Por Salvador Serrano Fernández
La Agencia Española de Protección de Datos (AEPD) hizo público el Informe de cumplimiento de la LOPD en centros que componen el «Catálogo Nacional de Hospitales» que son tanto públicos como privados, en el que se recogen resultados y conclusiones del análisis. El Informe refleja grandes carencias y deficiencias en el cumplimiento de las garantías de protección de datos por parte de dichos centros. La principal motivación que ha llevado a la AEPD a plantearse la realización de este estudio ha sido el incremento en las denuncias de los ciudadanos relacionadas con el derecho fundamental a la protección de datos en el sector sanitario, además de vulneraciones de los deberes de seguridad y secreto por parte de los centros sanitarios, datos de salud abandonados en contenedores de la vía pública, etc.La AEPD ha enviado requerimientos a 654 centros que están bajo su ámbito de competencia, con un cuestionario relativo al cumplimento de la LOPD. Se ha dado traslado a la Subdirección de Inspección de la AEPD de más de 40 de estos centros, que, al no haber atendido a los distintos requerimientos, podrían haber incurrido en infracciones de la LOPD. No son objeto de estos requerimientos los hospitales públicos de las Comunidades Autónomas de Madrid, País Vasco y Cataluña, pues no se encuentran bajo el ámbito de competencia de la AEPD, ya que dependen de las Agencias de Protección de Datos de Madrid, País Vasco y Cataluña respectivamente.
Principales conclusiones del informes
Deficiencias en la implantación de las medidas de seguridad. Uno de los problemas principales es que, si bien cada centro en líneas generales dispone de la documentación requerida por la LOPD, no están bien implementadas las medidas de seguridad en aras de salvaguardar la confidencialidad de los datos. No están bien implementadas porque no están personalizadas cada una de las medidas con los posibles problemas de confidencialidad específicos de cada centro. Según Artemi Rallo, director de la AEPD, la creciente informatización de los datos sanitarios contribuirá a mejorar el cumplimiento de la LOPD. Un grave problema es que no se cumple con una adecuada custodia de los datos sanitarios y que a veces pueden ser conocidos por terceros no autorizados.
Elevado cumplimiento en la obligación de inscribir los ficheros en el RGPD. La obligación de inscribir los ficheros en el Registro General de Protección de Datos es uno de los pocos indicadores en el que se constata un elevado nivel de cumplimiento en la mayoría de los centros.
Deficiencias en el cumplimiento del deber de información, y atención al ejercicio de los Derechos ARCO (acceso, rectificación, cancelación y oposición). Son sobre todo los centros públicos los que tienen menor porcentaje de cumplimiento con la obligación de incluir en sus formularios de recogida de datos la cláusula informativa conforme al artículo 5 de la LOPD (deber de información). Lo realmente destacable con respecto a los Derechos ARCO es su crecimiento significativo en cuanto al número de solicitudes de ciudadanos recibidas por la AEPD para que tutele su derecho de acceso –en la mayoría de los casos–, o bien bajo la sospecha de que se les ha suministrado de forma incompleta (normalmente lo que sucede es que el centro no aporta las anotaciones subjetivas de los facultativos pues no están obligados a aportarlas), o bien al serle denegado el acceso al historial clínico de un familiar fallecido.
Externalización de servicios y su implicación en el tratamiento de datos. Es práctica habitual de estos centros la externalización de servicios de análisis clínicos, diferentes pruebas médicas o el almacenamiento de historias clínicas, por ejemplo. El principal problema radica en que, en la mayoría de las ocasiones, no se cumplimenta el correspondiente “contrato de acceso a datos” con la empresa prestadora del servicio. Cabe reseñar además que es bajo el porcentaje de centros que aplican procesos de disociación de datos para estas situaciones, práctica muy recomendable para garantizar la confidencialidad de la información.
Acceso a datos de salud en soporte papel
El Informe sigue sin clarificar el cumplimiento real de los registros de acceso a datos de salud en soporte papel, debido a que en el cuestionario enviado a los centros la pregunta se formula de manera genérica, como en el caso de los registros de accesos a la información: tal vez muchos de los centros pueden haber contestado que sí cumplen, interpretando que la pregunta se refería a accesos a datos informatizados. El cumplimiento de los registros de acceso a datos de salud en soporte papel sigue siendo una cuestión controvertida de difícil cumplimiento. Según el artículo 103.1. del RD 1720/2007, de 21 de diciembre se dice que: “De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado”. Esta obligación puede ser de difícil cumplimiento, ya que llevar un registro de accesos a historias en formato papel en el sentido que marca la normativa, es a veces misión imposible y pueden ser diversas las razones esgrimidas por algunos de los centros. Una cosa es la limitación de acceso a datos de salud en soporte papel únicamente al personal autorizado y la custodia de la información como marca la normativa (esto es, en un entorno de acceso restringido y a través de mecanismos que obstaculicen su apertura y demás preceptos que están razonablemente al alcance de todos los centros), y otra cumplir con el contenido íntegro del referido artículo 103.1. Esperemos que en un futuro la AEPD clarifique este aspecto.
En general, con el Informe nos hacemos una idea grosso modo del grado de cumplimiento en este sector. Es una buena iniciativa que esperemos la AEPD repita para ver también el grado de cumplimiento en otros sectores obligados por la LOPD.
