Inspecciones de oficio de la AEPD analizando la protección de datos en el ámbito de la atención sociosanitaria

Dentro de las actuaciones previstas en el Plan Estratégico de la Agencia Española de Protección de Datos (AEPD), se ha publicado el «Plan de Inspección de oficio de la atención sociosanitaria», que analiza por primera vez los tratamientos que se llevan a cabo en el ámbito de la atención sociosanitaria e investiga su adecuación a la normativa de protección de datos. En concreto, esta medida tiene su origen en la actuación 1.3.2, cuyo objetivo es detectar los tratamientos y cesiones de datos que se llevan a cabo entre ambos sectores, social y sanitario, buscando su adecuación a la legislación de protección de datos.

¿Qué entiende la AEPD como atención sociosanitaria?

Para la Agencia,  la atención sociosanitaria es aquella que viene a coordinar la asistencia sanitaria y social centrándose en colectivos especialmente vulnerables como, entre otros, latercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social.

Dentro del «Plan de Inspección», encontramos:

Como se ha indicado, las inspecciones de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. La finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.

El plan contiene conclusiones respecto del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para una correcta aplicación de la normativa. También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas durante su ejecución.

Información que se debe ofrecer al usuario

Entre las conclusiones más relevantes se encuentran las referidas a la información que se debe ofrecer al usuario de estos servicios, que preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada.

Identificación de los responsables de las bases jurídicas que amparan los tratamientos

Durante las auditorías se detectaron problemas relacionados con la identificación por parte de los responsables de las bases jurídicas que amparan los tratamientos, por lo que la Agencia recuerda que para cada actividad de tratamiento realizada hay que identificar su base jurídica.

Preguntas frecuentes

El apartado de preguntas frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad de la atención sociosanitaria, por ejemplo, si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

Recomendaciones relativas a la seguridad de los datos tratados

Por otra parte, se ofrecen recomendaciones relativas a la seguridad de los datos debido a que se trata de categorías especiales, como minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario; elaborar perfiles de acceso que consideren las necesidades de información de cada profesional; realizar auditorías de los accesos; que los empleados que traten datos personales de los usuarios suscriban un compromiso de confidencialidad, o evitar la utilización de usuarios genéricos cuya utilización se comparte entre varios empleados, entre otras.

También se apreciaron dudas sobre si los centros podían facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares. En este sentido, la AEPD observa que debe recabarse el consentimiento del usuario. No obstante, en casos de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre que el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.

Otras recomendaciones se refieren, por ejemplo, a que los contratos de encargado de tratamiento especifiquen todas las obligaciones estipuladas por el RGPD; que las políticas de seguridad se basen en el análisis de riesgos y que se realicen Evaluaciones de Impacto relativas a la Protección de los Datos para los nuevos tratamientos de los centros sociosanitarios.

Fuente: AEPD