Prensa AEPD. - La
Agencia Española de Protección de Datos (AEPD) ha publicado el ‘Plan de Inspección
de oficio de la atención socio-sanitaria’, que analiza por primera vez los
tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la
normativa de protección de datos.
Las inspecciones de
oficio que realiza la Agencia en distintos sectores o áreas específicas no
tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una
visión integral que permita detectar deficiencias y realizar las oportunas
recomendaciones. La finalidad de estas inspecciones es elevar el nivel de
protección de los ciudadanos a través del análisis de los datos que manejan las
organizaciones.
El plan contiene
conclusiones respecto del cumplimiento del Reglamento General de Protección de
Datos (RGPD) y de la Ley Orgánica de Protección de
Datos y garantía de los derechos digitales (LOPDGDD), así como
recomendaciones dirigidas a organismos públicos, empresas e instituciones
titulares de centros socio-sanitarios, que inciden en actuaciones necesarias
para una correcta aplicación de la normativa. También incluye un decálogo que
resume las principales conclusiones y un grupo de preguntas y respuestas
frecuentes con las dudas recogidas durante su ejecución.
Entre las conclusiones
más relevantes se encuentran las referidas a la información que se debe ofrecer
al usuario de estos servicios, que preferiblemente será por capas, concisa y
con un lenguaje claro, de acuerdo con la capacidad de comprensión del
destinatario de la información. Por ejemplo, la primera capa deberían ser
carteles informativos sencillos ubicados en zonas de acceso a los centros, en
los que se podrían incluir referencias a otras capas de información más
detallada.
Durante las auditorías
se detectaron problemas relacionados con la
identificación por parte de los responsables de las bases jurídicas que amparan
los tratamientos, por lo que la Agencia recuerda que para cada actividad de
tratamiento realizada hay que identificar su base jurídica.
El apartado de preguntas
frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad
de la atención socio-sanitaria, por ejemplo, si es posible cancelar
determinados datos de un usuario a petición suya, llevar a cabo tratamientos
con fines de investigación médica en un centro, o si es obligatorio facilitar
datos personales de los usuarios del centro si lo solicitan las fuerzas de
seguridad.
Por otra parte, se
ofrecen recomendaciones relativas a la seguridad de los datos debido a que se
trata de categorías especiales, como minimizar la compartición de datos
personales entre profesionales a lo estrictamente necesario; elaborar perfiles
de acceso que consideren las necesidades de información de cada profesional;
realizar auditorías de los accesos; que los empleados que traten datos
personales de los usuarios suscriban un compromiso de confidencialidad, o
evitar la utilización de usuarios genéricos cuya utilización se comparte entre
varios empleados, entre otras.
También se apreciaron
dudas sobre si los centros podían facilitar información sobre la estancia,
ubicación o estado de salud de un usuario a solicitud de los familiares. En
este sentido, la AEPD observa que debe recabarse el consentimiento del usuario.
No obstante, en casos de urgencia vital o si la presencia de personas
vinculadas al usuario por razones familiares o de hecho pudiera ser esencial
para la debida atención del usuario, siempre que el paciente no se haya opuesto
a que dicha información sea facilitada, el centro puede informar si la persona
se encuentra ingresada y su ubicación, sin indicar datos de categorías
especiales o sobre la atención prestada.
Otras recomendaciones
se refieren, por ejemplo, a que los contratos de encargado de tratamiento
especifiquen todas las obligaciones estipuladas por el RGPD; que las políticas
de seguridad se basen en el análisis de riesgos y que se realicen Evaluaciones
de Impacto relativas a la Protección de los Datos para los nuevos tratamientos
de los centros socio-sanitarios.
El ‘Plan de Inspección
de oficio de la atención socio-sanitaria” se enmarca dentro de las actuaciones
previstas en el Plan Estratégico de la AEPD. En concreto tiene su origen en la
actuación 1.3.2, cuyo objetivo es detectar los tratamientos y cesiones de datos
que se llevan a cabo entre ambos sectores, social y sanitario, buscando su
adecuación a la legislación de protección de datos.