Zona Clientes
User
Password
Campus e-Learning
User
Password
  • Zona Clientes
  • Campus E-Learning
Noticias  /  La AEPD analiza por primera vez el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria.

La AEPD analiza por primera vez el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria.

La AEPD ha publicado un Plan de Inspección de oficio de la atención sociosanitaria, con carácter preventivo, para analizar el cumplimiento de la normativa de protección de datos en el ámbito sociosanitario. De dicho Plan, se han obtenido una serie de conclusiones, ¿quieres conocerlas?

07/08/2020

PROTECCIÓN DE DATOS Y EL ÁMBITO SOCIOSANITARIO

Este mes de junio, la Agencia Española de Protección de Datos (AEPD), ha analizado por primera vez el cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria.

Las inspecciones de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo, y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. De manera que la finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.

De dicho análisis, se ha publicado un Plan de Inspección de oficio de la atención sociosanitaria, en el que se recogen recomendaciones dirigidas a los organismos públicos, empresas e instituciones titulares de centros sociosanitarios que inciden en actuaciones necesarias para una correcta aplicación de la normativa de protección de datos:

v  El Reglamento2016/679 General de Protección de Datos (RGPD),

v  La Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

El Plan de se enmarca dentro de las actuaciones previstas en el Plan Estratégico de la AEPD, cuyo objetivo es detectar los tratamientos y cesiones de datos que se llevan a cabo entre ambos sectores, social y sanitario, buscando su adecuación a la normativa de protección de datos.

¿QUÉ CONCLUSIONES SE HAN OBTENIDO?

El Plan de Inspección de oficio de la atención sociosanitaria también incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas a lo largo de su ejecución.

Entre las conclusiones más relevantes se encuentran las referidas a la información que se debe ofrecer al usuario de estos servicios, que preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada.

En cuanto a la tipología de datos con los que se trabaja, estos son muy variados (datos personales y bancarios, sanitarios, de historia clínica, informes, etc.), siendo muchas de estas informaciones de categorías especiales. Por tanto, se recomienda  seguir garantías específicas, estableciendo las medidas adecuadas para proteger los derechos de los usuarios y, en concreto, que los tratamientos sean realizados por profesionales sujetos al secreto profesional, o bajo su responsabilidad.

En este ámbito, el tratamiento de los datos debe observar el principio de minimización de datos, debiendo ser estos adecuados, pertinentes y limitados al objetivo perseguido, aplicándose las medidas técnicas y organizativas que así lo garanticen.

De esta manera, se ofrecen recomendaciones relativas a la seguridad de los datos, entre otras:

v  Minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario;

v  Elaborar perfiles de acceso que consideren las necesidades de información de cada profesional;

v  Realizar auditorías de los accesos;

v  Que los empleados que traten datos personales de los usuarios suscriban un compromiso de confidencialidad,

v  Evitar la utilización de usuarios genéricos cuya utilización se comparte entre varios empleados.

Con respecto a la historia sanitaria y documentación, hay que resaltar que tener múltiples ubicaciones de éstas aumenta el riesgo de un acceso no autorizado. También dificulta los controles de seguridad, que deben multiplicarse. Si bien es fácil recoger la huella de un acceso al sistema de información, el registro de esa misma huella en un archivo en papel es más complicado de implementar y controlar.

Por tanto, se recomienda la  digitalización total de la historia sociosanitaria del centro, de tal forma que se eviten los almacenamientos temporales en papel, accediendo a las historias digitalizadas según las necesidades de los diferentes profesionales. El procedimiento contemplará la adopción de sistemas de almacenamiento seguro, con cerraduras, y controles efectivos de acceso a las salas con documentación sociosanitaria.

Por otro lado, también se han apreciado dudas sobre si los centros podían facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares. En este sentido, la AEPD observa que debe recabarse el consentimiento del usuario.

No obstante, en casos de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre que el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.

Otras recomendaciones se refieren, por ejemplo, a que los contratos de encargado de tratamiento especifiquen todas las obligaciones estipuladas por el RGPD; que las políticas de seguridad se basen en el análisis de riesgos y que se realicen Evaluaciones de Impacto relativas a la Protección de los Datos para los nuevos tratamientos de los centros sociosanitarios.

¿Necesitas formación y/o ayuda en materia de protección de datos personales?

En PREVENSYSTEM contamos con diferentes productos para dar cumplimiento a estos requisitos legales:

v  Consultoría en Protección de Datos Personales, DPO y Software Data Control (Ver productos)

v  Formación en Protección de Datos Personales, Universitario - Delegado de protección de datos personales (Ver productos)

Si quieres consultar con nosotros, puede escribirnos a info@prevensystem.com o bien llámanos a tu agencia más cercana.

Autor: Jorge Otal Citad –Área Protección de Datos – Departamento Técnico PS.

Reconocimientos y participación

Top 100.000 EmpresasEmpresa Responsable con el VIH  y el Sida en EspañaWorld Compliance AssociationSTAREGISTERMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoMiembros de AENOAIntedya
 

Esta web utiliza cookies para obtener datos estadísticos de la navegación de sus usuarios. Si continúas navegando consideramos que aceptas su uso. Más información Aceptar   Rechazar