AEPD

La Agencia Española de Protección de Datos (AEPD) ha resolt recentment un procediment sancionador (ref. EXP202402851) contra IDCQ Hospitales y Sanidad, S.L.U. (Hospital Universitari Quirónsalud Madrid) arran de la destrucció d’un CD que contenia imatges de ressonàncies magnètiques aportades per un pacient per ser comparades amb una prova diagnòstica realitzada al centre.

El cas ha generat especial interès perquè posa el focus en qüestions clau per al sector sanitari: el tractament de dades de salut, la gestió de suports físics lliurats pels pacients i l’abast de les obligacions de conservació vinculades a la història clínica.

Els fets es remunten el novembre de 2021, quan un pacient va acudir a l’Hospital Quirónsalud Madrid per fer-se una ressonància magnètica i va aportar un CD amb imatges de proves prèvies realitzades entre 2018 i 2020. Aquell mateix dia va signar un document en què s’indicava que els resultats i informes estarien disponibles durant un mes per a la seva retirada. Quan el pacient va intentar recuperar el CD quatre mesos després, el centre li va comunicar que ja havia estat eliminat per limitacions d’espai a l’arxiu. Davant d’això, va presentar reclamació primer davant del propi hospital i, posteriorment, davant l’AEPD.

En la seva defensa, IDCQ Quirónsalud va sostenir que les imatges contingudes al CD no havien estat generades pel seu centre, sinó per un altre hospital, i que havien estat aportades directament pel pacient. Segons el seu criteri, les obligacions legals de conservació de documentació clínica s’apliquen principalment a la informació creada pel propi centre sanitari i no necessàriament als materials externs lliurats pel pacient. Partint d’aquesta premissa, el centre va argumentar que, en absència d’una obligació específica de conservació, mantenir el CD hauria estat contrari als principis de minimització de dades i limitació de la finalitat del RGPD i que, per tant, no disposaven de base de legitimació suficient, en els termes de l’article 6, per conservar-lo més enllà del termini previst.

L’hospital també va remarcar que la informació que el metge va considerar rellevant sí que es va incorporar a la història clínica del pacient, en forma d’informe mèdic. La resta d’imatges no es van integrar perquè, segons el criteri clínic del facultatiu, no eren necessàries per garantir la continuïtat assistencial.

A més, IDCQ va defensar que disposava d’un procediment intern que regulava la recollida, custòdia i eventual destrucció de proves mèdiques aportades pels pacients. Aquest procediment establia un termini d’un mes perquè els suports físics fossin retirats i, passat aquest període, preveia la destrucció del material no recollit. Segons el centre, el pacient havia estat informat d’aquest termini i, un cop transcorregut, la destrucció del CD es va justificar com una mesura tècnica i organitzativa necessària i proporcionada en el marc del principi de privacitat des del disseny i per defecte.

La resolució de l’AEPD, però, va rebutjar aquests arguments. L’Agència va considerar que el tractament de dades controvertit (la supressió de les dades que contenia el CD) no tenia una base legitimadora suficient que l’emparés, ja que no existeix cap obligació legal que permeti aquesta destrucció abans del termini mínim de cinc anys previst per la normativa sanitària.

En aquest sentit, la AEPD va recordar que l’article 17.1 de la LBAP estableix que els centres sanitaris han de conservar la documentació clínica en condicions que garanteixin el seu correcte manteniment i seguretat, encara que no necessàriament en el suport original, durant el temps adequat a cada cas i, com a mínim, cinc anys des de l’alta de cada procés assistencial, sense especificar que aquesta obligació només faci referència a la documentació que ha estat elaborada pel centre, de manera que inclouria també aquella documentació clínica aportada directament pel pacient. La normativa catalana reforça aquesta idea, i afegeix que les mesures de seguretat previstes a aquest respecte hauran d’estar recollides en protocols interns aprovats per la direcció del centre.

Pel que fa als protocols interns al·legats per l’hospital, la resolució posa de manifest que aquests no estaven degudament implantats ni elaborats en el moment dels fets, sinó que es van aprovar amb posterioritat al procediment sancionador, motiu pel qual no es van tenir en compte com a circumstància atenuant. L’Agència va destacar, a més, la gravetat que un grup hospitalari de la dimensió de Quirónsalud no disposés, en aquell moment, de protocols clars sobre la custòdia i destrucció tant de la documentació clínica generada pel propi centre com dels suports aportats proactivament pels pacients, arribant a qualificar la pràctica de “negligència greu”.

La resolució va imposar sancions per infraccions dels articles 6, 9 i 25 del RGPD, qualificades com a molt greus, amb un import total d’1.200.000 euros.

