confidencialitat

Els que parlem de protecció de dades volem dir sempre protecció de les persones, ja que les dades personals són l’expressió de la persona en tots els àmbits de la seva vida. D’altra banda, tant l’elaboració com la interpretació del dret és sempre una qüestió de sentit comú. Tenint en compte totes dues premisses és com hem d’interpretar la multa de 120.000 euros que l’Agència Espanyola de Protecció de Dades (AEPD), en l’expedient EXP202411409, ha acabat imposant a una empresa per incompliment de l’article 5.1.f) del Reglament General de Protecció de Dades. I què diu l’article 5.1.f)? Doncs una cosa tan simple com que les dades personals s’han de tractar aplicant-hi una “seguretat adequada”. (more…)

L’Autoritat Catalana de Protecció de Dades (APDCAT) ha anunciat una disminució en el nombre anual de notificacions de violacions de seguretat durant l’any 2024 en comparació amb l’any anterior. Aquesta reducció trenca, per primer cop, la tendència a l’increment del 20% anual que es portava observant des de l’any 2018.

Concretament, l’APDCAT va rebre un total de 182 notificacions de violacions de seguretat al llarg del 2024, una xifra que suposa una lleugera disminució en relació amb les 183 notificacions registrades el 2023. Tot i tractar-se d’un descens modest –d’un 0,5%-, el nombre d’afectats s’ha vist reduït en més de la meitat, amb un total de 230.000 persones, en comparació amb el milió i mig que es van registrar al llarg del 2023.

L’Autoritat atribueix aquesta millora tan pronunciada en el nombre d’afectats, principalment, a la disminució de ciberatacs, que passen del 31 % l’any 2023 al 17 % l’any 2024, en especial dels de tipus ransomware, que han passat del 19 % al 3 %. Aquests ransomware, amb un funcionament basat en el segrest de les dades, són els que tenen un nombre més elevat de persones afectades. En conseqüència, el 41% de violacions de seguretat que ha rebut l’APDCAT durant l’any 2024 només han tingut impacte en un nombre d’entre 1 i 10 persones.

Tot i així, cal destacar la manera en què, malgrat la notable disminució en l’impacte d’aquestes violacions, el nombre de notificacions a les autoritats s’ha mantingut en línia amb les del 2023. Això posa de manifest que els responsables de realitzar aquestes notificacions no han fet decaure la seva tasca de vigilància i han continuat complint rigorosament amb la seva obligació de reportar els incidents de manera adequada.

Pel que fa a l’origen de les violacions de seguretat, l’error humà passa a ser la primera causa dels incidents (creix del 43 % al 59 %), mentre que l’acte extern malintencionat se situa en segon lloc (baixa del 52 % al 33 %). En última instància, trobem l’acte intern malintencionat (e.g. abusos de privilegis d’accés per part d’empleats que extreuen, copien o reenvien dades sense autorització), que es manté en tercer lloc amb lleugeres variacions a l’alça.

En la mateixa línia del 2023, en la gran majoria dels incidents (92 %) s’hi veu afectada la confidencialitat de les dades, mentre que les violacions que afecten la disponibilitat baixen (fins al 7%), en coherència amb el descens del nombre d’atacs ransomware, que funcionen mitjançant l’encriptació de les dades per posteriorment demanar-ne el rescat, limitant la seva accessibilitat quan es necessitin.

Finalment, com és habitual, la majoria de les violacions afecten dades identificatives bàsiques (nom i cognoms i, en alguns casos, data de naixement) i dades de contacte, en un alt percentatge combinades amb dades de documents d’identitat (com ara DNI, NIE o passaport), l’accés i ús incorrecte de les quals pot suposar, com sabem, un risc important de dany per als seus titulars de les dades compromeses, com ho són el risc de patir una suplantació d’identitat o ser víctima de frau.

