El pasado 1 de junio, la Agencia Española de Protección de Datos (AEPD) público el “Plan de inspección de oficio en la atención sociosanitaria”. Dicho documento se centra por primera vez en analizar los tratamientos de datos de carácter personal que se realizan en el ámbito sociosanitario, además de llevar a cabo una investigación en cuanto al cumplimiento normativo en materia de protección de datos de dicho ámbito.
Iniciamos el análisis de dicho plan clarificando el concepto de atención sociosanitaria, aquella que viene a coordinar la asistencia sanitaria y social centrándose en colectivos especialmente vulnerables como, entre otros, la tercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social.
Sentadas las bases conceptuales, estimamos conveniente referirnos a la estructura del “Plan de inspección de oficio en la atención sociosanitaria”:
- Resumen ejecutivo
- Introducción
- Objetivos
- Concepto de atención sociosanitaria
- Situación del espacio sociosanitario en España
- Metodología y actuaciones realizadas en el plan
- Conclusiones y recomendaciones
- Preguntas frecuentes
- Retos futuros
- Anexos
En concreto, en nuestro articulo veremos de una forma concisa los puntos relativos a la metodología y actuaciones realizadas, así como las conclusiones y recomendaciones que la AEPD realiza al respecto.
¿Qué actuaciones ha realizado la AEPD a lo largo del plan de inspección?
- Planificación de la auditoría: fase en la que se determinan los objetivos, las fases y el calendario de actuaciones. Asimismo, se lleva a cabo un estudio sobre el ámbito sociosanitario en España. Como parte final de esta planificación se realiza una reunión con el IMSERSO, en aras de conocer inquietudes y dudas respecto del tratamiento de datos de carácter personal efectuados en residencias y centros sociosanitarios.
- Solicitudes de información y documentación: en esta actuación se procedió a solicitar la información pertinente a las Consejerías de Asuntos Sociales de todas las Comunidades Autónomas, a excepción de Cataluña y País Vasco, así como al Ministerio de Sanidad. Esta solicitud se realiza en vistas a poder conocer el abanico de tratamientos de datos de carácter personal que aplica a la atención sociosanitaria en España.
- Realización de Inspecciones: durante los meses de septiembre a diciembre de 2018 se realizaron inspecciones presenciales en distintos centros sociosanitarios preseleccionados. En estas inspecciones se ha procedido a auditar los procedimientos en materia de protección de datos establecidos en cada centro, para lo cual se han mantenido reuniones tanto con responsables como con encargados del tratamiento.
- Fase Final: una vez que la AEPD disponía de toda la información necesaria procedió a la elaboración del documento de plan de inspección sobre el que versa el presente artículo.
De las solicitudes de información y documentación realizadas en el plan de inspección, la AEPD ha determinado que la tipología de datos de carácter personal que se suelen tratar en los centros sociosanitario es la siguiente:
- Datos básicos personales y bancarios (Nombre y apellidos, teléfono, etc.)
- Datos sanitarios (Historia clínica, tratamientos, etc.)
- Historia social (Informes sociales, sociofamiliares, etc.)
- Informes psicopedagógicos
- Datos de evaluación de autonomía (pruebas de evaluación, diagnostico, etc.)
- Registro de incidencias ocurridas durante la estancia en el centro.
- Contrato de convivencia firmado con el centro.
- Plan de atención personalizada del usuario.
- Datos de contacto de familiares o responsables del usuario.
Siendo la mayoría de estos datos considerados como categorías especiales, la AEPD recuerda la necesidad de seguir garantías específicas, estableciendo las medidas adecuadas para proteger los derechos de los usuarios y, en concreto, que los tratamientos sean realizados por profesionales sujetos al secreto profesional, o bajo su responsabilidad. Así, la observancia del principio de minimización es esencial, y con ella el tratamiento de datos adecuados, pertinentes y limitados al objetivo perseguido, aplicándose las medidas técnicas y organizativas que así lo garanticen.
¿Cuáles son las conclusiones más relevantes del plan?
En primer lugar, atendiendo a la tipología de datos que se tratan en los centros sanitarios y debido a que en su mayoría son categorías especiales de datos (Art.9 RGPD), tal y como se recoge en el RGPD y la LOPDGDD, los centros deberán seguir una serie de pautas mínimas para cumplir con la normativa:
- No se debería utilizar el fax ni el correo electrónico sin cifrar para la remisión de documentación que contenga datos personales de categorías especiales, como pueden ser datos de salud u otros datos como informes sociales, psicosociales o de evaluación.
