestra documentación y asegurar la calidad de nuestros procesos”, apunta la profesional.
En la misma línea, Jiménez Bautista, de Asisa, reconoce que la aplicación práctica de la norma a los 56 centros del grupo, “nos ha supuesto un gran impacto a nivel de sistemas y organización”. Y apunta: “La ventaja es que se refuerza la imagen de marca ante nuestros pacientes”.
Pero también hubo críticas y dudas más que razonables a pesar del esfuerzo que hizo el legislador español por aclararlas en la Ley Orgánica 3/2018 de Protección de Datos y, de manera especial, en su disposición adicional decimoséptima, dedicada al uso de la información sanitaria. Jiménez explicó a Rubí la imposibilidad -detectada en su compañía- de observar la norma en el punto que establece solo un plazo de 72 horas para comunicar a la AEPD una brecha o fuga de seguridad. “En la práctica cumplir con ese plazo resulta imposible”, asegura.
De la Cruz, por su parte, centró las críticas en la ambigüedad de los términos utilizados en la citada disposición decimoséptima, cuando se refiere a la investigación biomédica. “Cuando permite la reutilización de los datos recabado en una investigación para otra, ¿a qué reutilización se refiere? ¿qué quiere decir con seudonomización?…”.
En definitiva, hay cuestiones que solo el paso del tiempo va a ir aclarando, como reconocen los expertos. Pero mientras esto ocurre los centros deben seguir actuando con el objetivo de dar cumplimiento a la ley, de otro modo, ¿cabría esperar una multa como la conocida en Portugal? Alberto Martín San Cristóbal, director general de la consultora Alaro Avant, asegura que en España, tarde o temprano, conoceremos algún caso como el del hospital portugués. El asesor reconoce que la AEPD está dando una tregua a las entidades para que se pongan al día, “pero, que nadie se engañe, es el órgano sancionador”.
The post El reglamento de protección de datos se estrena con un hospital appeared first on Diariomedico.com.
via Noticias de diariomedico.... https://ift.tt/2IEHltc
No hay comentarios:
Publicar un comentario