Aquestes notícies són especialment rellevants per al sector sanitari, un àmbit especialment vulnerable a aquest tipus d’incidents a causa de la naturalesa sensible de les dades que gestiona, configurades per l’article 9.1 RGPD com dades de categoria especial que requereixen l’aplicació de mesures específiques de seguretat que garanteixin la seva integritat i confidencialitat davant d’intents d’accés no autoritzats i tractaments il·lícits que puguin comprometre la privacitat dels seus titulars.

Tot i així, és important mantenir el nivell d’alerta. Com recordava l’Informe de prospectives de ciberseguretat per al 2024 de l’Agència de Ciberseguretat de Catalunya, el sector salut es manté com a objectiu principal en la matèria, de manera que continua sent primordial l’adopció i el manteniment d’estratègies de ciberseguretat proactiva, flexibles i adaptables àgilment als canvis dinàmics i a la evolució d’aquest tipus d’amenaces cibernètiques.

En aquest sentit, és important recordar que, com estableix l’article 33 del RGPD, en cas que es doni una violació de seguretat de dades personals, el responsable del tractament ho haurà de notificar a l’Autoritat “sense dilació indeguda” i, per regla general, en un termini màxim de 72 hores des que se n’ha pres constància. En aquest sentit, el RGPD considera violació de seguretat aquell incident que ocasioni la destrucció, la pèrdua o l’alteració accidental o il·lícita de dades personals transmeses, conservades o tractades d’una altra manera, o la comunicació o l’accés no autoritzats a aquestes dades.

Així doncs, quan el responsable de protecció de les dades consideri, en base a criteris com el tipus de violació, la categoria i tipologia de les dades o el volum i tipus d’afectats, que la violació suposa un risc de que es produeixin perjudicis (danys físics, materials o immaterials) per a les persones titulars de les dades afectades, ho haurà de comunicar a l’autoritat competent -en el cas de Catalunya, a l’APDCAT- en els termes exposats.

A mode il·lustratiu, l’Autoritat ha considerat violacions de seguretat que han de ser comunicades aquelles que comportin pèrdua de control sobre les dades, restricció de drets dels titulars de les dades, discriminació, suplantació d’identitat, pèrdues financeres, dany per a la reputació, reversió no autoritzada de la pseudonimització o pèrdua de confidencialitat de dades subjectes a secret professional.

En definitiva, tot i la clara millora, seguirem amb interès aquesta evolució en les dades que registren les Autoritats en matèria de violacions de seguretat i en el seu impacte sobre la protecció de les dades personals dels afectats, en especial en aquells sectors especialment crítics com ho és el sector sanitari.

El 16 de febrer de 2023 el Congrés dels Diputats, va aprovar la denominada “Llei reguladora de la protecció de les persones que informen sobre infraccions normatives i la lluita contra la corrupció” publicada en el BOE de 21 de febrer. Amb l’aprovació de la Llei s’incorpora al Dret espanyol la Directiva (UE) 2019/1937 del Parlament Europeu i del Consell, de 23 d’octubre de 2019. La normativa entrarà en vigor 20 dies després de la seva publicació al BOE. En la normativa s’incorporen els dos objectius clars de la Directiva europea: protegir als informants i establir les normes mínimes dels canals d’informació. A continuació identifiquem els principals aspectes de la normativa: (more…)

El termini per a la transposició de la Directiva (UE) 2019/1937 del Parlament Europeu i del Consell de 23 d’octubre de 2019 referent a la protecció de les persones que informen sobre infraccions del Dret de la Unió, també coneguda com la Directiva “Whistleblower”, va finalitzar el passat 17 de desembre de 2021 sense que el nostre legislador l’hagués transposat. La Directiva preveu aquest termini de transposició per tal que les entitats privades i públiques de més de 250 treballadors disposin d’un canal de denúncies intern sobre infraccions del Dret de la Unió que garanteixi la confidencialitat del denunciant. De fet, la Comissió Europea ja ha enviat una carta d’emplaçament a diversos Estats Membres, entre els quals es troba el nostre. (more…)

Dins del Pla Estratègic 2015-2019, l’Agència Espanyola de Protecció de Dades ha realitzat el Pla d’inspecció d’ofici de l’atenció sociosanitària amb l’objectiu principal d’analitzar els tractaments de dades personals que s’efectuen en aquest àmbit i investigar la seva adaptació a la normativa de protecció de dades amb caràcter preventiu.

