Pla d’ inspecció sectorial d’ofici a hospitals públics de l’agencia espanyola de protecció de dades

Dins del Pla estratègic 2015-2019 de l’Agència Espanyola de Protecció de Dades (AEPD), en l’ Eix estratègic 1, denominat “Prevenció per a una protecció més eficaç”, es contempla un programa dedicat a la Sanitat, on s’engloba el Pla Sectorial d’Ofici que es centra en els procediments tècnics i polítiques d’actuació dels hospitals públics, valora el seu nivell d’adequació a les previsions de la normativa de protecció de dades i emet recomanacions amb l’objectiu final d’elevar el nivell de compliment del sector en aquesta matèria, així com generar confiança en les actuacions de les institucions sanitàries tant en l’àmbit assistencial, com també en el de la recerca.

 

L’ AEPD va fer públic el passat 26 de setembre el  Pla d’inspecció sectorial d’ofici realitzat a hospitals públics, en el que es recullen els resultats i les conclusions de l’anàlisi realitzat per l’ AEPD sobre el nivell de compliment de les garanties en matèria de protecció de dades per part dels hospitals públics. Pot consultar-se el documento a Plan Inspeccion Hospitales Publicos

 

Cal recordar que els plans d’ofici de l’AEPD, que es realitzen amb caràcter preventiu, analitzen el compliment de la normativa en sectors o àrees específiques per a obtenir una visió integral i conjunta que permeti detectar deficiències i realitzar les recomanacions corresponents de manera transversal. Aquest pla d’inspecció no és el primer que aquesta autoritat de control realitza en el sector, sinó que ja a l’any 1995 fou dissenyat un Pla Sectorial d’ Ofici amb l’objectiu d’analitzar el nivell d’adequació a la normativa de protecció de dades en el sector de l’assistència hospitalària pública, les  actuacions del qual finalitzaren el 1996 i en el seu informe de conclusions es posaven de manifest nombroses deficiències. Posteriorment, el 2010, l’AEPD realitzà seguiment mitjançant qüestionari remès a tots els hospitals del Catàleg Nacional per analitzar el compliment de la normativa de protecció de dades, inclosa la implementació de les mesures de seguretat sobre les dades personals tractades, obtenint-se un informe de situació que reportava certes carències, si bé en general, es detectà una evolució positiva en el sector en relació al compliment de la normativa de protecció de dades. El detall de les actuacions anteriors es troba a portalwebAGPD

 

Com a continuació al mencionat en el paràgraf precedent, durant el passat 2016 l’ Agència realitzà noves actuacions d’inspecció dirigides als centres hospitalaris de titularitat pública (tenint en compte els gestionats tant de manera directa com indirecta) i centrant-se en l’auditoria dels aspectes amb més mancances detectats en les actuacions anteriorment referenciades, en concret, en les mesures de seguretat implementades, amb visites presencials als hospitals que foren inicialment auditats i hospitals de nova creació. A més, conscient que en els hospitals es realitzen tractaments de dades personals amb 2 finalitats diferents, això és, la finalitat  assistencial i la finalitat de recerca mèdica, l’ AEPD dugué a terme les seves actuacions comprovant l’adequació d’ambdós tractaments a la normativa.

 

En l’informe final es posa de manifest la tendència general favorable a la progressiva assumpció, no només de la normativa, sinó dels principis i la cultura sobre la rellevància del tractament de les dades en aquest sector i la seva deguda protecció. Amb tot, encara s’han i es poden millorar, entre altres aspectes, els relacionats amb:

-la qualitat i la confidencialitat de les dades conservades,

-la informació oferta als pacients, així com als subjectes participants en els assaigs  clínics,

-l’ obtenció dels consentiments en tots els casos en que siguin necessaris,

-i el reforçament de les mesures de seguretat, potenciant amb caràcter general els mecanismes de control d’accés.

 

D’altra banda, amb el diagnòstic que deriva de l’informe, l’AEPD pretén també oferir un punt de referència amb el que tots els integrants del sector sanitari puguin abordar l’adaptació dels seus sistemes i procediments als nous requeriments que imposa el RGPD, que serà de plena aplicació a partir del proper 25 de maig de 2018 (Reglament UE 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de les persones físiques en el que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i pel que es deroga la Directiva 95/46/CE). Sobre el RGPD, en destaca l’informe 2 aspectes clau:

– l’obligació de realitzar una avaluació d’ impacte de forma prèvia a la posada en marxa de nous tractaments que comportin un alt risc,

– i la necessitat de tot hospital d’incorporar un delegat de protecció de dades a partir de maig de 2018.

 

A l’informe del pla d’actuació presentat, es conclou que l’aprofundiment en la cultura, la formació i els principis que informen sobre la transcendència dels tractaments de les dades personals en aquest sector resulta un element capital en el que caldrà seguir treballant i que, pel que fa al personal sanitari i administratiu del sector, podrien resumir-se en el decàleg següent:

 

1- Tractar les dades dels pacients com voldries que tractessin les teves.

2- Estàs segur que has d’accedir a aquesta història clínica? Pensa-ho. Només ho has de fer si és necessari.

3- Recorda: els teus accessos a la documentació clínica queden registrats en el sistema. Se sap en quin moment i a quina informació has accedit. Els accessos són auditats posteriorment.

4- Evita informar a tercers sobre la salut dels teus pacients excepte que aquests ho  hagin consentit o tinguis justificació lícita.

5- Quan surtis del despatx, assegura’t de tancar la sessió oberta en el teu ordinador. No facilitis a ningú la teva clau i contrasenya; si necessites un accés urgent contacta amb el servei d’informàtica.

6- No enviïs informació amb dades de salut per correu electrònic o per qualsevol xarxa pública o sense fils de comunicació electrònica; si has de fer-ho, no oblidis xifrar les dades.

7- No llencis documents amb dades personals a la paperera, destrueix-los tu mateix o segueix el procediment implantat en el teu centre.

8- Quan acabis de passar consulta, tanca amb clau els armaris o arxivadors que continguin documentació clínica.

9- No deixis les històries clíniques a la vista sense supervisió.

10- No creïs pel teu compte fitxers amb dades personals de pacients; consulta abans amb el departament d’informàtica.

@ Faura-Casas

Uso de cookies

Utilizamos cookies propias y de terceros para mejorar tu experiència como usuario mientras navegas por nuestro sitio web. Si continuas navegando, consideramos que aceptas su uso. Puedes cambiar la configuración u obtener más información política de cookies aquí.

ACEPTAR
Aviso de cookies