Plan de inspección sectorial de oficio a hospitales públicos

Dentro del Plan estratégico 2015-2019 de la Agencia Española de Protección de Datos (AEPD), en el Eje estratégico 1, denominado «Prevención para una protección más eficaz», se contempla un programa dedicado a la Sanidad, donde se engloba el Plan Sectorial de Oficio que se centra en los procedimientos técnicos y políticas de actuación de los hospitales públicos, valora su nivel de adecuación a las previsiones de la normativa de protección de datos y emite recomendaciones con el objetivo final de elevar el nivel de cumplimiento del sector en esta materia, así como generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial, como también en el de la investigación.

 

La AEPD hizo público el pasado 26 de septiembre Plan de inspección sectorial de oficio realizado a hospitales públicos, en el que se recogen los resultados y las conclusiones del análisis realizado por la AEPD sobre el nivel de cumplimiento de las garantías en materia de protección de datos por parte de los hospitales públicos. Puede consultarse el documento en Plan Inspeccion Hospitales Publicos

 

Cabe recordar que los planes de oficio de la AEPD, que se realizan con carácter preventivo, analizan el cumplimiento de la normativa en sectores o áreas específicas para obtener una visión integral y conjunta que permita detectar deficiencias y realizar las recomendaciones correspondientes de manera transversal. Este plan de inspección no es el primero que esta autoridad de control realiza en el sector, sino que ya en el año 1995 fue diseñado un Plan Sectorial de Oficio con el objeto de analizar el nivel de adecuación a la normativa de protección de datos en el sector de la asistencia hospitalaria pública, cuyas actuaciones finalizaron en 1996 y en cuyo informe de conclusiones se ponían de manifiesto numerosas deficiencias. Posteriormente, en 2010, la AEPD realizó seguimiento mediante cuestionario remitido a todos los hospitales del Catálogo Nacional para analizar el cumplimento de la normativa de protección de datos, incluida la implementación de las medidas de seguridad sobre los datos personales tratados, obteniéndose un informe de situación que reportaba ciertas carencias, si bien en general, se detectó una evolución positiva en el sector con relación al cumplimiento de la normativa de protección de datos. El detalle de las actuaciones anteriores se encuentra en portalwebAGPD

 

Como continuación a lo mencionado en el párrafo precedente, durante el pasado 2016 la Agencia realizó nuevas actuaciones de inspección dirigidas a los centros hospitalarios de titularidad pública (teniendo en cuenta los gestionados tanto de manera directa como indirecta) y centrándose en la auditoría de los aspectos con más carencias detectados en las actuaciones anteriormente referenciadas, en concreto, en las medidas de seguridad implementadas, con visitas presenciales a los hospitales que fueron inicialmente auditados y hospitales de nueva creación. Además, consciente que en los hospitales se realizan tratamientos de datos personales con 2 finalidades diferentes, esto es, la finalidad asistencial y la finalidad de investigación médica, la AEPD llevó a cabo sus actuaciones comprobando la adecuación de ambos tratamientos a la normativa.

 

En el informe final se pone de manifiesto la tendencia general favorable a la progresiva asunción, no solo de la normativa, sino de los principios y la cultura sobre la relevancia del tratamiento de los datos en este sector y su debida protección. Con todo, aún se deben y se pueden mejorar, entre otros aspectos, los relacionados con:

-la calidad y la confidencialidad de los datos conservados,

-la información ofrecida a los pacientes, así como a los sujetos participantes en los ensayos clínicos,

-la obtención de los consentimientos en todos los casos en que sean necesarios,

-y el reforzamiento de las medidas de seguridad, potenciando con carácter general los mecanismos de control de acceso.

 

Por otro lado, con el diagnóstico que se deriva del informe, la AEPD pretende también ofrecer un punto de referencia con el que todos los integrantes del sector sanitario puedan abordar la adaptación de sus sistemas y procedimientos a los nuevos requerimientos que impone el RGPD, que será de plena aplicación a partir del próximo 25 de mayo de 2018 (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE). Sobre el RGPD, destaca el informe 2 aspectos clave:

– la obligación de realizar una evaluación de impacto de forma previa a la puesta en marcha de nuevos tratamientos que entrañen un alto riesgo,

– y la necesidad de todo hospital de incorporar un delegado de protección de datos a partir de mayo de 2018.

 

En el informe del plan de actuación presentado, se concluye que la profundización en la cultura, la formación y los principios que informan sobre la trascendencia de los tratamientos de los datos personales en este sector resulta un elemento capital en el que habrá que seguir trabajando y que, por lo que al personal sanitario y administrativo del sector se refiere, bien podrían resumirse en el decálogo siguiente:

 

1- Tratar los datos de los pacientes como querrías que tratasen los tuyos.

2- ¿Estás seguro de que tienes que acceder a esa historia clínica? Piénsalo. Sólo debes hacerlo si es necesario.

3- Recuerda: tus accesos a la documentación clínica quedan registrados en el sistema. Se sabe en qué momento y a qué infromación has accedido. Los accesos son auditados posteriormente.

4- Evita informar a terceros sobre la salud de tus pacientes salvo que éstos lo hayan consentido o tengas justificación lícita.

5- Cuando salgas del despacho, asegúrate de cerrar la sesión abierta en tu ordenador. No facilites a nadie tu clave y contraseña; si necesitas un acceso urgente contacta con el servicio de informática.

6- No envíes información con datos de salud por correo electrónico o por cualquier red pública o inalámbrica de comunicación electrónica; si tienes que hacerlo, no olvides cifrar los datos.

7- No tires documentos con datos personales a la papelera, destrúyelos tú mismo o sigue el procedimiento implantado en tu centro.

8- Cuando termines de pasar consulta, cierra con llave los armarios o archivadores que contengan documentación clínica.

9- No dejes las historias clínicas a la vista sin supervisión.

10- No crees por tu cuenta ficheros con datos personales de pacientes; consulta siempre antes con el departamento de informática.

Facebooktwittergoogle_pluslinkedinmail

@ Faura-Casas

Aquest lloc web utilitza cookies pròpies i de tercers per obtenir informació dels seus hàbits de cerca i intentar millorar la qualitat dels nostres serveis i de la navegació pel nostre lloc web. Si està d’acord fes click a ACCEPTAR o segueixi navegant. Més informació. aquí.

ACEPTAR
Aviso de cookies