L’atenció sociosanitària engloba la coordinació de l’assistència sanitària i social dirigida a col·lectius especialment vulnerables com, per exemple, la tercera edat, malalts crònics, persones amb alguna discapacitat física, psíquica o sensorial i en risc d’exclusió social. El pla d’inspecció es refereix a la prestació simultània intensiva, continuada i sinèrgica dels serveis socials i sanitaris. L’Agència considera que més d’un sector sociosanitari s’hauria de parlar del denominat “espai sociosanitari” en què es coordinen els serveis socials i els sanitaris per prestar una atenció integral, que no sigui fragmentada, a l’usuari que presenti simultàniament malalties cròniques i dependència amb serveis transversals i multidisciplinaris que atenen l’individu de forma més eficaç i d’acord amb les seves necessitats específiques.

L’AEPD va començar el seu pla d’inspecció al juny de 2018. Per a això, va realitzar la planificació de l’auditoria identificant els actors involucrats i va realitzar un estudi previ basat en la recerca documental a través d’Internet; en aquesta fase l’Agència es va reunir amb l’IMSERSO. En la següent fase, l’AEPD va procedir a sol·licitar informació i documentació als centres inspeccionats, excloent Catalunya i País Basc per raó de competències. L’Agència va realitzar inspeccions de setembre de 2018 a desembre del mateix any en centres d’Atenció sociosanitària de referència de caràcter públic estatal per a l’atenció a malalts amb una determinada malaltia, hospitals de mitja estada i convalescència públic d’una Comunitat Autònoma dependents de la seva Conselleria de Sanitat, residència de majors especialitzada en Alzheimer d’un Ajuntament gestionat per una empresa privada amb contracte de gestió indirecta i centres privats sociosanitaris d’atenció a malalts mentals amb places concertades, privades i d’asseguradores privades. El pla d’inspecció resulta en l’emissió de l’informe.

El capítol 7 de conclusions i recomanacions de l’informe explica les diferents deficiències detectades i aspectes susceptibles de millora i les recomanacions proposades per a l’esmena o millores d’aquestes.

L’assistència sociosanitària requereix el tractament de moltes dades personals, entre els que s’inclouen dades les categories especials. La prestació sanitària demanda l’ús de dades sanitàries, incloent la Història Clínica, diagnòstics, tractaments, etc.; dades de la Història Social com a informes socials, informació sociofamiliar i de l’entorn, situació econòmica personal, xarxes de suport, etc.; informes psicopedagògics; dades d’avaluació d’autonomia, etc.; registre d’incidències com a caigudes o alteracions conductuals de les persones usuàries, etc.; el denominat Pla d’Atenció Personalitzada/Individualitzada (PAP/PAI) de la persona usuària; dades de familiars o de persones responsables de la persona usuària; contracte de convivència; entre altres dades personals.

L’Agència ha detectat que aquestes dades personals s’utilitzen sovint en documentació en format paper que pot trobar-se dispersa en els diferents espais físics del centre sociosanitari, és el que l’AEPD ha anomenat “illes d’informació” i considera que, en determinades casuístiques, pot afectar la integritat i disponibilitat de les dades personals. També l’Agència detecta que les dades personals són tractades per diferents perfils professionals, per exemple, en les reunions interdisciplinàries mitjançant les quals es coordina l’atenció i es realitzen els seguiments de les persones usuàries. El sector sociosanitari requereix que treballin diferents perfils, personal mèdic, infermer, fisioterapeutes, terapèutic ocupacional, psicològic, psicopedagog, assistencial no diplomat (auxiliars), així com un altre personal gestor o de suport i, fins i tot, orientadors espirituals en els centres religiosos, tot el personal coordinat amb la finalitat d’atendre la persona usuària de manera integral i personalitzada. En aquest sentit, l’Agència relata l’exemple exprés d’una persona usuària que vocifera sense motiu aparent o causa coneguda i l’origen del seu malestar pot ser tant físic, com a psíquic o social, per la qual cosa es necessita tota la informació possible per a prestar la deguda atenció a la persona usuària.

