Protección de datos: datos médicos
Javier Hernández Martínez es Abogado del despacho Proteccionlegal.com
12/04/2007
2 comentarios · escribe el tuyo
Los datos médicos están regulados por la Ley de Protección de Datos de Carácter Personal (LOPD), que los considera de nivel alto y objeto son las más estrictas medidas de seguridad.
Relacionado:
¿Qué son datos médicos?
Aparte, como es natural, de considerarse datos médicos aquellos referentes a la salud de una persona, ya sea pasada, presente o previsiblemente futura, o también los referidos a posibles adicciones del sujeto objeto de observación, también lo son aquellos datos meramente administrativos (el nombre, su teléfono o dirección) que estén ubicados físicamente en las dependencias sanitarias, o no estándolo ahí, dependan de ésta (pueden estar alojados en un servidor situado físicamente en otro lugar, fuera de la consulta o clínica, pero controlado por ésta). Lo expuesto no es sólo el punto de vista del Consejo de Europa, sino de la misma Agencia Española de Protección de Datos, y por supuesto, de los tribunales a la hora de decidir sobre estas cuestiones.
¿Qué consecuencias se derivan de ser los datos de tipo médico?
Pues ni más ni menos que la norma que los regula, la Ley 15/99, Orgánica, de Protección de Datos de Carácter Personal (LOPD) los considera de nivel alto, lo cual quiere decir no sólo que las medidas de seguridad de que son objeto son las más estrictas, sino que también las sanciones en caso de incumplimiento pueden llegar a los 600.000 euros).
Envío de faxes o correos electrónicos
El reglamento que regula las medidas de seguridad de nivel alto (los datos médicos, no lo olvidemos, están sujetos a ellas), el Real Decreto 994/1999, obliga a que, en el caso de enviarse datos médicos usando para ello medios de telecomunicación (y el fax y el correo electrónico lo son) han de enviarse encriptados, esto es, en clave. El problema es que para el fax, por lo menos en el mundo civil (el de los Cuerpos y Fuerzas de Seguridad son otra historia), no existe una utilidad que permita encriptar un fax de modo que cualquier destinatario pueda recibirlo en claro. Consecuencia obligada de ello es que, a pesar de no ser nada operativo, estaría prohibido tal tipo de envío.
Para el caso de acudirse a la vía del e-mail, sí hay herramientas o programas que permiten la encriptación, aunque el destinatario tendría que poseer el mismo programa y conocer la clave, o usar ambos dispositivos de firma electrónica.
¿Alternativa a la encriptación de los datos médicos?
Sí existe, y consistiría en remitirlos de modo que la información a enviar esté disociada, que consiste en remitir la información médica pero de modo que no se sepa a quién está vinculada la misma. Ello se puede conseguir, por ejemplo, sustituyendo los datos personales típicos de identificación del paciente, por ejemplo, por una clave, que habrá de conocer el destinatario. Tal clave podría ser, como sugerencia, el número de historial clínico, o de póliza de asegurado, eliminándose así datos como el nombre, apellidos, DNI y la dirección.
¿Hay que hacer una auditoria?
Sí. Hay que realizarla una vez cada dos años, la cual trata sólo sobre los aspectos de protección de datos, que no económicos (se matiza, pues la pregunta en tal sentido es habitual). En dicha auditoria hay que analizar cómo está la organización a efectos de protección de datos, plasmando en ella las deficiencias encontradas, sugiriendo las posibles soluciones, y por supuesto, ponerlas en práctica.
Registro de accesos
Consiste – impuesto por la normativa que lo regula – en configurar el sistema informático de modo que, de forma permanente, grabe digitalmente toda aquella información relativa a qué usuario accede a la información, a qué registro concreto accede, y en qué momento preciso lo hace (o sea, quién, a qué, y cuándo). Ello ha de quedar registrado (se exige conservar dicha información de los últimos dos años), y para más complicación, hay que efectuar, mensualmente, un informe sobre dicho registro de accesos de cada mes. Esto, que según se mire puede parecer simple - realmente no lo es -, se complica en exceso cuando se comprueba que los programas informáticos habitualmente usados en el mundo sanitario no están preparados para brindar tal utilidad.
Consejo práctico: antes de adquirir un software de tipo médico, cerciorarnos de que registra todos los dichos accesos, ya que de lo contrario no cumplirá los requerimientos de la LOPD, y en consecuencia podrían sancionarnos, con multas más que elevadas, ya que su incumplimiento lo sería a las medidas de seguridad, constituyendo ello una infracción grave (tramo de sanción: de 60.000 a 300.000 euros).
Menores de edad
Los menores de entre 14 y 17 años, ambas edades inclusive, se consideran, a los efectos de la protección de datos, a los adultos. Ejemplo práctico: atendemos a un adolescente de 14 años. A la semana siguiente vienen el padre o la madre a solicitar información sobre el mismo. Pues bien, sin el consentimiento de dicho menor, estaría prohibido proporcionar dicha información a cualquier otra persona, sean o no los padres. Lo contrario supondría una cesión de datos inconsentida, considerada como infracción muy grave (tramo de sanción: de 300.000 a 600.000 euros). Es por ello que en tales casos, de tenerse que recurrir a la firma del conocido consentimiento informado, quien tendría que firmarlo sería el menor, no sus padres. Cautela inteligente obligaría a, para ser previsores, que con dicha firma autorizase a sus padres a acceder a dichos datos (si así lo desea el menor, pues no está obligado a ello).
