Guía AEPD de Protección Datos para los pacientes de Sanidad
El pasado 23 de junio 2022 la Agencia Española de Protección de Datos (AEPD) publicó una guía para facilitar el cumplimiento de la normativa vigente en Protección de Datos a los profesionales de la salud que se desempeñen en forma independiente, y garantizar los derechos de los usuarios de sus servicios, teniendo en cuenta, además las previsiones de la Ley 41/2002 de Autonomía del Paciente.
Esta nueva guía aborda distintos aspectos relacionados al tratamiento de los datos de salud por parte de los profesionales sanitarios, ilustrando con ejemplos y buenas prácticas.
En el presente artículo, nos centraremos en las recomendaciones brindadas por la AEPD respecto de las medidas básicas de seguridad en el uso de dispositivos informáticos y dispositivos móviles por parte de los sanitarios en su ejercicio profesional, como asimismo, el cuestionado uso de las redes sociales y herramientas similares para la gestión de citas o comunicaciones con los pacientes.
Qué datos personales gestiona el profesional sanitario
A fin de prestar servicios de asistencia sanitaria, los profesionales de la salud procesan datos identificativos y de contacto del paciente (nombre, apellido, domicilio, DNI, teléfono) y, principalmente, los datos relativos a la salud que sean necesarios para elaborar el diagnóstico y tratar a dicho paciente.
Por “datos de salud” se entiende a cualquier información que ofrezca una visión sobre la situación médica o estado de salud del paciente, incluida la prestación de servicios de atención sanitaria. Los datos de salud se encuentran dentro de las “categorías especiales de datos”, por lo que merecen una protección reforzada y sólo podrán ser tratados o procesados bajo ciertas condiciones y con determinadas garantías, como por ejemplo, implementando la protección de datos desde el diseño y por defecto, y medidas de seguridad y gestión de brechas de datos adecuadas para garantizar un elevado nivel de protección.
Medidas básicas de seguridad en el uso de dispositivos informáticos por el profesional de la salud
Las medidas de seguridad son una de las garantías que el Profesional Sanitario, como responsable del tratamiento de datos personales, deberá implementar para minimizar el riesgo para los derechos y libertades del paciente. Deberá garantizar un nivel de seguridad, que incluya la capacidad de asegurar la confidencialidad, la integridad y la disponibilidad de los datos personales en caso en que ocurra un incidente de seguridad en el que dichos datos se vean involucrados.
En tal sentido, la nueva Guía de la AEPD detalla algunas buenas prácticas que podremos implementar en el tratamiento de datos de salud, entre otras:
(i) Identificar los soportes utilizando sistemas de etiquetado comprensibles que permitan a los usuarios con acceso autorizado identificar su contenido y dificulten la identificación para quienes no están autorizados;
(ii) codificar los datos en la distribución de soportes para que dicha información no sea accesible o manipulada durante su transporte;
(iii) cifrar los contenidos de dispositivos portátiles cuando se encuentren fuera de las instalaciones (por ejemplo, de memorias USB, teléfonos móviles, tabletas);
(iv) conservar una copia de respaldo de los datos y de los procedimientos de su recuperación en un lugar diferente a aquel en que se encuentren los equipos informáticos que los tratan;
(v) de cada intento de acceso a los datos, guardar, como mínimo, la identificación del usuario, fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado;
(vi) cambiar las contraseñas que sirvan de mecanismo de autenticación como mínimo una vez al año y almacenarlas de forma confidencial, mediante el uso de gestores de contraseñas;
(vii) Concienciación y formación continua del personal.
El uso de las redes sociales y herramientas similares para la gestión de citas o comunicaciones con los pacientes
La digitalización y el uso de la tecnología también ha llegado al sector profesional de la salud, y cada vez más profesionales y centros de salud gestionan las citas o las comunicaciones con los pacientes a través de redes sociales u otros servicios de mensajería instantánea con el fin de facilitar la relación paciente – profesional. Sin embargo, la Guía en estudio advierte que cuando se utilizan éstas herramientas existe un tratamiento de los datos adicional por parte de un tercero (la red social o servicio de mensajería), por lo que también habrá que tener en cuenta los principios de protección de datos.
En estos casos, la AEPD recomienda en primer lugar, ofrecer siempre medios alternativos de comunicación. Si de todas formas, se decide utilizar un servicio de mensajería instantánea o red social, el profesional deberá elegir diligentemente un canal de comunicación que garantice las medidas de seguridad más apropiadas para la protección de los datos personales de los pacientes. Se resalta además que dicho canal de comunicación sólo podrá ser utilizado para la asistencia sanitaria, y exclusivamente relacionado a los datos personales que el paciente haya aportado dentro de la relación (por ejemplo, el teléfono), recomendando que por éstos medios sólo sea revelada la mínima información necesaria para la gestión de la cita o comunicación.
Entre todos estamos construyendo ese itSMF España que siempre habías imaginado: plural, transparente, activo e influyente. ¿A qué esperas? Únete a él.
Team Leader del Grupo de Expertos de Privacidad: ITSM4Privacidad
Miembro del Grupo de Expertos de Privacidad: ITSM4Privacidad
Comité de Estándares de la Asociación itSMF España