Política y Sociedad AVISO DE LA AGENCIA DE PROTECCIÓN DE DATOS DESDE LA NUEVA SEDE DE SEDISA

Gran parte de la Sanidad Pública va rezagada en materia de protección de datos

El Foro la Sociedad Española de Directivos de la Salud (SEDISA), dedicado a la actualización sobre la normativa de protección de datos en el ámbito de la salud, ha concluido con el aviso de la Agencia Española de Protección de Datos (AEPD) de que la Sanidad española, especialmente Pública, va con retraso en su implementación de medidas sobre protección de datos personales.

Este encuentro formativo fue organizado para conocer el grado actual de aplicación en el sector sanitario del Reglamento General de Protección Datos (RGPD), promulgado el 25 de mayo de 2016 desde Europa y hecho efectivo dos años más tarde en todos los Estados miembro, además de los efectos de la Ley Orgánica 3/2018 de Protección Datos y Garantía de Derechos Digitales (LOPD-GDD), vigente desde el 7 de diciembre de 2018.

Joaquín Estévez

Formar en prevención

El presidente de SEDISA y de la Fundación SEDISA, Joaquín Estévez, encuadró la convocatoria en la labor que realiza esta organización al servicio de la formación de los directivos de salud, con el añadido, según razonó, de que la protección de datos es un asunto que nunca pierde actualidad.

Para recalcar ese primer argumento, Joaquín Estévez puso dos ejemplos. Uno remoto, en tiempos en los que él mismo era gerente del madrileño Hospital Universitario Puerta de Hierro de Majadahonda, y otro de de esta semana, por el que se conoció, a través de los medios, un uso fraudulento de los datos de los usuarios de la app de la Liga de Fútbol Profesional (LFP).

Sin poder analizar el segundo, al comentarse por sí mismo en toda su crudeza, sí tuvo El máximo representante de SEDISA palabras agradecidas en el recuerdo de ese primer episodio. Concretamente, elogió la ayuda prestada por el ente para la protección de datos de la Comunidad de Madrid, dirigido por el señor Troncoso, cuando le ayudó a resolver dudas sobre la gestión de expedientes clínicos en aquellos tiempos en los que dirigió el hospital majariego.

Respetar lo más importante

La memoria del caso anterior llevó a Estévez a expresar, en sus palabras de apertura de la jornada, que un hospital siempre debe ser muy escrupuloso en el manejo de la información que generan las experiencias vivenciales de las personas y familias que acuden a él. Sobre el encuentro en cuestión, se remontó a una jornada previa también organizada por SEDISA ante la llegada del reglamento europeo.

Una norma que, según las palabras del presidente de esta Sociedad, desplazó el modelo anterior de protección de datos hacia otro basado en la responsabilidad proactiva, por parte de todos los miembros que forman cada organización, pública o privada. Todo ello con un punto de partida, según el cual, hace un año, el 73 por ciento de las entidades confesaban falta de diligencia al adaptarse a la nueva normativa comunitaria y nacional.

Lo anterior por seguir inmerso en el marco legal vigente desde 1995 con la Ley Orgánica de Protección de Datos (LOPD). A colación de ello, Estévez estima tan oportunas las jornadas celebradas, como el documento de posicionamiento que realizó esta sociedad científica con 11 postulados irrenunciables sobre protección de datos.

Mar España

Habla la Agencia

En su disertación sobre la normativa de protección de datos en el ámbito de la salud, la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, vio similitudes en las pérdidas que representan para las personas tanto los daños a su salud como a su privacidad. Por eso, agradeció la oportunidad de compartir una sesión con profesionales que salvan vidas, de cara a ayudarles a cuidar también los datos de las personas a las que atienden.

Como novedades de la AEPD, su directora citó guías de orientación, como la de 2018 de buenas prácticas para Big Data en el sector salud, entre otras, y un plan de oficio para la coordinación sociosanitaria que pronto verá la luz, además de una para el tratamiento de datos en el ámbito, que verá la luz a finales de este año. Antes del verano, se colgarán en el portal guías con herramientas de seguridad.

