Las Residencias de tercera edad, al tratarse de entidades que manejan datos personales de categorías sensibles, deben tener un especial cuidado con nuestros mayores, y, en consecuencia, deben cumplir con lo previsto en la normativa vigente en materia de protección de datos, teniendo en cuenta también que en muchas ocasiones los ancianos se encuentran en situaciones que les impiden conocer y ejercitar sus derechos en igualdad de condiciones.
¿A qué riesgos de protección de datos se enfrentan las Residencias de Mayores?
Las residencias tratan datos personales identificativos de los residentes, como pueden ser sus nombres y apellidos, documentos de identidad, números de teléfono, datos bancarios, e incluso también datos de contacto de sus familiares.
Pero el principal riesgo de protección de datos en las Residencias de Mayores deriva del tratamiento de categorías especiales de datos personales como son los datos de salud (enfermedades, patologías, etc.), respecto de los cuales deben tener especial diligencia y un mayor nivel de protección.
Otra de las especialidades con la que nos encontramos en las residencias de ancianos es que muchos de ellos no tienen plena capacidad de obrar o tienen su capacidad modificada judicialmente. En estos casos, sería el representante legal del residente el encargado de obrar en nombre de este y a quien deberán dirigirse las debidas informaciones.
Medidas para la protección de datos en las Residencias de Mayores
Las residencias de ancianos deben llevar a cabo un registro de actividades del tratamiento en el que debe constar los fines del tratamiento de los datos, qué categorías de interesados se verán afectados, qué categorías de datos personales van a tratarse (en este caso deberían incluirse también los tratamientos de datos sensibles relativos a la salud), y posibles destinatarios, entre otros aspectos.
El tratamiento de datos personales relativos a nuestros mayores por parte de las residencias entraña un alto riesgo para sus derechos y libertades de personas que pueden ser consideradas en situación de vulnerabilidad. La residencia debe realizar un análisis de riesgos para identificar los tipos de riesgos y amenazas a los que están expuestos los datos personales, y establecer controles y medidas de seguridad adecuadas que minimicen esos riesgos y garanticen la confidencialidad. Si se derivase un riesgo alto para los derechos y libertades, la residencia como responsable del tratamiento deberá realizar previamente a los tratamientos en cuestión una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales.
Estas entidades además, deben identificar adecuadamente a las empresas externas que les prestan servicios con tratamiento de datos personales por cuenta del responsable, como por ejemplo las gestorías, la empresa de mantenimiento informático, las empresas de videovigilancia, entre otras. Con ellas deberá firmar los correspondientes contratos de encargado del tratamiento donde deberá recogerse, entre otros aspectos, el objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categorías de interesados, obligaciones y derechos. De igual forma, deberán instar a estas empresas externas a que acrediten un adecuado nivel de cumplimiento de ola normativa de protección de datos.
Las residencias que gestionan la medicación de sus residentes deben firmar contratos con las farmacias que sirven los medicamentos, donde se estipulen las condiciones en las que se producirá la comunicación de datos de los mayores a las farmacias dispensadoras. Esta relación implica necesariamente un traspaso de información sensible de la Residencia a la Farmacia, con motivo de la entrega de recetas o informes médicos indispensables para la dispensación, así como eventualmente podría implicar también la cesión de datos bancarios para el cargo de recibos en cuentas de los mayores o sus familiares. Las residencias deberán informar sobre estas comunicaciones de datos y contar con el consentimiento de los pacientes o de sus representantes legales para estas cesiones, o acreditar que cuentan con poder suficiente para la gestión de los medicamentos de residentes y de la facturación de los mismos.
Como comentamos, la residencia deberá recabar el consentimiento expreso de sus residentes (o de sus representantes legales), siendo estos previamente informados de manera adecuada sobre el tratamiento de sus datos, así como de los derechos que les asisten en materia de protección de datos de carácter personal y las vías por las cuales pueden ejercerlos. Se recomienda aprovechar el momento de ingreso del residente en la institución para que este o el representante legal, en su caso, otorgue poder suficiente para, entre otros aspectos, la gestión de su medicación, y para autorizar el tratamiento de sus datos personales necesarios para la adecuada prestación de los servicios.
Cuando el residente no cuente con plena capacidad de obrar, las debidas informaciones deberán dirigirse a su representante legal, que será quien autorice y consienta el tratamiento de los datos personales en nombre y representación de aquel.
Los empleados de la residencia que traten datos personales para el desempeño de sus funciones deben ser debidamente formados e informados sobre sus obligaciones y derechos en materia de protección de datos. La residencia deberá firmar con ellos compromisos de confidencialidad y cumplimiento del deber de secreto.
Puede ser necesario designar un Delegado de Protección de Datos (DPD) en la residencia, en atención al volumen de datos tratados, en el caso de que se realice un tratamiento a gran escala de categorías especiales de datos personales, como son los datos de salud.
Supuesto especial de fallecimiento
La nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, recoge la regulación específica para que los familiares o personas vinculadas al fallecido por razones de hecho puedan dirigirse al responsable del tratamiento para acceder, suprimir o rectificar datos personales del fallecido.
En caso de fallecimiento del residente, las personas vinculadas al mismo por razones familiares o de hecho, así como sus herederos, podrán dirigirse a la residencia como responsable del tratamiento para solicitar el acceso a los datos personales de aquella y, en su caso, su rectificación o supresión. También podrán dirigirse con estos fines las personas o instituciones a las que el fallecido hubiese designado expresamente para ello. Todas estas personas no podrán solicitar acceso, rectificación o supresión de los datos del residente fallecido, cuando este lo hubiese prohibido expresamente o así lo establezca una ley.
En conclusión, el tratamiento sistemático de categorías especiales de datos personales como son los datos de salud conlleva, ya de por sí, un alto riesgo para la privacidad. En las Residencias, los datos de salud se refieren a un colectivo especialmente vulnerable, como es el caso de los mayores. Estos dos factores, datos sensibles de salud y personas que a menudo no pueden comprender el alcance de su privacidad, hacen que los tratamientos de datos en estas entidades presenten un alto riesgo de vulnerar los derechos y libertades fundamentales de sus residentes en lo que se refiere a su intimidad, privacidad y protección de sus datos de carácter personal. Para ello deben establecerse todas las garantías necesarias y las oportunas medidas técnicas y organizativas que permitan reducir el riesgo de vulneración del derecho a la protección de datos.
Daniel Piña
Asesor Legal en Umbra Abogados