No es que los empleados del ámbito sociosanitarios tengan mayores exigencias que sus colegas que realizan una actividad puramente sanitaria, lo que ocurre es que la Agencia Española de Protección de Datos (AEPD) ha publicado los resultados de un estudio sobre el cumplimiento de la normativa de protección de datos en este ámbito asistencial, el sociosanitario. El trabajo, que comenzó a elaborarse en 2018 y cuyos resultados se han publicado esta semana, concluye con una serie de recomendaciones, que se han agrupado en un decálogo.
Entre estos consejos, la Agencia reconoce que "si bien la mayoría de los colectivos profesionales que trabajan en los centros sociosanitarios se encuentran sujetos al secreto profesional, éste se debe complementar mediante un compromiso de confidencialidad escrito que debe ser suscrito por todos los empleados, becarios, estudiantes en prácticas, personal de empresas externas y, en general, cualquier persona con acceso a datos personales de los usuarios del centro".
En el citado documento debe incluirse "la prohibición expresa de difundir, comunicar o revelar a terceras personas cualquier dato personal de los usuarios del centro". Este compromiso del empleado debe tener un carácter indefinido, según la AEPD, con lo cual, persistiría aunque se extinguiera la relación del trabajador con el centro. Además, debe incluir la prohibición expresa de acceder a datos personales de los usuarios que no sean necesarios para el desempeño de su labor en el centro, así como realizar copias de datos o su reproducción en cualquier soporte.
Con respecto a los trabajadores de este ámbito, la Agencia recuerda que no pueden compartir información entre distintos profesionales en relación a un usuario que vaya más allá de "la estrictamente necesaria". "No es válido permitir un acceso absoluto a los datos de los usuarios a todos los profesionales que intervienen en la atención. Se deben elaborar perfiles de acceso que consideren las necesidades de información de cada profesional, desde el diseño de las aplicaciones, aplicando por defecto los privilegios de acceso mínimos necesarios para prestar la atención al usuario". Y aconsejan realizar auditoria de los accesos.
"No es válido permitir un acceso absoluto a los datos de los usuarios a todos los profesionales que intervienen en la atención"
En relación a esa limitación a la información, la AEPD rechaza los "usuarios genéricos, cuya utilización se comparte entre varios empleados, para el acceso a datos de carácter personal, ni de carácter básico ni de categorías especiales, ya que ello supone una vulnerabilidad de seguridad".
- El Reglamento General de Protección de Datos celebra dos años de obligado cumplimiento
- ¿Deben ser los certificados de inmunidad la nueva llave del trabajo?
- La AEPD pide a Sanidad que regule la toma de temperatura en la calle
- Illa apunta a los sistemas de geolocalización como “claves en la desescalada"
Otro aspecto complicado tiene que ver con la información que se proporciona a terceros. Como norma general, la institución recuerda que "debe recabarse el consentimiento del usuario para facilitar información a familiares sobre su estancia o ubicación en el centro, así como de su estado de salud".
Sin embargo, la Agencia también aclara que "en caso de urgencia vital o si la presencia de personas vinculadas al pacientes por razones familiares o de hecho pudiera ser esencial para su debida atención, siempre y cuando el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada".
En contra de lo que solicitan las instancias judiciales, cuando piden el envío por fax de datos de pacientes, "desde una perspectiva de protección de datos, no se debería utilizar el fax ni el correo electrónico sin cifrar para la remisión de documentación que contenga datos personales de categorías especiales, como pueden ser datos de salud u otros datos como informes sociales, psicosociales o de evaluación", dice la Agencia.
Inspecciones de oficio en centros
Para la elaboración de este informe, la AEPD realizó inspecciones de septiembre a diciembre de 2018 en centros sociosanitarios seleccionados, en donde se prestaban servicios con atención directa a usuarios. La selección de los centros auditados se realizó atendiendo a criterios de dimensión territorial (de ámbito estatal, regional y local), dimensión asistencial por los diferentes servicios prestados y dimensión público/privada, según apuntan.
En las inspecciones efectuadas, se mantuvieron entrevistas con los responsables y encargados de los tratamientos de datos, en su caso, la realización de comprobaciones y la recolección de evidencias y documentación asociada.
Una vez recopilada toda la información, documentación y evidencias, equivalente a más de 3.000 folios, la Agencia procedió al análisis de la información de la que resulta el informe que se ha conocido esta semana.
Otra parte interesante de este trabajo es la recopilación de preguntas, reconocidas como las más frecuentes, que encontró la AEPD en la elaboración del informe. Son un total de doce preguntas. Destacamos una que pone en evidencia el problema que existe en residencias y otros centros de ingreso de pacientes, como psiquiátricos, donde el interno no tiene una incapacidad reconocida legalmente, aunque sí efectiva.
Pregunta: En caso de personas sin incapacitar legalmente, pero que, por ejemplo, se encuentran en una fase avanzada de deterioro cognitivo y se niegan a recibir la atención social ¿se pueden tratar sus datos sin su consentimiento?
Respuesta: Sí, es posible, ya que la base jurídica del tratamiento de sus datos personales no es su consentimiento, sino una obligación legal aplicable al responsable del tratamiento, o el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos. Dependiendo de los casos y las circunstancias también puede ser aplicable que el tratamiento sea necesario para proteger los intereses vitales del interesado. Además de estas bases, puede ser aplicable alguna de las excepciones del artículo 9.2 del Reglamento General de Protección de Datos o una conjunción de ellas.
via Noticias de diariomedico.... https://ift.tt/306GyIy
No hay comentarios:
Publicar un comentario