[:es]Jurídico[:ca]Jurídic[:en]Legal[:]

Plan de inspección sectorial de oficio a hospitales públicos

Dentro del Plan estratégico 2015-2019 de la Agencia Española de Protección de Datos (AEPD), en el Eje estratégico 1, denominado “Prevención para una protección más eficaz”, se contempla un programa dedicado a la Sanidad, donde se engloba el Plan Sectorial de Oficio que se centra en los procedimientos técnicos y políticas de actuación de los hospitales públicos, valora su nivel de adecuación a las previsiones de la normativa de protección de datos y emite recomendaciones con el objetivo final de elevar el nivel de cumplimiento del sector en esta materia, así como generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial, como también en el de la investigación.

 

La AEPD hizo público el pasado 26 de septiembre Plan de inspección sectorial de oficio realizado a hospitales públicos, en el que se recogen los resultados y las conclusiones del análisis realizado por la AEPD sobre el nivel de cumplimiento de las garantías en materia de protección de datos por parte de los hospitales públicos. Puede consultarse el documento en Plan Inspeccion Hospitales Publicos

 

Cabe recordar que los planes de oficio de la AEPD, que se realizan con carácter preventivo, analizan el cumplimiento de la normativa en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal. Este plan de inspección no es el primero que esta autoridad de control realiza en el sector, sino que ya en el año 1995 fue diseñado un Plan Sectorial de Oficio con el objeto de analizar el nivel de adecuación a la normativa de protección de datos en el sector de la asistencia hospitalaria pública, cuyas actuaciones finalizaron en 1996 y en cuyo informe de conclusiones se ponían de manifiesto numerosas deficiencias. Posteriormente, en 2010, la AEPD realizó seguimiento mediante cuestionario remitido a todos los hospitales del Catálogo Nacional para analizar el cumplimento de la normativa de protección de datos, incluida la implementación de las medidas de seguridad sobre los datos personales tratados, obteniéndose un informe de situación que reportaba ciertas carencias, si bien en general, se detectó una evolución positiva en el sector con relación al cumplimiento de la normativa de protección de datos. El detalle de las actuaciones anteriores se encuentra en portalwebAGPD

 

Como continuación a lo mencionado en el párrafo precedente, durante el pasado 2016 la Agencia realizó nuevas actuaciones de inspección dirigidas a los centros hospitalarios de titularidad pública (teniendo en cuenta los gestionados tanto de manera directa como indirecta) y centrándose en la auditoría de los aspectos con más carencias detectados en las actuaciones anteriormente referenciadas, en concreto, en las medidas de seguridad implementadas, con visitas presenciales a los hospitales que fueron inicialmente auditados y hospitales de nueva creación. Además, consciente que en los hospitales se realizan tratamientos de datos personales con 2 finalidades diferentes, esto es, la finalidad asistencial y la finalidad de investigación médica, la AEPD llevó a cabo sus actuaciones comprobando la adecuación de ambos tratamientos a la normativa.

 

En el informe final se pone de manifiesto la tendencia general favorable a la progresiva asunción, no solo de la normativa, sino de los principios y la cultura sobre la relevancia del tratamiento de los datos en este sector y su debida protección. Con todo, aún se deben y se pueden mejorar, entre otros aspectos, los relacionados con:

-la calidad y la confidencialidad de los datos conservados,

-la información ofrecida a los pacientes, así como a los sujetos participantes en los ensayos clínicos,

-la obtención de los consentimientos en todos los casos en que sean necesarios,

-y el reforzamiento de las medidas de seguridad, potenciando con carácter general los mecanismos de control de acceso.

 

Por otro lado, con el diagnóstico que se deriva del informe, la AEPD pretende también ofrecer un punto de referencia con el que todos los integrantes del sector sanitario puedan abordar la adaptación de sus sistemas y procedimientos a los nuevos requerimientos que impone el RGPD, que será de plena aplicación a partir del próximo 25 de mayo de 2018 (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE). Sobre el RGPD, destaca el informe 2 aspectos clave:

– la obligación de realizar una evaluación de impacto de forma previa a la puesta en marcha de nuevos tratamientos que entrañen un alto riesgo,

– y la necesidad de todo hospital de incorporar un delegado de protección de datos a partir de mayo de 2018.

 

En el informe del plan de actuación presentado, se concluye que la profundización en la cultura, la formación y los principios que informan sobre la trascendencia de los tratamientos de los datos personales en este sector resulta un elemento capital en el que habrá que seguir trabajando y que, por lo que al personal sanitario y administrativo del sector se refiere, bien podrían resumirse en el decálogo siguiente:

 

1- Tratar los datos de los pacientes como querrías que tratasen los tuyos.