- Se deberá minimizar evitar la compartición de datos personales entre profesionales a no ser que sea estrictamente necesario.
- Habrá que elaborar perfiles de acceso que consideren las necesidades de información de cada profesional.
- Se realizarán las pertinentes auditorías de los accesos a datos.
- Los empleados que tratan datos personales de los usuarios deben suscribir un compromiso de confidencialidad, para asegurar y salvaguardar los datos.
- Los contratos de encargado de tratamiento deben especificar todas las obligaciones estipuladas por el RGPD, y en cualquier caso en su redacción se debe huir de fórmulas muy generales.
- Las políticas de seguridad se han de basar en el análisis de riesgos.
- Se recomienda realizar Evaluaciones de Impacto para los nuevos tratamientos de datos que se realicen en los centros sociosanitarios, al presentarse datos de categorías especiales en número suficiente, considerando además la vulnerabilidad de sus usuarios y entendiendo que supone un alto riesgo para los derechos y libertades de estos.
Además, entre las conclusiones más relevantes del plan también encontramos la referida a cómo ha de facilitarse la información en materia de protección de datos a los usuarios o familiares de éste, para así dar cumplimiento al principio de información (Art.11 LOPDGDD):
La entrega de información preferiblemente será por capas, de forma concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario.
Pero ¿cómo se puede realizar esto de forma sencilla para los usuarios?
Pues bien, la propia AEPD nos da las recomendaciones, como por ejemplo el uso de carteles en zonas de paso, los cuales hagan alusión a la información necesaria y en estos se refiera dónde puede encontrarse la información adicional (por ejemplo: solicite la información adicional sobre protección de datos en la secretaria del centro).
Este es un punto clave, dado que muchas veces el error que se comete dentro de los centros es el no cumplimiento del principio de información.
Finalmente, otra de las recomendaciones a destacar versa sobre la base jurídica del tratamiento de los datos, esto es así, dado que en las múltiples auditorías realizadas por la AEPD se ha podido comprobar que existen problemas relacionados con la identificación por parte de los responsables (centros sociosanitarios) de las bases jurídicas de cada tratamiento de datos de carácter personal. En ese caso, la Agencia recuerda que para cada actividad de tratamiento realizada hay que identificar su base jurídica. Indicando textualmente lo siguiente:
“La determinación de la base jurídica que legitima cada tratamiento debe efectuarse examinando cuál de las contenidas en los artículos 9 y 6 del RGPD son aplicables en cada caso y siempre teniendo en cuenta que cuando se trate de categorías especiales de datos debe previamente concurrir alguna de las circunstancias enumeradas en el artículo 9 que levante la prohibición del tratamiento de tales datos.”
De tal manera que, antes de comenzar a tratar cualquier dato de carácter personal, el centro sociosanitario ha de comprobar que cuenta con una legitimación para llevar a cabo ese tratamiento y reflejar está en la documentación que entregará al usuario. Por el contrario, si no se cumple con esta estipulación se estaría incurriendo en un incumplimiento normativo en materia de protección de datos.
En cuanto a las conclusiones, estas son las consideradas más relevantes del plan de inspección, pero no nos gustaría terminar este artículo sin hacer referencia a una de las dudas que más se le ha planteado a la AEPD por parte de los centros sociosanitarios en sus inspecciones:
¿Pueden los centros facilitar información sobre la estancia, ubicación o estado de salud de un usuario previa solicitud de los familiares?
En primera instancia la AEPD da una línea clara: como regla general se deberá de contar con el consentimiento del usuario. No obstante, en casos de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre que el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales.
Por lo que, como podemos comprobar en la pauta marcada por la autoridad de control, hemos de atender al caso en concreto para delimitar la forma de actuar.
A modo de cierre, cabe recordar que el plan de acción puede y ha de utilizarse por parte de los centros sociosanitarios en aras de mejorar la adecuación en materia de protección de datos. Para alcanzar este resultado, se ha realizado por parte de la autoridad de control una gran labor de investigación y posteriores recomendaciones al ámbito sociosanitario con un objetivo claro, que en ningún caso tiene afán recaudatorio o sancionador, sino meramente preventivo.