Ayudar y acompañar

Mar España, que afirmó que la Agencia está para ayudar y acompañar a los ciudadanos y las organizaciones, puso a disposición de todos sus canales de información y comunicación. Así, habló de las más de 750.000 visitas que recibió la web de la institución y los próximos microsites y bloques de preguntas frecuentes que pronto la enriquecerán, aunque, en otro aspecto, también reconoció que se encuentra un poco desbordada porque, a pesar de haber incorporado sus cuadros humanos con 60 efectivos, las reclamaciones que tiene que atender el organismo crecieron un 600 por ciento.

Portabilidad y olvido

Como descripción del nuevo marco regulatorio, España coincidió con Estévez en que, ahora, prima un criterio más proactivo y preventivo para velar por la privacidad de los ciudadanos desde el diseño de los servicios, para lo cual es fundamental elegir bien a cada delegado de protección de datos (DPO), cuya misión es aportar una buena base jurídica al trabajo de prevención de riesgos y capacidad para implicar en esta nueva cultura a los directivos y demás miembros de la organización.

España añadió a los derechos consagrados por la LOPD de 1995, de Acceso, Rectificación, Cancelación y Oposición, los dos nuevos que establece el reglamento europeo, los cuales son el derecho a la portabilidad de la información por parte del titular y el derecho al olvido. Respecto a este último, afirmó que la Justicia europea sentenció a favor de ciudadanos locales frente a la multinacional Google, desde el principio de extraterritorialidad, algo que ya salvaguardó los derechos de centenares de miles de europeos, según explicó.

Un completo articulado

Además, esta ponente comentó que el Articulo 13 del reglamento exige que las organizaciones ofrezcan toda la información necesaria, tanto a sus pacientes, como a sus propios trabajadores, para un adecuado tratamiento de los datos, mientras que la ley orgánica permite el acceso a la información particular, cuando así lo demandan la salud individual o la pública, la calidad de la asistencia y las obligaciones de los centros.

Al mismo tiempo, indicó España que el Articulo 34 de la ley exige que las empresas e instituciones dispongan de un delegado, interno o externo, para custodiar la información, con la excepción, por ejemplo, de médicos con consulta particular, en virtud de un considerando específico. Pese a todo este articulado, confesó su sorpresa al ver, muchas veces en la Agencia, que multitud de páginas webs corporativas aún tienen avisos ajustados a la ley de 1995.

La historia clínica

Sobre el acceso a la historia clínica, España precisó que viene determinado por la Ley de Autonomía del Paciente y la Ley General de Sanidad, además de la normativa europea, que determina la correcta trazabilidad de las tentativas de acceso y accesos confirmados, con huella digital que debe ser auditada a posteriori. Todo ello con mención especial a que el personal sanitario estatutario solo tenga acceso a la parte que le concierna en el proceso asistencial y nunca a su totalidad o sin motivo justificado.

El objetivo es que no vuelvan a aparecer historiales clínicos abandonados en contenedores, al ser estas situaciones en las que la AEPD siempre actúa de oficio. En cuanto al ofrecimiento de información, la directora de la AEPD vio dos casos extremos: el de una madre a la que Facebook negó la posibilidad de ver los últimos contenidos de su hija que se había suicidado y esas tantas ocasiones en las que se agobia con consentimientos informados a los pacientes sin que sean realmente necesarios.

Nuevo enfoque sancionador

La máxima exponente de la AEPD estima que, en materia sancionadora, se renunció a algunas acciones casi automáticas de hasta 600.00 de euros, en beneficio de un esquema de apercibimiento más flexible, lo que no obsta, advirtió, para que, en caso de que haya un infractor contumaz, por ejemplo en el sector público, cuyo cargo, nombre y faltas serían publicados en el Boletín Oficial del Estado (BOE), con petición de medidas disciplinarias a la organización concreta y en paralelo a una posible queja al Defensor del Pueblo.

Sin cheques en blanco

En cualquier caso, ante una reclamación, España aconsejó actuar rápidamente antes de que se convierta en viral, mediante la más rápida satisfacción posible al paciente, con una dinámica que permite resoluciones en un mes, desde la Agencia, prorrogable a otros dos, sin que este margen deba ser visto por cualquiera de los 30.000 entes públicos y los 3,5 millones de empresas del país como un «cheque en blanco».

