Cumplido ya el primer aniversario de la entrada en vigor de la normativa europea de protección de datos (RGPD), sorprende descubrir que aún no se ha trabajado en la implantación de medidas de seguridad claras y concretas en el sector sanitario. Con un golpe de vista, podemos detectar que no todas las clínicas privadas exponen el correspondiente cartel informativo de Protección de datos, en los que se informe a pacientes sobre el tratamiento de sus datos, o descubrir que se sigue haciendo mención a la derogada LO 15/99 en los consentimientos que nos den a firmar (en el mejor de los escenarios).
La norma tampoco permite que los pacientes sean llamados en voz alta en las salas de espera y, aunque hay quien ha establecido un sistema de códigos, la realidad es que muchas veces se recurre al grito para llamar a los pacientes que están esperando a ser atendidos.
Obligaciones específicas de las clínicas privadas
Las clínicas privadas tratan datos de categorías sensibles de manera sistemática y habitual (salud). Tienen la consideración de centros sanitarios y a ellos se les impone la obligación de designar a un Delegado de protección de datos (DPD). Esta figura, que puede ser interna o externa a la organización, deberá de velar por el cumplimiento de la normativa y guiar el proceso de diseño e implementación de medidas para garantizar la confidencialidad de los datos, en especial, de los contenidos en las historias clínicas de pacientes.
La no designación del DPD supone una infracción grave que podría traducirse en multas administrativas de 10.000.000€ como máximo o de una cuantía equivalente al 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Además, las clínicas que realicen tratamientos a gran escala (gran cantidad de datos que afecten a muchas personas) tendrán la obligación de realizar una Evaluación de impacto para poder identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento.
La norma exime a los profesionales de la salud que actúen a título individual de la obligación de designar a un DPD. Es decir, el tratamiento de datos personales de pacientes que se lleve a cabo por “un solo médico” no requerirá la designación de DPD.
Recomendaciones
Para crear una cultura de cumplimiento, es necesario establecer un Plan de Protección de Datos efectivo para evitar situaciones cotidianas de riesgo innecesario, como pueden ser el acceso a historias clínicas arbitrario e injustificado, la comunicación de datos sobre diagnósticos o estado de salud de pacientes a terceros no autorizados, el tratamiento de datos de salud sin consentimiento cuando resulta preceptivo, el descuido de ordenadores abiertos sin cerrar sesión cuando no están en uso, compartir claves de acceso con terceros, enviar datos de salud por email sin cifrar o no cerrar con llave armarios con documentación clínica, por citar algunos ejemplos.
Conclusiones
Las denuncias ante la Agencia Española de Protección de Datos en lo relativo a las Clínicas privadas se refieren sobre todo a la difusión de datos de pacientes a través de Internet, expedientes médicos en la basura sin previa destrucción, pérdida de historiales clínicos, utilización de los datos sanitarios para finalidades no autorizadas por los pacientes, comunicación indebida de datos de salud a terceros y fundamentalmente, al acceso a historias clínicas de forma injustificada por el personal sanitario. Las denuncias por vulneración de la protección de datos no solo irán por la vía administrativa, sino también por vía la penal, con condenas para los infractores de inhabilitación o incluso cárcel. En este sentido, no solo será responsable de la infracción la empresa responsable del fichero, que en este caso sería la clínica, sino también la persona física que acometió directamente la conducta delictiva.
Ignorantia juris non excusat: el desconocimiento de la Ley no exime de su cumplimiento. La ley existe para todos y debe cumplirse de forma tal que sea posible acreditar dicho cumplimiento. Resulta clave formar al personal implicado y concienciarles sobre la sensibilidad de los datos manejados, así como invertir los recursos necesarios para prevenir desde el punto de vista organizativo y tecnológico, que puedan producirse incidentes constitutivos de infracciones o delitos. El asesoramiento de expertos en protección de datos es muy recomendable, puesto que, al tratarse de un sector de tan amplia y dispersa regulación, es preciso conocer las particularidades para poder prevenir adecuadamente los riesgos.
Beatriz Valle
Asesora Legal en Umbra Abogados