Més enllà de la controvèrsia jurídica, el cas ofereix lliçons rellevants per als centres sanitaris. És essencial disposar de protocols clars sobre la gestió dels suports físics que aporten els pacients, establir criteris sòlids sobre els terminis de conservació i devolució, i comunicar-los de manera transparent.

Finalment, aquesta resolució posa de manifest que la gestió de dades de salut, fins i tot quan es tracta de suports físics aparentment “externs”, exigeix un enfocament especialment acurat des de la perspectiva del RGPD i obliga els centres sanitaris a revisar i reforçar les seves pràctiques internes.

Els que parlem de protecció de dades volem dir sempre protecció de les persones, ja que les dades personals són l’expressió de la persona en tots els àmbits de la seva vida. D’altra banda, tant l’elaboració com la interpretació del dret és sempre una qüestió de sentit comú. Tenint en compte totes dues premisses és com hem d’interpretar la multa de 120.000 euros que l’Agència Espanyola de Protecció de Dades (AEPD), en l’expedient EXP202411409, ha acabat imposant a una empresa per incompliment de l’article 5.1.f) del Reglament General de Protecció de Dades. I què diu l’article 5.1.f)? Doncs una cosa tan simple com que les dades personals s’han de tractar aplicant-hi una “seguretat adequada”. (more…)

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la memòria de l’any 2023. En el document es detallen les diferents campanyes de conscienciació, difusió, col·laboració i inspecció que s’han realitzat per part de l’AEPD, també hi ha un extracte dels informes, dictàmens, recomanacions, decisions vinculants , declaracions i procediments més rellevants de l’any 2023. Així mateix, s’ha publicat la Memòria de Responsabilitat Social 2023.

Segons les xifres de l’AEPD, aquest any 2023 s’han enregistrat  un 43% més de reclamacions que l’any anterior. Hi ha hagut un increment d’un 114% respecte a l’any 2022 de les reclamacions relacionades a la recepció de publicitat no desitjada. D’aquestes, la majoria fa referència a les trucades telefòniques comercials no desitjades. També es donen casos de recepció de publicitat a través d’SMS, l’obtenció de dades personals sense consentiment o la contractació fraudulenta.

Pel que fa als procediments sancionadors, l’àrea de videovigilància ha estat el grup d’activitat amb un major nombre de procediments resolts durant aquest any 2023. Entre d’altres, hi ha hagut el cas del procediment d’instal·lació d’una videocàmera dins de l’habitatge llogat a diferents inquilins o la col·locació d’una càmera de videovigilància en el hall d’un pis de lloguer per habitacions individuals d’estudiants.

[1]A continuació, en la imatge es pot observar quin ha estat el TOP 10 de procediments sancionadors més habituals segons els grups d’activitats: 

[1] Taula 13: Procediments sancionadors més freqüents de la Memòria 2013 AEPD memoria-aepd-2023.pdf

Dels procediments sancionadors no tots han acabat en sanció. Un 11% s’han resolt amb l’arxiu d’actuacions per part de l’AEPD.

La sanció més quantiosa de l’any 2023 correspon a un procediment del sector de les entitats financeres, en el que s’imposa a Caixabank, S.A. una sanció de 5 milions d’euros, per la infracció dels articles 5.1f), 25 i 32 del RGPD.

Per a més informació o consultar la Memòria de 2023 de l’AEPD completa, aquí.

L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la seva Memòria d’actuació corresponent a l’exercici 2021, en la que es recull de forma exhaustiva les activitats realitzades, les xifres de gestió, els informes i procediments més rellevants de l’any, i una anàlisi dels reptes presents i futurs. (more…)

El passat mes d’octubre, l’Agència Española de Protecció de Dades (AEPD) va imposar una sanció de 20.000€ a una empresa de Martorell per la implementació d’un sistema de control horari de la jornada laboral mitjançant l’ús d’una dada biomètrica, com és l’empremta dactilar del treballador, sense haver realitzat prèviament una avaluació d’impacte. (more…)

Fruit de l’acord entre el PSOE i PP, el  passat divendres 21 d’octubre es donaren a conèixer els noms de les persones que rellevaran la direcció de l’Agència Espanyola de Protecció de Dades (AEPD), així com la nova composició d’organismes com el Tribunal de Comptes, el Tribunal Constitucional i el Defensor del Poble.

