La Agencia Española de Protección de datos ha publicado esta semana el «Informe de cumplimiento de la LOPD en Hospitales» en el que se recogen los resultados y concluiones sobre el nivel de cumplimiento de las garantías de protección de datos en centros sanitarios públicos y privados de toda España.
El cumplimiento de la normativa es alto en el conjunto de centros privados, alcanzándose niveles elevados en la mayoría de conceptos clave analizados: inscripción de ficheros (99%), inclusión de cláusulas informativas en los formularios de recogida de datos (94,5%), disponibilidad de procedimientos para atender el ejercicio de los derechos ARCO (97%) y, en general, en la implantación de medidas de seguridad y su auditoría periódica.
En promedio, y con excepción de las comunidades de La Rioja y Murcia, el nivel de cumplimiento en los centros públicos es menor que en los centros privados. Las mayores diferencias con éstos se dan en la inclusión de cláusulas informativas en los formularios de recogida de datos (55% frente a 94,5%) y en la realización de la auditoría bienal de seguridad (45% frente a 88%). Además de las señaladas, las áreas de mejora más importantes son la instalación de carteles informativos sobre el derecho a la protección datos, la revisión periódica del documento de seguridad, el registro de todos los accesos a la información, el archivo de las historias clínicas en dispositivos dotados de mecanismos que obstaculicen su apertura, así como la adopción de medidas para evitar la sustracción, pérdida o acceso indebido a la documentación durante su transporte. Es importante asimismo destacar que en el caso de los hospitales de titularidad pública, los indicadores varían significativamente según el aspecto y comunidad autónoma de que se trate.
La mayoría de hospitales (86%) han contratado actividades de tratamiento de datos personales. En la práctica totalidad de estos casos se ha incluido en el contrato de prestación de servicios la cláusula informativa prevista en el artículo 12 de la LOPD. Sin embargo, el porcentaje de centros que en este escenario aplican procedimientos de disociación de los datos de carácter personal es todavía bajo (34%).
El informe ofrece las siguientes recomendaciones:
- Mantener actualizada la inscripción de los ficheros de datos de carácter personal.
- En el caso de ficheros de titularidad pública, tener publicada en el diario oficial correspondiente y actualizada la pertinente disposición general de adecuación a la LOPD y al RLOPD
- Incluir en los impresos y formularios de recogida de datos de los pacientes y usuarios cláusulas informativas respecto al tratamiento de datos personales, conforme al artículo 5 de la LOPD, y adaptarlas en cada formulario en función del fichero en el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (asistencia sanitaria, epidemiología, investigación, docencia, evaluación de la calidad asistencial, etc.)
- Colocar carteles informativos sobre el derecho a la protección de datos personales de los usuarios del centro, que sean fácilmente visibles por éstos.
- Informar al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos (por ejemplo, en la recogida de la basura)
- Es recomendable aplicar procedimientos de disociación de los datos de carácter personal en los tratamientos de datos que hayan sido externalizados.
- Registrar todos los accesos realizados a los historiales clínicos, almacenando la información de cada uno de ellos prevista en el Reglamento de desarrollo de la LOPD durante un periodo no inferior a dos años.
- Realizar auditorías para verificar si el personal autorizado utiliza los datos para la finalidad que justificó el acceso.
- Almacenar los archivos físicos de historias clínicas en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave o dispositivo equivalente. Asimismo, y en el interior de estas áreas, almacenar los expedientes clínicos en archivadores que dispongan de mecanismos que obstaculicen su apertura.
- Custodiar la documentación clínica de pacientes cuando ésta no se encuentre archivada en los dispositivos de almacenamiento indicados en el punto anterior por encontrarse en proceso de revisión o consulta, impidiendo que pueda ser accedida por personas no autorizadas.
- Adoptar medidas para evitar la sustracción, pérdida o acceso indebido a la documentación durante su transporte (ej. traslado de las historias clínicas).
- Realizar la auditoría bienal de seguridad del fichero de historias clínicas y de otros que puedan contener datos relativos a la salud de las personas, adoptando medidas correctoras para subsanar las deficiencias encontradas.
Documentos de interés:
– Nota de prensa de la AEPD (pdf)
– Informe de cumplimiento de la LOPD en Hospitales (pdf)
3 thoughts on “Adecuación a la normativa de protección de datos (LOPD) de hospitales públicos y privados”
Comments are closed.
No obstante, en el informe también se observa que hay un mayor cumplimiento de la normativa por parte de las entidades privadas que de las públicas. Se ve que los entes públicos no temen tanto a la agencia de protección de datos, pues como en caso de sanciones lo pagamos todos… Un Saludo.
Comparto, «Abogado», tu punto de vista. Y añado que a los entes públicos no se les imponen sanciones económicas sino meras amonestaciones.
Es importante añadir ha este tipo de informes la mención a la documentación que se maneja en un Hospital y que no acaba en un archivo custodiada. Hablo de toda la documentación que se maneja en el día a día(copias de originales, documentos con información sensible sobre pacientes, etc).
¿La solución? Incorporar elementos para almacenar la documentación Confidencial que queremos desechar, es mas que recomendable y es una pena que se olviden a menudo de este aspecto clave, ya que LOPD, obliga a ello y además el responsable de tratamiento debería verificar que su proveedor cumple con los requisitos para este tipo de empresas