Jurídic

Les dades s’han convertit en un actiu empresarial clau per a qualsevol empresa, aquesta afirmació és una realitat indiscutible. Les organitzacions disposen d’una voluminosa quantitat de dades personals d’usuaris, de clients, de proveïdors, de treballadors, i un gran etcètera, que un cop processades i explotades generen un gran valor a l’empresa, però perquè aquestes dades tinguin valor real cal assegurar la qualitat de les dades, així com la seva seguretat i privacitat. Cal ser conscients que l’ús inadequat de les dades pot ocasionar greus danys financers i reputacionals a l’Organització. Per tal de promoure una gestió efectiva és important disposar d’un procés de governança de les dades o data governance. (more…)

Les avaluacions d’impacte en protecció de dades (AIPDs) són una de les novetats que incorpora el Reglament (UE) 2016/679, del Parlament Europeu i del Consell, de 27 d’abril de 2016, relatiu a la protecció de dades de les persones físiques pel que respecta al tractament de dades personals i a la lliure circulació d’aquestes dades i pel qual es deroga la Directiva 95/46/CE (Reglament General de Protecció de Dades o RGPD). En efecte, la normativa actualment vigent en protecció de dades es pot dir que focalitza els esforços en dos eixos bàsics: la pro activitat i l’anàlisi dels riscos que els tractaments poden produir sobre les dades personals. Així, tota organització es troba permanentment en el deure de gestionar la informació conforme amb els nous principis i en especial, amb el de la privacitat des del disseny i per defecte. (more…)

El proppassat dimarts 14 de juliol la nostra gerent de Serveis Jurídics, Caterina Bartrons, i l’assessor jurídic de La Unió, Josep Maria Bosch, van fer una nova sessió de petit format adreçada a Hospitals Comarcals i Clíniques en què han participat representants d’arreu del territori – des de la Vall d’Aran fins a les Terres de l’Ebre. Des del Codi Tipus seguim al costat de les entitats sanitàries i socials en moments excepcionals, també en format virtual!

El fet que ens trobem en situació excepcional de pandèmia no pot aturar la tasca que tenen atribuïda les autoritats de control a l’hora de salvaguardar el dret a la protecció de dades. Per això, continuant amb la seva política d’elaboració de guies sectorials, l’Autoritat Catalana de Protecció de Dades (APDCAT) ha publicat aquest juny passat una Guia de Protecció de Dades per a Pacients i Usuaris dels Serveis de Salut. No cal dir que, per la transcendència social i la sensibilitat de les dades de salut, que no parem de generar d’ençà que naixem i fins al dia de la nostra mort, aquesta guia està destinada a captar tota la nostra atenció.

De seguida que comencem a llegir, comprovem que, en contra de les expectatives, no conté sorpreses ni solucions a dubtes d’interpretació. De fet, la guia no es planteja introduir canvis o abordar qüestions doctrinals complicades, sinó simplement recordar de forma entenedora i sistemàtica un seguit d’aspectes claus relatius als drets dels pacients i usuaris dels serveis de salut i sobre les dades de salut en general. Per això, el format és el de preguntes i respostes, com en unes FAQs, amb una redacció apta per a no juristes.

Des d’un primer moment, la guia ens explica què és una dada de salut, i ens aclareix que el CIP (el codi del pacient) també ho és. També apareix la qüestió de la història clínica, que es planteja també com a un dret del pacient, que és el veritable titular de les dades que s’hi consignen i no pas el centre o el professional. Perquè el dret a la protecció de dades del pacient s’expressa en una multiplicitat de drets: el dret a ser informats sobre el tractament de les dades, però també el dret d’accés a les dades i a la història clínica (llevat les anotacions subjectives dels professionals) i els drets de portabilitat, limitació, oposició, rectificació i supressió. Per al cas que no s’atenguin aquests drets, el pacient o usuari dels serveis de salut sempre podrà adreçar-se directament al Delegat/da de Protecció de Dades de l’entitat o a l’APDCAT.

