Código tipo de Protección de Datos: Seguridad Jurídica para el sector sanitario
Han pasado ya más de cinco años desde que decidimos retomar la elaboración de un Código Tipo en materia de protección de datos, que permitiese a la sanidad privada construir un marco normativo ajustado a sus propias características, adaptado a su idiosincrasia.
Realmente, y lo digo desde una experiencia profesional de diez años en consultoría de seguridad de la información, el sector sanitario es, probablemente, donde más difícil es implantar la normativa de protección de datos, ya que las historias clínicas de los pacientes pueden contener prácticamente todos los datos calificados de especialmente protegidos -no sólo de salud, sino también de vida sexual, origen racial, creencias, etc.-. En consecuencia, se deben aplicar tanto a los datos automatizados como a los contenidos en soportes manuales (documentación, pruebas diagnósticas, etc.) medidas de seguridad de nivel alto, con el consiguiente coste para los centros sanitarios.
El sector sanitario es probablemente el más difícil para implantar la normativa de protección de datos Click Para Twittear
Los que conocemos el sector sabemos que los datos personales en un centro sanitario son muy difíciles de controlar, y eso conlleva riesgos legales; me refiero tanto a la documentación clínica, que puede estar en planta, en admisión, en puestos de enfermería o en el archivo para conservación, como a la historia clínica electrónica, que normalmente se trata a través de una aplicación de gestión, pero que también puede encontrarse en archivos ofimáticos en el escritorio del ordenador de un profesional. También hay que prestar atención a la enorme cantidad de datos de facturación que se envían a entidades aseguradoras o a organismos públicos con los que se tiene un convenio de colaboración para la derivación de pacientes, que no olvidemos que también contienen datos de salud, por no hablar de los datos de empleados y de selección de personal, o los que recaban los centros a través de sus sitios web.
A todo ello se une que en un mismo centro sanitario pueden convivir diferentes razones sociales, diferentes responsables de los ficheros y encargados del tratamiento: la empresa matriz que gestiona el centro, la empresa de radiología o de laboratorio que presta servicios dentro de las mismas instalaciones, los profesionales médicos que tienen una consulta alquilada…diferentes figuras legales que generan cesiones de datos especialmente protegidos entre ellas, y las consiguientes dudas acerca de quiénes son los responsables de las diferentes historias clínicas que se van generando.
Gracias a nuestra experiencia certificando a más de 60 entidades sanitarias en nuestro Proyecto Mercurio de protección de datos, conocemos las grandes dificultades que los centros y profesionales sanitarios se encuentran en su día a día. Por este motivo, decidimos elaborar este Código Tipo, un proyector innovador para el sector sanitario privado, que nos ha supuesto muchas horas de trabajo, muchas reuniones con la Agencia Española de Protección de Datos y muchas gestiones con las asociaciones representativas del sector sanitario que han promovido el Código Tipo: la Federación Nacional de Centros y Empresas de Hospitalización Privada, la Asociación Nacional de Actividades Médicas y Odontológicas de la Sanidad Privada, la Asociación Nacional para la Promoción de la Excelencia en las Actividades Sanitarias Privadas, la Associació Catalana d’Entitats de Salut y la Asociación de Empresas Sanitarias de Prestación Asistencial de Andalucía, sin las que el Código Tipo de Protección de Datos para Organizaciones Sanitarias no habría sido posible.
No obstante, pensamos que el esfuerzo ha merecido mucho la pena, y cuando el pasado 14 de Julio lo presentamos para su inscripción en el Registro General de la Agencia Española de Protección de Datos, fuimos conscientes de que habíamos dado un paso decisivo, que culminará con su definitiva inscripción en fechas próximas, y su puesta a disposición para todos los centros sanitarios que estén interesados.
Pero, ¿qué ventajas puede tener este Código Tipo para las organizaciones sanitarias? Lo cierto es que son múltiples, ya que es un documento aprobado y validado por la Agencia Española de Protección de Datos, por lo que siguiendo sus recomendaciones y consejos prácticos, utilizando sus modelos de documentación e implantando las medidas previstas, un centro sanitario puede ganar, y mucho, en seguridad jurídica, eliminando las dudas en torno a la manera de actuar en la operativa diaria.
Además, el Código Tipo se apoyará en un Comité Directivo que, entre otras funciones, actuará como órgano mediador en las quejas en materia de protección de datos que puedan presentar los pacientes u otros afectados en los centros sanitarios, dando lugar así a una vía pacífica de resolución de conflictos, que puede evitar las denuncias directas ante la Agencia Española de Protección de Datos.
El Código Tipo puede evitar las denuncias directas ante la Agencia Española de Protección de Datos Click Para Twittear
Asimismo, los centros adheridos dispondrán de un sello que les dará visibilidad, con modelos oficiales de documentos y formularios, entre otros, las solicitudes de copia de la Historia Clínica.
No querría terminar estas reflexiones sin hacer referencia a uno de los pilares fundamentales del Código Tipo: la formación y concienciación del personal de los centros sanitarios y, también, de los profesionales médicos colaboradores que manejan igualmente datos muy sensibles cuya responsabilidad legal pertenece al centro. Y es que según nuestra experiencia en el sector, para garantizar la efectividad de un auténtico sistema de gestión de la protección de datos, es fundamental que todos los empleados y profesionales sean conscientes, por ejemplo, de desterrar de la práctica diaria actuaciones que conlleven la aparición de historias clínicas en contenedores de basura en la vía pública, o que sepan que cuando envían datos de salud en correos electrónicos sin cifrar, están incumpliendo la ley, o que no pueden compartir datos clínicos en programas on-line donde otros usuarios pueden tener acceso a información cuya exposición pública ataca directamente a lo más profundo de la intimidad de las personas; también deben saber que un paciente se puede molestar, y con razón, si se le da información sobre su estado de salud en voz alta, y delante de otros pacientes o personas que no tienen por qué saber nada acerca de la situación por la que está pasando.
No hay que olvidar que las sanciones de la Agencia Española de Protección de Datos son cuantiosas y lo serán más cuando se apruebe y entre en vigor el Reglamento Europeo de Protección de Datos que viene en camino. Se puede dar el caso de que algunos centros puedan hacer frente a estas sanciones y sobrevivir, pero lo que es irreparable es el daño a la imagen pública que un incumplimiento de este calibre puede suponer: los pacientes de hoy día son personas –y además clientes en la sanidad privada- que conocen sus derechos y que valoran mucho el trato personal que se les da y la discreción a la hora de manejar sus datos, que son muy sensibles.
Las sanciones de la AEPD son cuantiosas y el daño a la imagen pública irreparable Click Para Twittear
Por todo ello, considero que este Código Tipo es una gran oportunidad para el sector sanitario privado, al que posiciona de manera inmejorable para liderar un cumplimiento modélico de la normativa de protección de datos, convirtiéndose en un referente para la sanidad pública y para el resto de sectores de actividad de este país.
Espero que tengáis mucha suerte con la aprobación del código tipo en la AEPD.
Desde luego que es un tema que interesará y mucho a muchos centros sanitarios.
Muchas gracias por el comentario Marisa.
Es un tema muy interesante y que va a empezar a llamar mucho la atención próximamente debido al aumento de las sanciones.