De igual modo, la directora de la Agencia aclaró que todo proceso sancionador administrativo queda en suspenso hasta las sentencias del ámbito penal si las hubiera, con el peligro que supone que muchos sanitarios ignoren que pueden incurrir en responsabilidad penal, especialmente si sucumben al mal nacional del «cotilleo».

Un test decepcionante

En un momento de su ponencia, la máxima responsable de la AEPD preguntó a los directivos asistentes si disponían en ese momento de DPO y registro de actividades de tratamiento. Ante la escasez de manos alzadas, no pudo menos que sorprenderse, para añadir un «tomáoslo en serio», porque desde hace un año esas medidas son necesarias, además de hacer un atento análisis de riesgos e impactos, sobre todo cuando se efectúa un uso masivo de información. En ese sentido, animó a los presentes a tener en cuenta que la mayor parte de las organizaciones ya tienen de antiguo bases de datos registradas en la AEPD, previamente a la llegada del reglamento europeo.

Fernando Jou

Asesor en proyectos punteros

Para concluir su charla, la directora de la AEPD citó el trabajo que realiza la unidad de evaluación de proyectos tecnológicos, al ser uno de los recursos estrella de la Agencia, con capacidad de asesorar entre cuatro y cinco grandes desarrollos por año, sin olvidar mencionar los premios que otorgará a aquellos que demuestren estar en vanguardia en la protección de datos, a escala nacional.

Prevenir riesgos y reparar daños

El director gerente del Hospital Virgen de La Poveda de Madrid y vicepresidente del comité de antiguos alumnos de SEDISA (ALSEDISA), Fernando Jou, moderó una mesa de debate sobre la materia del día. Tras describir este centro como pequeño de media estancia, mostró su orgullo al tener delegado de protección de datos desde el principio.

Entre otras cuestiones, al dirigir las preguntas de los asociados a los ponentes invitados, Fernando Jou se refirió al plazo de 72 horas establecido por la actual legislación para la notificación de brechas de seguridad en los sistemas de protección de datos.

Jesús Rubí Navarrete

Distintas bases jurídicas

El coordinador de la Unidad de Apoyo y Relaciones Institucionales de la AEPD, Jesús Rubí Navarrete, destacó la figura del DPO a la hora de reparar los fallos de seguridad y no solo para establecer las medidas preventivas para garantizar la privacidad de las personas.

Sobre las bases jurídicas de protección de datos, aseveró Jesús Rubí Navarrete que cambiaron para hacerse más amplias y flexibles, debido, explicó, al Articulo 9, que incluye excepciones y obligaciones legales, consentimientos y otras circunstancias.

Rubí Navarrete declaró también que no existen todavía estadísticas sobre el grado de implantación del nuevo marco regulador, aunque sí hay percepción en la AEPD de que el sector privado se adapta con mayor celeridad e interés que el público.

Tranquilizar a los comités éticos

La información es masiva en los servicios de salud y múltiples sus posibles usos. De cara a usar grandes volúmenes de datos y promover la Medicina Personalizada, este ponente admitió que los datos recogidos para una patología concreta pueden ser utilizados para otra por criterio de beneficio para la sociedad.

En ese sentido, entendió Jou que las evaluaciones de impacto deben agrupar campos temáticos desde una interpretación funcional y sensata de la nueva normativa, aspecto que quiso dejar claro para tranquilidad de los comités éticos de la investigación. Además, comentó que el Comité Europeo de Protección de Datos da una orientación que probablemente modificará la forma de encarar los ensayos clínicos.

Buena ejecutoria en Madrid

En la necesaria transición desde la regulación anterior, este coordinador apreció asimetrías intra sectoriales, mientras que, a escala territorial, encontró que la Comunidad de Madrid consiguió ventaja al tener una agencia de protección de datos que ya venía funcionando bien desde antes.

Sobre los códigos de conducta, Jou asumió que son buenos porque dan orientación y dan presunción de cumplimiento de la normativa comunitaria. Concluyó con el recordatorio de que cada organización debe hacer su propia evaluación de impactos y riesgos en materia de protección de datos.