Com a novetat més significativa, l’APDCAT aborda per primer cop en un sol apartat aquelles comunicacions de dades realitzades com a conseqüència de les mesures i regulacions extraordinàries adoptades en la lluita contra la COVID-19. Són casos vinculats a la declaració obligatòria de malaltia i als brots epidèmics, i preveuen comunicacions al centre de treball o escolar o a persones relacionades, sense haver de comptar amb el consentiment de la persona afectada. L’APDCAT declara que totes aquestes comunicacions són necessàries i estan legitimades, com també és lícit que la Generalitat de Catalunya faci servir una app per recollir dades de la ciutadania en relació amb la COVID-19. No seria legal, però, que s’establís una obligació ciutadana de contestar aquestes enquestes.

Finalment, la guia respon algunes qüestions bàsiques relatives a tractaments de dades de salut en l’àmbit administratiu, de la recerca, de la docència i de la salut laboral. Són qüestions totes elles que no podem obviar. 

Com a anècdota, val a dir que la guia es pronuncia sobre un tema antic i relativament polèmic, que és el de si el centre assistencial pot proporcionar informació sobre el número d’habitació a les visites dels pacients. En aquest cas, l’APDCAT adopta una solució força de sentit comú i no gaire diferent al que ja havien dit d’altres autoritats: a menys que hi hagi una autorització expressa del pacient, només es podrà donar aquesta informació a les persones que acompanyin el pacient durant el procés assistencial.

En definitiva, ens trobem amb una guia escrita amb llenguatge planer i fàcil comprensió adreçada a la ciutadania en general (més enllà dels professionals del sector) que pot contribuir a caracteritzar el dret de la protecció de dades en l’àmbit sanitari.

Afegim un nou capítol en la particular relació entre Europa i els Estats Units d’Amèrica en la protecció de les dades personals. Recordem que l’any 2015, el Tribunal de Justícia de la Unió Europea (TJUE) va invalidar l’antic marc de transferències internacionals de dades entre UE-EEUU, anomenat Safe Harbor (Port Segur), a l’entendre que no oferia suficient protecció. Durant l’impàs que va durar un any, l’única alternativa per realitzar transferències internacionals era l’ús de les denominades “Clàusules Contractuals Tipus” de la Comissió Europea (SCC) fins que al 2016 s’aprovés un nou marc de transferències internacionals de dades entre UE-EEUU, anomenat Privacy Shield (Escut de privacitat). El Privacy Shield esmenava els anteriors problemes en la seguretat de les dades i tornava a facilitar les transferències internacionals de manera senzilla entre els operadors d’UE i EEUU.

Ara, el Tribunal de Justícia de la Unió Europea torna a invalidar la Decisió de l’Escut de Privacitat (Privacy Shield), en la Sentencia del Tribunal de Justícia de la Unió Europea de 16 de juliol de 2020, en el cas C-311/18. La decisió del TJUE dona resposta a la petició de decisió prejudicial plantejada per la High Court Irlandesa, en la que es plantejava la qüestió de validar les Clàusules Contractuals Tipus (SCC) i l’Escut de Privacitat (Privacy Shield), atès que s’argumentava que l’accés per part de les autoritats públiques dels EEUU a les dades transferides no respectaven els drets fonamentals, i era contrari a les exigències del RGPD. En concret, el TJUE assenyala que:

• De l’examen de la Decisió de la Comissió 2010/87, de 5 de febrer de 2010, relativa a les clàusules contractuals tipus per a la transferència de dades personals als encarregats del tractament establerts en tercers països, determina la inexistència de cap element que pugui afectar la validesa. Ara bé, afegeix que s’haurà d’analitzar per part del responsable del tractament cas per cas, i serà valida sempre que incloguin mecanismes efectius que permetin garantir a la pràctica que el nivell de protecció exigit en el RGPD es respecta.

• De l’anàlisi realitzat al principal mecanisme per a les transferències de dades entre UE-EEUU, l’Escut de Privacitat (Privacy Shield), el TJUE determina que no és efectiu i no assegura la privacitat dels ciutadans europeus.

Per una banda, la limitació a la protecció de dades que deriva de la normativa interna d’EEUU, relativa als accessos i l’ús per part de les autoritats d’EEUU són considerats contraris al principi de proporcionalitat, assentat en el RGPD. Degut a què els programes de vigilància no es limiten al tractament de les dades estrictament necessàries.

I per altra banda, el TJUE considera que el Privacy Shield no garanteix la tutela judicial efectiva. En la Sentència declara que el mecanisme del Defensor del Poble, contemplat en la Decisió de l’Escut de Privacitat, no proporciona als interessats una via de recurs davant d’un òrgan que ofereixi garanties substancialment equivalents a les exigides en el Dret de la Unió, que assegurin la independència del Defensor del Poble i que el facultin a adoptar decisions vinculants respecte als serveis d’intel·ligència americans.

