Si hay un sector especialmente sensible en materia de protección de datos es el sector sanitario. Médicos, consultas privadas, dentistas, fisioterapeutas, optometristas, dietistas,… tratan una serie de datos que por su naturaleza se clasifican de nivel alto. Es por ello que hoy nos centramos en la protección de datos para clínicas y centros médicos o de salud y en cómo llevar a cabo la adaptación a la LOPD.
Todos hemos leído noticias en diferentes medios acerca de sanciones por parte de la Agencia de Protección de Datos a médicos y centros de salud por incumplir la normativa en materia de protección de datos afectando a la privacidad de los pacientes.
Quedan lejos casos como el abandono de historiales médicos en contenedores municipales sin destruir, pero el sector sanitario, debido a la tipología de los datos tratados (datos especialmente protegidos), tiene que ser muy estricto des de una doble vertiente: el cumplir con lo establecido en la Ley Orgánica de Protección de Datos y su normativa de desarrollo (RD1720/2007), y por otro lado la concienciación de los profesionales respecto a la privacidad de los datos que tratan, por lo delicado de la información que manejan en su día a día.
A pesar de que a día de hoy la mayoría de consultas médicas y centros sanitarios disponen de un programa de formación específica en materia de protección de datos para sus empleados y tienen implantados los protocolos que establece la Ley y el Reglamento, algunos estudios ponen de manifiesto una serie de carencias en cuanto a las medidas llevadas a cabo en centros públicos y privados para garantizar la confidencialidad de los datos tratados.
Estas son algunas de las recomendaciones de la Agencia Española de Protección de Datos basadas en sus informes para la adopción de medidas correctoras ante las carencias detectadas y que serían aplicables tanto a pequeñas consultas médicas gestionadas por un médico autónomo hasta grandes centros sanitarios:
- – Mantener al día la relación de ficheros inscritos a la Agencia de Protección de Datos acorde al tratamiento de datos que se realiza.
-Incluir en impresos y formularios de recogida de datos de los pacientes las cláusulas informativas y de obtención de consentimiento correspondiente así como las relativas a posibles cesiones de datos.
-Disponer de los compromisos de confidencialidad de los trabajadores debidamente firmados y llevar a cabo formación periódica a la plantilla en dicha materia.
-Tener la documentación obligatoria (documento de seguridad, inventario de soportes, relación usuarios, etc.) actualizada por parte del personal correspondiente.
-Disponer de los correspondientes contratos con los encargados de tratamiento e informar al personal de limpieza, por ejemplo, sobre la necesidad de garantizar la confidencialidad de los datos.
-Adoptar las medidas correspondientes para el almacenamiento de la documentación en papel (historiales clínicos) así como la destrucción de los mismos.
-Formar al personal de atención al público sobre los derechos ARCO que pueden ejercitar los pacientes.
-Llevar a cabo una auditoría completa del sistema informático de gestión de los pacientes para cumplir con las prescripciones establecidas en el RD1720/2007.
-Realizar las auditorías bienales obligatorias así como los controles periódicos correspondientes.
Cabe destacar que los centros médicos y de salud privados ofrecen un mayor porcentaje de cumplimiento de la normativa de protección de datos respecto a los públicos, posiblemente debido a que los centros de carácter público, al ser parte de la Administración del Estado, están exentos de la imposición de sanciones, por lo que los procedimientos sancionadores contra ellos finalizan únicamente con un requerimiento en el que se solicita la subsanación del problema mientras que en los centros privados, en caso de incumplimiento, se pueden enfrentar a sanciones económicas muy elevadas.