2- ¿Estás seguro de que tienes que acceder a esa historia clínica? Piénsalo. Sólo debes hacerlo si es necesario.

3- Recuerda: tus accesos a la documentación clínica quedan registrados en el sistema. Se sabe en qué momento y a qué infromación has accedido. Los accesos son auditados posteriormente.

4- Evita informar a terceros sobre la salud de tus pacientes salvo que éstos lo hayan consentido o tengas justificación lícita.

5- Cuando salgas del despacho, asegúrate de cerrar la sesión abierta en tu ordenador. No facilites a nadie tu clave y contraseña; si necesitas un acceso urgente contacta con el servicio de informática.

6- No envíes información con datos de salud por correo electrónico o por cualquier red pública o inalámbrica de comunicación electrónica; si tienes que hacerlo, no olvides cifrar los datos.

7- No tires documentos con datos personales a la papelera, destrúyelos tú mismo o sigue el procedimiento implantado en tu centro.

8- Cuando termines de pasar consulta, cierra con llave los armarios o archivadores que contengan documentación clínica.

9- No dejes las historias clínicas a la vista sin supervisión.

10- No crees por tu cuenta ficheros con datos personales de pacientes; consulta siempre antes con el departamento de informática.

Novedades en la Ley 10/2017, del 27 de junio, de las voluntades digitales y de modificación de los libros segundo y cuarto del Código Civil de Cataluña

Con el auge del entorno digital en la actividad personal y profesional de los ciudadanos, el legislador ha promulgado la Ley 10/2017, del 27 de junio, de las voluntades digitales y de modificación de los libros segundo y cuarto del Código Civil de Cataluña la cual ha entrado en vigor el pasado 19 de julio.

Enfocada mayoritariamente hacia las redes sociales o plataformas en la nube, en las que los ciudadanos vuelcan todo tipo de información, personal o profesional, con esta legislación se pretende regular cómo debe administrarse la presencia de las personas en los entornos digitales durante la minoría de edad y en los supuestos de capacidad judicialmente modificada y fallecimiento.

Bajo este contexto, las voluntades digitales son definidas como aquellas disposiciones que establece una persona para que, tras su fallecimiento, el heredero o el albacea universal, si lo hubiera, o la persona designada para ejecutarlas, actúe ante los prestadores de servicios digitales con los que el causante tuviera cuentas activas. De dicha forma, el causante puede designar a una persona vía testamento, codicilo o memoria testamentaria o bien, en caso de no haber otorgado disposiciones de última voluntad, a través de un documento que se debe inscribir en el Registro electrónico de voluntades digitales, para que aquella pueda llevar a cabo la comunicación de la defunción a los prestadores, solicitar la cancelación de las cuentas activas y/o solicitar que se ejecuten las cláusulas contractuales o se activen las políticas establecidas para los casos de defunción de los titulares de las cuentas activas y, si es necesario, se libre una copia de los archivos digitales que estén en sus servidores. En caso de no haberse expresado voluntades digitales, se posibilita que sea el heredero o albacea universal, si lo hubiera, el encargado de ejecutarlas, o bien la persona a la cual estos lo hayan encargado.

En todo caso, a excepción de si el causante lo ha previsto expresamente en sus voluntades, el encargado de ejecutar sus disposiciones no podrá tener acceso a los contenidos de las cuentas y archivos digitales del causante, excepto si se obtiene autorización judicial y, teniendo en cuenta que cualquier gasto originado por la ejecución de las disposiciones como regla general correrán a cargo del activo hereditario.

En lo relativo a las situaciones de perdida sobrevenida de la capacidad, las modificaciones que introduce la ley versan sobre la posibilidad de que una persona, para el caso de pérdida sobrevenida de la capacidad, pueda apoderar a otra para que actúe ante los prestadores de servicios digitales con los que el poderdante tenga cuentas activa a fin de gestionarlas y, si procede, solicitar su cancelación. Prevé, no obstante, que el poderdante siempre que sea posible conozca las decisiones que tome el apoderado sobre las cuentas activas y participe en ellas.