Amb la finalització de l’estat d’alarma aprovada pel Decret 63/2020 de 18 de juny, i amb efectes a partir del dia 19 del mateix mes, queden sense efecte a Catalunya les mesures derivades de la mateixa, tot i que segueixen vigents diverses mesures, com el manteniment d’una distància física interpersonal, que dificulten o impedeixen la concentració de nombres elevats de persones en un mateix espai.

Com a conseqüència, el Decret Llei 26/2020, de 23 de juny, de mesures extraordinàries en matèria sanitària i administrativa, regula en el seu article 10, el manteniment de forma temporal i extraordinària de diverses mesures  de facilitar el funcionament i el compliment de les obligacions legals per part de les associacions i les fundacions, així com també, de juntes de propietaris i en l’àmbit de cooperatives. (more…)

La disposició final quarta de Reial Decret llei 21/2020, de 9 de juny, ha modificat els apartats 1 i 2 de l’article 40 de Reial Decret llei 8/2020, ampliant fins al 31 de desembre de 2020, de forma excepcional, la possibilitat de celebració de sessions dels òrgans de govern i d’administració de les persones jurídiques de Dret privat per videoconferència o per conferència telefònica múltiple, així com l’adopció d’acords d’aquests òrgans mitjançant votació per escrit i sense sessió.

Cal destacar que aquesta ampliació no afecta les entitats jurídiques a associacions i fundacions que exerceixin les seves funcions majoritàriament a Catalunya, així com les altres persones jurídiques regulades pel Codi civil català (Llei 4/2008, de 24 d’abril, de el llibre Tercer del codi Civil de Catalunya, relatiu a les persones jurídiques). (more…)

Dins del Pla Estratègic 2015-2019, l’Agència Espanyola de Protecció de Dades ha realitzat el Pla d’inspecció d’ofici de l’atenció sociosanitària amb l’objectiu principal d’analitzar els tractaments de dades personals que s’efectuen en aquest àmbit i investigar la seva adaptació a la normativa de protecció de dades amb caràcter preventiu.

L’atenció sociosanitària engloba la coordinació de l’assistència sanitària i social dirigida a col·lectius especialment vulnerables com, per exemple, la tercera edat, malalts crònics, persones amb alguna discapacitat física, psíquica o sensorial i en risc d’exclusió social. El pla d’inspecció es refereix a la prestació simultània intensiva, continuada i sinèrgica dels serveis socials i sanitaris. L’Agència considera que més d’un sector sociosanitari s’hauria de parlar del denominat “espai sociosanitari” en què es coordinen els serveis socials i els sanitaris per prestar una atenció integral, que no sigui fragmentada, a l’usuari que presenti simultàniament malalties cròniques i dependència amb serveis transversals i multidisciplinaris que atenen l’individu de forma més eficaç i d’acord amb les seves necessitats específiques.

L’AEPD va començar el seu pla d’inspecció al juny de 2018. Per a això, va realitzar la planificació de l’auditoria identificant els actors involucrats i va realitzar un estudi previ basat en la recerca documental a través d’Internet; en aquesta fase l’Agència es va reunir amb l’IMSERSO. En la següent fase, l’AEPD va procedir a sol·licitar informació i documentació als centres inspeccionats, excloent Catalunya i País Basc per raó de competències. L’Agència va realitzar inspeccions de setembre de 2018 a desembre del mateix any en centres d’Atenció sociosanitària de referència de caràcter públic estatal per a l’atenció a malalts amb una determinada malaltia, hospitals de mitja estada i convalescència públic d’una Comunitat Autònoma dependents de la seva Conselleria de Sanitat, residència de majors especialitzada en Alzheimer d’un Ajuntament gestionat per una empresa privada amb contracte de gestió indirecta i centres privats sociosanitaris d’atenció a malalts mentals amb places concertades, privades i d’asseguradores privades. El pla d’inspecció resulta en l’emissió de l’informe.

El capítol 7 de conclusions i recomanacions de l’informe explica les diferents deficiències detectades i aspectes susceptibles de millora i les recomanacions proposades per a l’esmena o millores d’aquestes.