La nova directora de l’AEPD serà Belén Cardona Rubert que rellevarà en el càrrec a Mar España Martí, que liderava l’entitat des de juliol de 2015. (more…)

Ben entrat l’any 2021 arriba el moment en què l’Agència Espanyola de Protecció de Dades publica la seva memòria anual sobre l’any anterior, un any -no cal dir-ho- marcat per una pandèmia sense precedents que ho ha condicionat tot. Com no podia ser altrament, l’activitat de l’AEPD durant l’any 2020 s’ha centrat en bona part a garantir i compatibilitzar el dret a la protecció de dades amb les mesures destinades a minimitzar els estralls de la COVID-19. (more…)

Mitjançant un nom tan aparentment inofensiu com el de cookies (galetetes) fem referència a aquells programes que permeten registrar i desar informació personal sobre els usuaris i preferències de navegació per internet, cosa que implica realitzar una petita instal·lació a l’equip de l’usuari. Tot i que les cookies serveixen sovint només per a registrar dades molt elementals que faciliten la navegació, com ara la llengua preferida o la moneda amb què volem pagar, no sempre estem parlant de dades banals, ja que, en molts casos, registren opcions i preferències de navegació i poden servir per a l’elaboració de perfils i la configuració de publicitat personalitzada. És el cas de les cookies anomenades de seguiment. En aquest cas, podem parlar de veritables afectacions a la privacitat de les persones i, en alguns casos, d’una recollida de dades personals. (more…)

Recentment, l’Agència Espanyola de Protecció de Dades (AEPD) ha publicat la guia de protecció de dades per defecte. La nova guia està dirigida als responsables del tractament, delegats de protecció de dades, encarregats del tractament, desenvolupadors i subministradors, que s’encarreguen de dissenyar, desenvolupar i explotar aplicacions i serveis que comporten el tractament de dades personals. (more…)

Dins del Pla Estratègic 2015-2019, l’Agència Espanyola de Protecció de Dades ha realitzat el Pla d’inspecció d’ofici de l’atenció sociosanitària amb l’objectiu principal d’analitzar els tractaments de dades personals que s’efectuen en aquest àmbit i investigar la seva adaptació a la normativa de protecció de dades amb caràcter preventiu.

L’atenció sociosanitària engloba la coordinació de l’assistència sanitària i social dirigida a col·lectius especialment vulnerables com, per exemple, la tercera edat, malalts crònics, persones amb alguna discapacitat física, psíquica o sensorial i en risc d’exclusió social. El pla d’inspecció es refereix a la prestació simultània intensiva, continuada i sinèrgica dels serveis socials i sanitaris. L’Agència considera que més d’un sector sociosanitari s’hauria de parlar del denominat “espai sociosanitari” en què es coordinen els serveis socials i els sanitaris per prestar una atenció integral, que no sigui fragmentada, a l’usuari que presenti simultàniament malalties cròniques i dependència amb serveis transversals i multidisciplinaris que atenen l’individu de forma més eficaç i d’acord amb les seves necessitats específiques.

L’AEPD va començar el seu pla d’inspecció al juny de 2018. Per a això, va realitzar la planificació de l’auditoria identificant els actors involucrats i va realitzar un estudi previ basat en la recerca documental a través d’Internet; en aquesta fase l’Agència es va reunir amb l’IMSERSO. En la següent fase, l’AEPD va procedir a sol·licitar informació i documentació als centres inspeccionats, excloent Catalunya i País Basc per raó de competències. L’Agència va realitzar inspeccions de setembre de 2018 a desembre del mateix any en centres d’Atenció sociosanitària de referència de caràcter públic estatal per a l’atenció a malalts amb una determinada malaltia, hospitals de mitja estada i convalescència públic d’una Comunitat Autònoma dependents de la seva Conselleria de Sanitat, residència de majors especialitzada en Alzheimer d’un Ajuntament gestionat per una empresa privada amb contracte de gestió indirecta i centres privats sociosanitaris d’atenció a malalts mentals amb places concertades, privades i d’asseguradores privades. El pla d’inspecció resulta en l’emissió de l’informe.

El capítol 7 de conclusions i recomanacions de l’informe explica les diferents deficiències detectades i aspectes susceptibles de millora i les recomanacions proposades per a l’esmena o millores d’aquestes.

L’assistència sociosanitària requereix el tractament de moltes dades personals, entre els que s’inclouen dades les categories especials. La prestació sanitària demanda l’ús de dades sanitàries, incloent la Història Clínica, diagnòstics, tractaments, etc.; dades de la Història Social com a informes socials, informació sociofamiliar i de l’entorn, situació econòmica personal, xarxes de suport, etc.; informes psicopedagògics; dades d’avaluació d’autonomia, etc.; registre d’incidències com a caigudes o alteracions conductuals de les persones usuàries, etc.; el denominat Pla d’Atenció Personalitzada/Individualitzada (PAP/PAI) de la persona usuària; dades de familiars o de persones responsables de la persona usuària; contracte de convivència; entre altres dades personals.