Davant d’aquestes situacions detectades per l’Agència, la mateixa suggereix que una possible solució, dins dels recursos disponibles, és la digitalització total de la història sociosanitària del centre. Per a això, aplicant els principis de protecció des del disseny i per defecte, s’atorgarien als perfils professionals els diferents accessos a les dades personals que necessitin per a poder realitzar la deguda prestació sanitària. La informació s’estructura per diferents accessos i inicialment s’atorguen els privilegis d’accés mínim necessaris per a la prestació sociosanitària, depurant posterior i puntualment altres necessitats sobre la base dels nous requeriments que es presentin.

Tot això, haurà d’acompanyar-se del compromís de confidencialitat escrit i subscrit pel personal que, a més del personal propi, pot incloure persones becàries, estudiants en pràctiques, personal d’empreses externes.

El capítol 7 detecta altres situacions a esmenar i millorar com la informació del tractament de dades personals a les persones usuàries i famílies, licitud del tractament, els fluxos de dades entre administracions i altres actors públics i privats, anàlisis de contracte, plecs i convenis i altres adaptacions al Reglament General de Protecció de Dades. Entre altres esmenes i millores proposades per l’Agència s’esmenta el procediment d’identificació i gestió de les fallides de seguretat, la realització d’una Anàlisi de Riscos per a determinar les mesures tècniques i organitzatives apropiades al nivell de riscos detectat a fi de garantir la seguretat dels tractaments de dades personals, les corresponents Avaluacions d’Impacte relatives a la Protecció de Dades.

És en el capítol 8 de l’informe on es troba el decàleg de recomanacions que pot resumir-se de la següent manera:

1. Informació a la persona usuària preferentment en capes, concisa i amb un llenguatge clar adequat a la capacitat de comprensió de la persona destinatària de la informació. La primera capa haurien de ser cartells informatius senzills situats en zones d’accés als centres juntament amb les llegendes informatives en tots els formularis de recollida de dades personals.
2. Licitud de cada activitat de tractament.
3. Minimitzar la compartició de dades personals entre el personal aplicant els principis de protecció de dades des del disseny i per defecte. Esmenta exprés l’Agència el deure de realitzar auditories dels accessos.
4. El personal amb accessos a dades personals ha de subscriure el compromís de confidencialitat. Han d’incloure’s en els contractes d’encarregat de tractament com a obligatori la signatura del compromís per part dels empleats i a poder ser incloent el model de compromís com a annex al contracte per encàrrec.
5. Evitar la dispersió dels documents en paper amb dades personals en diferents ubicacions del centre i establir les mesures de seguretat per al trasllat i emmagatzematge de la documentació amb mecanismes que impedeixin el seu accés a persones no autoritzades.
6. No s’han d’usar usuaris genèrics.
7. Per a facilitar informació als familiars de la persona usuària sobre la seva estada, ubicació en el centre i estat de salut ha de recollir-se el consentiment de la persona usuària.
8. No usar el fax ni el correu electrònic sense xifrar per a l’enviament de documentació que contingui dades personals de categories especials.
9. Els contractes d’encarregat de tractament han de ser conformes al RGPD. En els contractes de prestació de serveis sense accés a dades personals s’ha de prohibir expressament l’accés a les mateixes i informar el personal treballador. També han d’incloure’s els possibles accessos accidentals o fortuïts amb un compromís de confidencialitat.
10. Les mesures de seguretat s’estableixen sobre la base de l’Anàlisi de Riscos. L’Avaluació d’Impacte relativa a la Protecció de Dades és obligatòria per als nous tractaments dels centres sociosanitaris.

L’informe recull en el capítol 9 algunes preguntes freqüents que resulten d’utilitat pràctica com, per exemple, que no es poden cancel·lar determinades dades personals d’una persona usuària a petició seva perquè cal mantenir l’autenticitat de la història sociosanitària.