Aspectos positivos de un correcto cumplimiento normativo

positivo

Por Daniel A. López Carballo

En ocasiones el cumplimiento de las obligaciones recogidas en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, y otra legislación semejante, es visto desde los Responsables de Fichero como lastre para la organización de los recursos humanos y organizativos, así como un incremento de la burocracia. Lo cierto es que, además de la protección de la esfera más íntima y personal de los usuarios (recogiendo el mandato constitucional), un correcta adecuación a la legislación conlleva una serie de ventajas para las organizaciones, tanto en el ámbito de la responsabilidad en el tratamiento de los datos, como en la trazabilidad de la información y la asignación de recursos para un correcto seguimiento. Mayor seguridad, implica confianza, limita riesgos y genera beneficios.

1. Optimización de los recursos propios: capital humano.

Mediante la delimitación de perfiles de usuarios en el acceso a la información conforme a las funciones que desarrollan y su puesto de trabajo se optimiza el tiempo de trabajo empleado, asignado a cada empleado los recursos necesarios para desarrollar su trabajo, con lo que conseguimos por un lado optimizar el tiempo real de trabajo (ya que sólo podrá acceder a la información precisa para sus funciones) y por otro, un uso racional de lo recursos.

2. Control de la información y limitación de «fugas».

Evitar los duplicados de información, utilización de programas y ficheros no protegidos, así como la fuga de información, su copia o robo de pacientes. En la actualidad, uno de los mayores problemas al que nos enfrentamos son las fugas de información, en ocasiones el robo de dicha información de nuestros pacientes es utilizada para la prestación de servicios fuera del centro, campañas de captación; si bien es cierto que el paciente que se va a otro centro sanitario no volverá ni un juez puede decretar su retorno. Una correcta aplicación de los perfiles de usuarios y del registro de acceso a la información permite conocer quién ha accedido en cada momento a la historia clínica o datos de filiación del paciente, así como el uso informático que le dio a la misma.

En otras ocasiones la problemática gira en torno a la fuga de información, bien por la trascendencia del paciente en cuestión o por el vínculo personal o familiar que le une a la persona que comete la infracción. La firma de una adecuada normativa de confidencialidad y seguridad de la información posibilita al centro a emprender acciones judiciales contra el que hizo un uso ilegítimo de la información.

3. Mejora de imagen corporativa, beneficio social.

Las relaciones con los usuarios se basan en el prestigio del centro al que acuden y la profesionalidad del personal que les atiende. El tratamiento de datos especialmente protegidos y que afectan a la esfera más íntima de la persona implica una especial confidencialidad de los mismos, cabe recordar el secreto profesional reconocido por ley tanto al personal sanitario como al resto que desarrolla sus funciones en el entorno de la salud.  Evitar mala publicidad en los medios de comunicación y en la red es la mejor campaña de marketing. Mediante un correcto ejercicio de los derechos reconocidos por la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal, se podrá limpiar los ataques al honor y falsedades vertidas sobre nuestros profesionales.

Junto con el nivel de seguridad reconocido en la Ley Orgánica, se debe recordar que existe un nivel social de impacto, no recogido en la legislación, que implica que no todos los datos sanitarios tienen el mismo impacto en la sociedad, por lo que deberemos prestar una mayor atención a determinados datos, más sensibles para el propio usuario.

4. Blindaje frente a la responsabilidad de terceros.

Regulación de las relaciones contractuales con prestadores de servicios que pueden acceder a la información en materia de protección de datos, limitación de la responsabilidad con respecto a la actuación de estos. Cabe recordar que el centro es el Responsable de dichos datos, por lo que cualquier irregularidad que cometan dichas empresas será responsabilidad del centro, quien deberá blindar la relación jurídica que les une en materia de protección de datos y exigir un correcto cumplimiento de las medidas de seguridad establecidas para el nivel de seguridad de los datos.

5. Trazabilidad de la información.

Seguimiento de la información en base a registros de accesos. Mediante dichos registros podemos depurar responsabilidades en el caso de producirse una negligencia, elaborar estadísticas o reasignar recursos conforme a la utilización de determinadas servicios. Un correcto tratamiento de la información permite conocer a los profesionales han intervenido en cada momento.

6. Gestión de datos especialmente protegidos.

En los centros, se pueden tratan otros datos de nivel alto de seguridad, tales como los sindicales (empleados) o la propia confesionalidad de los personas, sobre su salud, datos de nivel medio (infracciones, morosidad) así como los propios de nivel básico. En su tratamiento se deberán observar las medidas de seguridad que establece la legislación vigente, así como la finalidad, personal que accede y posibles destinatarios de la información.

7. Seguridad de la información.

La adopción de medidas de seguridad de índole técnico en el centro garantizan un correcto tratamiento de la información, así como su seguridad e integridad o el correcto funcionamiento de los procedimientos de recuperación en caso de pérdida de los datos.

8. Mejora de la productividad, reasignación de recursos.

Como consecuencia de la adecuación de los procedimientos y sistemas a la Ley Orgánica de protección de datos, se pueden descubrir procesos innecesarios, redundantes, o ineficientes que pueden mejorarse sustancialmente con muy poco esfuerzo.

9. Reducción del riesgo de sanciones.

Especial atención a la proyección social que tienen los datos de carácter personal y su relación con el ámbito de la responsabilidad civil. Establecimiento de medidas de seguridad conforme a la Ley Orgánica de protección de datos y al nivel social de impacto. Cabe recordar que las sanciones en materia de protección de datos se encuadran entre los 900 y los 600.000 euros, aunque tienen carácter administrativo, un determinado tipo de resolución posibilita al usuario a acudir a la vía judicial y reclamar una determinada cantidad en concepto de daños y perjuicios.

10. Análisis de impacto y valoración de riesgos.

En el caso de realización de campañas de marketing, mailings y otras comunicaciones tanto con los propios usuarios, como con los empleados del centro se deberán tomar las correspondientes medidas de seguridad así como hacer una correcta observancia de la obtención del consentimiento para el tratamiento de los datos. La futura aprobación del Reglamento Europeo en materia de protección de datos apuesta por el concepto de “Privacy by design” así como la realización de informes de impacto y valoración de riesgos de las acciones que impliquen el tratamiento de datos personales; así mismo los informes de auditoría y memorias de gestión deberán contar con un capítulo específico sobre el cumplimiento en materia de protección de datos.

11. Delimitación de la responsabilidad civil.

Una correcta aplicación de la Ley Orgánica de protección de datos permite agilizar los procedimientos de depuración de responsabilidad de los profesionales que intervienen en los procesos y de las funciones o forma en que intervino. Los registros de acceso a los datos nos permiten conocer en cada momento que personal estaba debidamente autorizado para el acceso a la información, mediante un sistema de acceso por usuario y contraseña, esta delimitación permite conocer quien realizó las observaciones, quien aplicó un determinado tratamiento o realizó una intervención.

12. Cumplimento normativo.

En el ámbito sanitario la Ley Orgánica de protección de datos está en estrecha relación con otra legislación como la Ley de autonomía del paciente, Ley General de telecomunicaciones, Esquema Nacional de Seguridad o el propio Decreto de Receta Médica entre otros. Parte del cumplimiento de esta legislación se facilita mediante una correcta adopción de las medidas legales, organizativas y de seguridad establecida en materia de protección de datos (por ejemplo el acceso a la historia clínica).