L’assistència sociosanitària requereix el tractament de moltes dades personals, entre els que s’inclouen dades les categories especials. La prestació sanitària demanda l’ús de dades sanitàries, incloent la Història Clínica, diagnòstics, tractaments, etc.; dades de la Història Social com a informes socials, informació sociofamiliar i de l’entorn, situació econòmica personal, xarxes de suport, etc.; informes psicopedagògics; dades d’avaluació d’autonomia, etc.; registre d’incidències com a caigudes o alteracions conductuals de les persones usuàries, etc.; el denominat Pla d’Atenció Personalitzada/Individualitzada (PAP/PAI) de la persona usuària; dades de familiars o de persones responsables de la persona usuària; contracte de convivència; entre altres dades personals.

L’Agència ha detectat que aquestes dades personals s’utilitzen sovint en documentació en format paper que pot trobar-se dispersa en els diferents espais físics del centre sociosanitari, és el que l’AEPD ha anomenat “illes d’informació” i considera que, en determinades casuístiques, pot afectar la integritat i disponibilitat de les dades personals. També l’Agència detecta que les dades personals són tractades per diferents perfils professionals, per exemple, en les reunions interdisciplinàries mitjançant les quals es coordina l’atenció i es realitzen els seguiments de les persones usuàries. El sector sociosanitari requereix que treballin diferents perfils, personal mèdic, infermer, fisioterapeutes, terapèutic ocupacional, psicològic, psicopedagog, assistencial no diplomat (auxiliars), així com un altre personal gestor o de suport i, fins i tot, orientadors espirituals en els centres religiosos, tot el personal coordinat amb la finalitat d’atendre la persona usuària de manera integral i personalitzada. En aquest sentit, l’Agència relata l’exemple exprés d’una persona usuària que vocifera sense motiu aparent o causa coneguda i l’origen del seu malestar pot ser tant físic, com a psíquic o social, per la qual cosa es necessita tota la informació possible per a prestar la deguda atenció a la persona usuària.

Davant d’aquestes situacions detectades per l’Agència, la mateixa suggereix que una possible solució, dins dels recursos disponibles, és la digitalització total de la història sociosanitària del centre. Per a això, aplicant els principis de protecció des del disseny i per defecte, s’atorgarien als perfils professionals els diferents accessos a les dades personals que necessitin per a poder realitzar la deguda prestació sanitària. La informació s’estructura per diferents accessos i inicialment s’atorguen els privilegis d’accés mínim necessaris per a la prestació sociosanitària, depurant posterior i puntualment altres necessitats sobre la base dels nous requeriments que es presentin.

Tot això, haurà d’acompanyar-se del compromís de confidencialitat escrit i subscrit pel personal que, a més del personal propi, pot incloure persones becàries, estudiants en pràctiques, personal d’empreses externes.

El capítol 7 detecta altres situacions a esmenar i millorar com la informació del tractament de dades personals a les persones usuàries i famílies, licitud del tractament, els fluxos de dades entre administracions i altres actors públics i privats, anàlisis de contracte, plecs i convenis i altres adaptacions al Reglament General de Protecció de Dades. Entre altres esmenes i millores proposades per l’Agència s’esmenta el procediment d’identificació i gestió de les fallides de seguretat, la realització d’una Anàlisi de Riscos per a determinar les mesures tècniques i organitzatives apropiades al nivell de riscos detectat a fi de garantir la seguretat dels tractaments de dades personals, les corresponents Avaluacions d’Impacte relatives a la Protecció de Dades.

És en el capítol 8 de l’informe on es troba el decàleg de recomanacions que pot resumir-se de la següent manera:

1. Informació a la persona usuària preferentment en capes, concisa i amb un llenguatge clar adequat a la capacitat de comprensió de la persona destinatària de la informació. La primera capa haurien de ser cartells informatius senzills situats en zones d’accés als centres juntament amb les llegendes informatives en tots els formularis de recollida de dades personals.
2. Licitud de cada activitat de tractament.
3. Minimitzar la compartició de dades personals entre el personal aplicant els principis de protecció de dades des del disseny i per defecte. Esmenta exprés l’Agència el deure de realitzar auditories dels accessos.
4. El personal amb accessos a dades personals ha de subscriure el compromís de confidencialitat. Han d’incloure’s en els contractes d’encarregat de tractament com a obligatori la signatura del compromís per part dels empleats i a poder ser incloent el model de compromís com a annex al contracte per encàrrec.
5. Evitar la dispersió dels documents en paper amb dades personals en diferents ubicacions del centre i establir les mesures de seguretat per al trasllat i emmagatzematge de la documentació amb mecanismes que impedeixin el seu accés a persones no autoritzades.
6. No s’han d’usar usuaris genèrics.
7. Per a facilitar informació als familiars de la persona usuària sobre la seva estada, ubicació en el centre i estat de salut ha de recollir-se el consentiment de la persona usuària.
8. No usar el fax ni el correu electrònic sense xifrar per a l’enviament de documentació que contingui dades personals de categories especials.
9. Els contractes d’encarregat de tractament han de ser conformes al RGPD. En els contractes de prestació de serveis sense accés a dades personals s’ha de prohibir expressament l’accés a les mateixes i informar el personal treballador. També han d’incloure’s els possibles accessos accidentals o fortuïts amb un compromís de confidencialitat.
10. Les mesures de seguretat s’estableixen sobre la base de l’Anàlisi de Riscos. L’Avaluació d’Impacte relativa a la Protecció de Dades és obligatòria per als nous tractaments dels centres sociosanitaris.

L’informe recull en el capítol 9 algunes preguntes freqüents que resulten d’utilitat pràctica com, per exemple, que no es poden cancel·lar determinades dades personals d’una persona usuària a petició seva perquè cal mantenir l’autenticitat de la història sociosanitària.

Davant la dificultat que suposen les mesures de confinament i de distància social que han hagut de prendre els diferents estats membres de la Unió Europea per tal de combatre la pandèmia provocada per la COVID-19, el Reglament UE 2020/699, del Consell de 25 de maig de 2020, ha ampliat fins a dotze mesos des de la data de tancament de l’exercici el termini perquè les juntes generals de les societats europees (SE) i de les assemblees de les cooperatives europees (SCE) puguin celebrar la reunió anual d’aprovació de comptes, amb el límit màxim del 31 de desembre de 2020.

El Diari oficial de la Generalitat de Catalunya ha publicat el Decret Llei 20/2020, de 26 de maig, pel qual s’adopten diverses mesures en matèria d’esports com a conseqüència de l’estat d’alarma per raó de la COVID-19, entre les que s’hi inclouen les que fan referència al funcionament dels òrgans col·legiats de les entitats esportives de Catalunya, mentre estigui vigent l’estat d’alarma.

En la present nota en destaquem els aspectes principals.

• Quant a l’habilitació de reunions dels òrgans de govern:
  • Encara que els seus estatuts no ho prevegin, els òrgans col·legiats de les entitats esportives es poden reunir i adoptar acords per mitjà de videoconferència o d’altres mitjans de comunicació, sempre que resti garantida la identificació dels assistents, la continuïtat de la comunicació, la possibilitat d’intervenir en les deliberacions i l’emissió del vot, entenent que la reunió se celebra al lloc on és la persona que la presideix.
  • També, encara que els estatuts no ho prevegin, les juntes directives de les entitats esportives i les seves comissions delegades també poden adoptar acords sense reunió, sempre que ho decideixi la persona que els presideix o ho sol·licitin almenys dos dels seus membres, mitjançant l’emissió del vot per correspondència postal, comunicació telemàtica o qualsevol altre mitjà, sempre que quedin garantits els drets d’informació i de vot, que quedi constància de la recepció del vot i que se’n garanteixi l’autenticitat. S’entén que l’acord s’adopta al lloc del domicili de la persona jurídica i en la data de recepció del darrer dels vots vàlidament emesos.
  • Només podran celebrar-se les assemblees generals de les entitats esportives de Catalunya d’acord amb el l’esmentat anteriorment, sempre que tinguin per objecte la deliberació i aprovació, si s’escau, de punts que garanteixin el funcionament excepcional de l’entitat esportiva. En cap cas podran convocar-se ni celebrar-se assemblees generals que tinguin per objecte: a) Aprovar qualsevol modificació o reforma dels estatuts i reglaments. b) Aprovar el vot de censura. c) Establir quotes extraordinàries o derrames. d) Acordar la transformació, la fusió o l’escissió. e) Dissoldre l’entitat esportiva.

(more…)