L’Agència ha detectat que aquestes dades personals s’utilitzen sovint en documentació en format paper que pot trobar-se dispersa en els diferents espais físics del centre sociosanitari, és el que l’AEPD ha anomenat “illes d’informació” i considera que, en determinades casuístiques, pot afectar la integritat i disponibilitat de les dades personals. També l’Agència detecta que les dades personals són tractades per diferents perfils professionals, per exemple, en les reunions interdisciplinàries mitjançant les quals es coordina l’atenció i es realitzen els seguiments de les persones usuàries. El sector sociosanitari requereix que treballin diferents perfils, personal mèdic, infermer, fisioterapeutes, terapèutic ocupacional, psicològic, psicopedagog, assistencial no diplomat (auxiliars), així com un altre personal gestor o de suport i, fins i tot, orientadors espirituals en els centres religiosos, tot el personal coordinat amb la finalitat d’atendre la persona usuària de manera integral i personalitzada. En aquest sentit, l’Agència relata l’exemple exprés d’una persona usuària que vocifera sense motiu aparent o causa coneguda i l’origen del seu malestar pot ser tant físic, com a psíquic o social, per la qual cosa es necessita tota la informació possible per a prestar la deguda atenció a la persona usuària.

Davant d’aquestes situacions detectades per l’Agència, la mateixa suggereix que una possible solució, dins dels recursos disponibles, és la digitalització total de la història sociosanitària del centre. Per a això, aplicant els principis de protecció des del disseny i per defecte, s’atorgarien als perfils professionals els diferents accessos a les dades personals que necessitin per a poder realitzar la deguda prestació sanitària. La informació s’estructura per diferents accessos i inicialment s’atorguen els privilegis d’accés mínim necessaris per a la prestació sociosanitària, depurant posterior i puntualment altres necessitats sobre la base dels nous requeriments que es presentin.

Tot això, haurà d’acompanyar-se del compromís de confidencialitat escrit i subscrit pel personal que, a més del personal propi, pot incloure persones becàries, estudiants en pràctiques, personal d’empreses externes.

El capítol 7 detecta altres situacions a esmenar i millorar com la informació del tractament de dades personals a les persones usuàries i famílies, licitud del tractament, els fluxos de dades entre administracions i altres actors públics i privats, anàlisis de contracte, plecs i convenis i altres adaptacions al Reglament General de Protecció de Dades. Entre altres esmenes i millores proposades per l’Agència s’esmenta el procediment d’identificació i gestió de les fallides de seguretat, la realització d’una Anàlisi de Riscos per a determinar les mesures tècniques i organitzatives apropiades al nivell de riscos detectat a fi de garantir la seguretat dels tractaments de dades personals, les corresponents Avaluacions d’Impacte relatives a la Protecció de Dades.

És en el capítol 8 de l’informe on es troba el decàleg de recomanacions que pot resumir-se de la següent manera:

1. Informació a la persona usuària preferentment en capes, concisa i amb un llenguatge clar adequat a la capacitat de comprensió de la persona destinatària de la informació. La primera capa haurien de ser cartells informatius senzills situats en zones d’accés als centres juntament amb les llegendes informatives en tots els formularis de recollida de dades personals.
2. Licitud de cada activitat de tractament.
3. Minimitzar la compartició de dades personals entre el personal aplicant els principis de protecció de dades des del disseny i per defecte. Esmenta exprés l’Agència el deure de realitzar auditories dels accessos.
4. El personal amb accessos a dades personals ha de subscriure el compromís de confidencialitat. Han d’incloure’s en els contractes d’encarregat de tractament com a obligatori la signatura del compromís per part dels empleats i a poder ser incloent el model de compromís com a annex al contracte per encàrrec.
5. Evitar la dispersió dels documents en paper amb dades personals en diferents ubicacions del centre i establir les mesures de seguretat per al trasllat i emmagatzematge de la documentació amb mecanismes que impedeixin el seu accés a persones no autoritzades.
6. No s’han d’usar usuaris genèrics.
7. Per a facilitar informació als familiars de la persona usuària sobre la seva estada, ubicació en el centre i estat de salut ha de recollir-se el consentiment de la persona usuària.
8. No usar el fax ni el correu electrònic sense xifrar per a l’enviament de documentació que contingui dades personals de categories especials.
9. Els contractes d’encarregat de tractament han de ser conformes al RGPD. En els contractes de prestació de serveis sense accés a dades personals s’ha de prohibir expressament l’accés a les mateixes i informar el personal treballador. També han d’incloure’s els possibles accessos accidentals o fortuïts amb un compromís de confidencialitat.
10. Les mesures de seguretat s’estableixen sobre la base de l’Anàlisi de Riscos. L’Avaluació d’Impacte relativa a la Protecció de Dades és obligatòria per als nous tractaments dels centres sociosanitaris.

L’informe recull en el capítol 9 algunes preguntes freqüents que resulten d’utilitat pràctica com, per exemple, que no es poden cancel·lar determinades dades personals d’una persona usuària a petició seva perquè cal mantenir l’autenticitat de la història sociosanitària.