Si hi ha un sector especialment sensible en matèria de protecció de dades es el sector sanitari. Metges, consultes privades, dentistes, fisioterapeutes, optometristes, dietistes,… tracten una sèrie de dades que per la seva naturalesa es classifiquen de nivell alt. Es per aquest motiu, que avui ens centrem en la protecció de dades per clíniques i centre mèdics o de salut i en com portar a terme l’adaptació a la LOPD.
Tots hem llegit noticies en diferents mitjans sobre les sancions per part de l’Agència de Protecció de Dades a metges i centres mèdics per incomplir la normativa en matèria de protecció de dades afectant a la privacitat dels pacients.
Queden lluny casos com el dels historial mèdics trobats en contenidors municipals sense destruir, però el sector sanitari, degut a la tipologia de les dades que tracta (dades especialment protegides), ha de ser molt estricte des d’una doble vessant: el complir amb l’establert a la Llei Orgànica de Protecció de Dades i la seva normativa de desenvolupament (RD1720/2007), i per altra banda, la conscienciació dels professionals respecte a la privacitat de les dades que tracten, per la delicadesa de les mateixes en el seu tractament diari.
Tot i que a dia d’avui la majoria de consultes mediques i centres sanitària disposen d’un programa de formació específic en matèria de protecció de dades pels seus empleats i tenen implantats els protocols que estableix la Llei i el Reglament, alguns estudis posen de manifest una sèrie de carències pel que fa a les mesures implantades als centres públics i privats per garantir la confidencialitat de les dades tractades.
Aquestes son algunes de les recomanacions de la Agència Espanyola de Protecció de Dades basades en els seus informes per l’adopció de mesures correctores davant les carències detectades i que serien aplicables tant a petites consultes mediques gestionades per un metge autònom fins a grans centres sanitaris:
- -Mantenir al dia la relació de fitxers inscrits a l’Agencia de Protecció de Dades d’acord amb el tractament de dades que es porta a terme.
-Incloure a impresos i formularis de recollida de dades dels pacients les clàusules informatives i de consentiment corresponent així com les relatives a possibles cessions de dades.
-Disposar dels compromisos de confidencialitat dels treballadors degudament signats i portar a terme formacions periòdiques al personal.
-Tenir la documentació obligatòria (document de seguretat, inventari de suports, relació d’usuaris, etc.) actualitzada per part del personal corresponent.
-Disposar dels corresponents contractes amb els encarregats de tractament i informar al personal de neteja, per exemple, sobre la necessitat de garantir la confidencialitat de les dades.
-Adoptar les mesures corresponents per la gestió de la documentació en paper (històries clíniques) així com la destrucció dels mateixos.
-Formar al personal d’atenció al públic respecte els drets ARCO que poden exercir els pacients.
-Portar a terme una auditoria completa del sistema informàtic de gestió dels pacients per complir amb les prescripcions establertes al RD1720/2007.
-Realitzar les auditories biennals obligatòries així com els controls periòdics corresponents.
Cal destacar que els centres mèdics i de salut privats, ofereixen un major percentatge de compliment de la normativa de protecció de dades respecte als públics, possiblement degut a que els centres de caràcter públic, al ser part de l’Administració del Estat, estan exempts de la imposició de sancions, pel que els procediments sancionadors contra ells finalitzen únicament amb un requeriment en el que es sol·licita la resolució del problema mentre que als centres privats, en cas d’incompliment, poden rebre sancions econòmiques molt elevades.