Los tutores que velen por la seguridad de las personas las cuales tengan la capacidad modificada judicialmente o bien sobre un menor no emancipado cuando no esté en potestad parental y, por otro lado, los progenitores sobre sus hijos en potestad parental, tienen la obligación de velar para que la presencia de aquellos sea apropiada a la edad y personalidad, a fin de protegerlo de los riesgos que pueda dar lugar el entorno digital. En este sentido, se les otorga la potestad de promover las medidas adecuadas y oportunas ante los prestadores de servicios digitales y, entre otros, instarles a suspender provisionalmente el acceso a las cuentas activas, siempre que hubiere un riesgo claro, inmediato y grave, informado por un facultativo, para su salud física o mental, habiendo escuchado al menor o tutelado.

Se debe tener en cuenta que, en los casos en que los tutores o administradores patrimoniales o bien los progenitores o administradores especiales deseen solicitar la cancelación de cuentas digitales del menor o tutelado a los prestadores de servicios digitales, en este caso, se requerirá una autorización judicial.

Por último la ley crea el Registro electrónico de voluntades digitales el cual, como se ha comentado, es un nuevo instrumento registral de carácter administrativo para dejar constancia de las voluntades digitales cuando estas no se plasman en testamento, codicilo o memoria testamentaria. Se prevé que el acceso a éste únicamente sea por el titular otorgante de las voluntades y, solo una vez fallecido, las personas que acrediten un interés legítimo pueden solicitar un certificado relativo a la existencia o no de este documento y, en cuanto al contenido, únicamente se librará  a la/las personas designadas para la ejecución de estas voluntades digitales. Se prevé no obstante que, a falta de desarrollo reglamentario, el mismo Registro electrónico de voluntades digitales, si tiene conocimiento del fallecimiento del otorgante, comunique de oficio la existencia de voluntades inscritas a las personas designadas para ejecutarlas.

Obligación de las personas jurídicas de obtener el código lei (legal entity identifier)

El 3 de enero de 2018 comienza la aplicación del nuevo marco normativo sobre los mercados e instrumentos financieros, basados ​​en la Directiva 2014/65 / EU y el Reglamento UE 600/2014, ambos relativos a los mercados de instrumentos financieros, conocido como el MiFID II y MiFIR, respectivamente. De estos se desprende la obligación de obtener el código LEI (Legal Entity Indentifier), por parte de las personas jurídicas que dan órdenes a intermediarios financieros para realizar transacciones sobre instrumentos admitidos a negociación si quieren que estos intermediarios sigan ejecutando las operaciones que las instruyen.

En concreto, el código LEI es un código alfanumérico de 20 caracteres que identifica unívocamente a las entidades legales a nivel mundial, siendo único, permanente, consistente y portable para cada entidad.

Como puede parecer coherente no todas las entidades deben disponer de este código LEI, sino aquellas personas jurídicas que participan en los mercados financieros mediante operaciones de repo, derivados o valores. Asimismo, las empresas de servicios de inversión así como entidades de crédito que ejecuten transacciones sobre instrumentos financiero admitidos a negociación en un mercado por cuenta de clientes que sean personas jurídicas deben obtener de estos clientes el código LEI que los identifique antes de ejecutar las operaciones, quedando regulada esta obligación en el artículo 26 MiFIR.

En este sentido, si el cliente no facilita el código LEI al intermediario financiero correspondiente este último no podrá ejecutar las operaciones instruidas para aquellos clientes que sean susceptibles de obtener el código mencionado.

En cuanto a la emisión y gestión del código LEI, en España ha sido confiada a los Registradores Mercantiles, siendo el Colegio de Registradores de España la institución encargada de coordinador el funcionamiento del sistema, aunque es posible solicitar el LEI en otras instituciones extranjeras acreditado por GLEIF. Asimismo, para la obtención del código LEI es necesario que el solicitante cumplimente una solicitud aportantes unos datos básicos de la entidad y se acredite si actúa como en representación de su entidad, o formula solicitud en interés de otra en virtud del mandato expreso, siendo la tramitación rápida y sencilla, que en la mayoría de los casos no sobrepasaría las 48 horas.

En conclusión se recomienda a las entidades que cumplan con los requisitos indicados que tengan en cuenta esta nueva obligación que será necesaria cumplir a partir de enero de 2018, empezando a prever el inicio de la tramitación para la obtención del código LEI, aunque que para operar en derivados y seguros de cambio será obligatorio el uno de noviembre del presente año.

 

 

[1] Repurchase Agreement o Sale and Repurchase Agreement

[1]  Global Legal Entity Identifier Fundation

 

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar tu experiència como usuario mientras navegas por nuestro sitio web. Si continua navegando, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información política de cookies aquí.