Cristina Gómez Piqueras

Implicar a los directivos

La inspectora de la Subdirección General de la Inspección de Protección de Datos de la AEPD, la también instructora Cristina Gómez Piqueras, considera que la cultura de la protección de datos siempre depende de todos y cada uno de los directivos de la organización sanitaria.

Como interlocutores de la AEPD, Cristina Gómez Piqueras habló de las Consejerías de Sanidad, en el sector público, y de los gerentes en los hospitales y grupos asistenciales privados. En estos últimos, señaló que, despedir al responsable de protección de datos por un error o una infracción para eludir un procedimiento sancionador, como es frecuente en el sector privado, no tiene efecto alguno sobre la resolución final a la que haya lugar.

Brechas de seguridad en Sanidad

Desde su experiencia, esta ponente vio que el interés de médicos y enfermeras por conocer el uso legal de los datos de los pacientes no se traduce en una consecución efectiva de conocimiento, a pesar incluso, de realizar cursos. Como datos, aportó que en el último año hubo 1.016 brechas de seguridad, generalmente de riesgo leve para el paciente, además de las 901 reclamaciones que hubo en 2018, especialmente por restricciones en el acceso a las historias clínicas.

Otro fleco de iDental

Como casos más peliagudos, Gómez Piqueras se refirió a los accesos ilegítimos a la información personal que ocurren entre familiares con desavenencias y enemistades, aunque precisó que la última subida en el volumen de reclamaciones se debió a la apertura y clausura de las clínicas de la cadena iDental, que desatendió medio centenar de peticiones de acceso a las historias clínicas, ya de por sí muy parcas en información. En cualquier caso, y según ella, la AEPD incoó el correspondiente procedimiento sancionador a esta cadena, que hoy está en suspenso hasta que se produzca la correspondiente sentencia judicial.

Gratuidad de la historia clínica

Aclaró también Gómez Piqueras que el acceso a la historia clínica siempre debe ser gratuito, salvo algunas excepciones autonómicas por razón de soporte en el que se facilite el historial médico, donde cabría cobrar una tasa, como en Castilla y León, si se facilita en una memoria portátil o un CD, o si se se piden más copias que una primera historia clínica gratuita.

Carmen Pérez Canal

La transparencia como esencia

La técnico administrativa de la Subdirección de Planificación de la Dirección General de Recursos Humanos del Servicio Madrileño de Salud (SERMAS), Carmen Pérez Canal, distinguió entre los responsables de tratamiento de la información personal y los máximos responsables de los servicios centrales de las organizaciones, aunque a todos ellos les incumbe el conocimiento de la implicación que conlleva la gestión de los datos, además de la obligación de poner los medios para su protección.

Complementariamente a lo dicho por los otros ponentes, Carmen Pérez Canal reiteró que la transparencia se presenta, con el reglamento europeo y la ley orgánica de 2018 en la mano, como el principal valor en esta materia. Por otro lado, mencionó el uso en la Comunidad de Madrid de plantillas y una matriz específica para tratar la adecuación protectora de datos. A la vez, disipó temores a los miembros de los comités de ética de la investigación, al poderse usar los datos disponibles en ensayos pivotales y tesis doctorales.

Gloria Torralbo

Como ejemplo de respeto a la privacidad, esta ponente citó que en la Comunidad de Madrid existe reconocido el derecho de comunicar a los familiares el número de la habitación de los pacientes ingresados en los hospitales de la región.

En el terreno punitivo, aclaró Pérez Canal que el delito de revelación de secretos ya existía antes del reglamento europeo, mientras que cada mes los tribunales condenan a algún profesional sanitario por un uso indebido de datos personales de los pacientes.

Deberes por hacer

Las conclusiones y el cierre de la jornada corrieron a cargo de la presidenta de ALSEDISA, Gloria Torralbo, que emplazó a todos sus antiguos compañeros a participar en los foros mensuales que celebrará esta entidad, desde ahora, con un primer encuentro sobre contratación pública, que se celebrará a finales de junio.

Deja un comentario