Aparte, como es natural, de considerarse datos médicos aquellos referentes a la salud de una persona, ya sea pasada, presente o previsiblemente futura, o también los referidos a posibles adicciones del sujeto objeto de observación, también lo son aquellos datos meramente administrativos (el nombre, su teléfono o dirección) que estén ubicados físicamente en las dependencias sanitarias, o no estándolo ahí, dependan de ésta (pueden estar alojados en un servidor situado físicamente en otro lugar, fuera de la consulta o clínica, pero controlado por ésta). Lo expuesto no es sólo el punto de vista del Consejo de Europa, sino de la misma Agencia Española de Protección de Datos, y por supuesto, de los tribunales a la hora de decidir sobre estas cuestiones.
¿Qué consecuencias se derivan de ser los datos de tipo médico?
Pues ni más ni menos que la norma que los regula, la Ley 15/99, Orgánica, de Protección de Datos de Carácter Personal (LOPD) los considera de nivel alto, lo cual quiere decir no sólo que las medidas de seguridad de que son objeto son las más estrictas, sino que también las sanciones en caso de incumplimiento pueden llegar a los 600.000 euros).
Envío de faxes o correos electrónicos
El reglamento que regula las medidas de seguridad de nivel alto (los datos médicos, no lo olvidemos, están sujetos a ellas), el Real Decreto 994/1999, obliga a que, en el caso de enviarse datos médicos usando para ello medios de telecomunicación (y el fax y el correo electrónico lo son) han de enviarse encriptados, esto es, en clave. El problema es que para el fax, por lo menos en el mundo civil (el de los Cuerpos y Fuerzas de Seguridad son otra historia), no existe una utilidad que permita encriptar un fax de modo que cualquier destinatario pueda recibirlo en claro. Consecuencia obligada de ello es que, a pesar de no ser nada operativo, estaría prohibido tal tipo de envío.
Para el caso de acudirse a la vía del e-mail, sí hay herramientas o programas que permiten la encriptación, aunque el destinatario tendría que poseer el mismo programa y conocer la clave, o usar ambos dispositivos de firma electrónica.
¿Alternativa a la encriptación de los datos médicos?
Sí existe, y consistiría en remitirlos de modo que la información a enviar esté disociada, que consiste en remitir la información médica pero de modo que no se sepa a quién está vinculada la misma. Ello se puede conseguir, por ejemplo, sustituyendo los datos personales típicos de identificación del paciente, por ejemplo, por una clave, que habrá de conocer el destinatario. Tal clave podría ser, como sugerencia, el número de historial clínico, o de póliza de asegurado, eliminándose así datos como el nombre, apellidos, DNI y la dirección.
¿Hay que hacer una auditoria?
Sí. Hay que realizarla una vez cada dos años, la cual trata sólo sobre los aspectos de protección de datos, que no económicos (se matiza, pues la pregunta en tal sentido es habitual). En dicha auditoria hay que analizar cómo está la organización a efectos de protección de datos, plasmando en ella las deficiencias encontradas, sugiriendo las posibles soluciones, y por supuesto, ponerlas en práctica.
Registro de accesos
Consiste – impuesto por la normativa que lo regula – en configurar el sistema informático de modo que, de forma permanente, grabe digitalmente toda aquella información relativa a qué usuario accede a la información, a qué registro concreto accede, y en qué momento preciso lo hace (o sea, quién, a qué, y cuándo). Ello ha de quedar registrado (se exige conservar dicha información de los últimos dos años), y para más complicación, hay que efectuar, mensualmente, un informe sobre dicho registro de accesos de cada mes. Esto, que según se mire puede parecer simple - realmente no lo es -, se complica en exceso cuando se comprueba que los programas informáticos habitualmente usados en el mundo sanitario no están preparados para brindar tal utilidad.
Consejo práctico: antes de adquirir un software de tipo médico, cerciorarnos de que registra todos los dichos accesos, ya que de lo contrario no cumplirá los requerimientos de la LOPD, y en consecuencia podrían sancionarnos, con multas más que elevadas, ya que su incumplimiento lo sería a las medidas de seguridad, constituyendo ello una infracción grave (tramo de sanción: de 60.000 a 300.000 euros).
Menores de edad
Los menores de entre 14 y 17 años, ambas edades inclusive, se consideran, a los efectos de la protección de datos, a los adultos. Ejemplo práctico: atendemos a un adolescente de 14 años. A la semana siguiente vienen el padre o la madre a solicitar información sobre el mismo. Pues bien, sin el consentimiento de dicho menor, estaría prohibido proporcionar dicha información a cualquier otra persona, sean o no los padres. Lo contrario supondría una cesión de datos inconsentida, considerada como infracción muy grave (tramo de sanción: de 300.000 a 600.000 euros). Es por ello que en tales casos, de tenerse que recurrir a la firma del conocido consentimiento informado, quien tendría que firmarlo sería el menor, no sus padres. Cautela inteligente obligaría a, para ser previsores, que con dicha firma autorizase a sus padres a acceder a dichos datos (si así lo desea el menor, pues no está obligado a ello).
Javier Hernández Martínez es Abogado del despacho Proteccionlegal.com
Vota esta noticia:
0 votos.
Comparte esta noticia:
Opciones de fuente:
