Envíos de datos personales relativos a la salud vía fax

fax

Por Javier Villegas Flores

A la hora de auditar centros sanitarios y oficinas de farmacia, uno de los problemas más recurrentes que se plantean son los envíos de datos personales relativos a la salud a través del clásico fax, incumpliendo así las medidas de seguridad a las que obliga la Ley Orgánica de Protección de Datos (LOPD) y su Reglamento de desarrollo (RLOPD).

Los datos de salud son calificados por la Ley como de nivel alto, y por tanto sujetos a una especial protección en cuanto a su tratamiento. De entre las medidas de seguridad que se contemplan, se incluye la obligación de “cifrar o utilizar cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros” cuando se transmitan dichos datos a través de “redes públicas o redes inalámbricas de comunicaciones electrónicas” (art. 81.3 RLOPD).

Entre estos medios obviamente se incluyen el fax y el correo electrónico, entre otros.

El envío de datos de salud a través de fax no garantiza “que la información no sea inteligible ni manipulada por terceros”. El mero incumplimiento de esta medida de seguridad supone una infracción grave, por conculcación del principio de seguridad de los datos:

“Artículo 9. Seguridad de los datos:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado …”

«Art. 44.3. Son infracciones graves:

h) Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

Las sanciones por infracciones graves oscilan entre 900 y 40.000 €.

En caso de que como consecuencia del incumplimiento de esta medida de seguridad (enviar fax con datos de salud sin cifrar) acceda a esta información un tercero no autorizado, estaríamos ante una comunicación de datos no consentida por el paciente de la consulta o cliente de la farmacia, y por tanto constitutiva de infracción muy grave:

“Art. 44.4. Son infracciones muy graves:

b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 (datos de salud) y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7.”

Las sanciones por infracciones muy graves oscilan entre 300.001 y 600.000 €.

Por tanto, la sola utilización del fax en las farmacias para solicitar vacunas individualizadas a los laboratorios, o el envío de recetas para la elaboración de fórmulas magistrales, y/o en el caso de médicos y clínicas, la remisión de datos de salud a las aseguradoras por este medio, por poner los ejemplos habituales, constituyen una infracción grave que puede acarrear sanciones de hasta 40.000€. Si como consecuencia de no atender estas medidas a dichos datos tienen acceso terceros no autorizados, la broma puede alcanzar los 600.000 €.

Fuente de la imagen: eHow.