Inspecciones de oficio de la AEPD analizando la protección de datos en el ámbito de la atención sociosanitaria

TIEMPO DE LECTURA:

La Agencia Española de Protección de Datos (AEPD) ha publicado el «Plan de Inspección de oficio de la atención sociosanitaria», con el fin de analizar los tratamientos que se llevan a cabo en el ámbito de la atención sociosanitaria e investigar su adecuación a la normativa de protección de datos. Las inspecciones de oficio no tienen carácter sancionador sino preventivo. 

  • Materias: Administrativo
  • Fecha: 11/06/2020

E-book Incidencia de la protección de datos en el ámbito laboral

Dentro de las actuaciones previstas en el Plan Estratégico de la Agencia Española de Protección de Datos (AEPD), se ha publicado el «Plan de Inspección de oficio de la atención sociosanitaria», que analiza por primera vez los tratamientos que se llevan a cabo en el ámbito de la atención sociosanitaria e investiga su adecuación a la normativa de protección de datos. En concreto, esta medida tiene su origen en la actuación 1.3.2, cuyo objetivo es detectar los tratamientos y cesiones de datos que se llevan a cabo entre ambos sectores, social y sanitario, buscando su adecuación a la legislación de protección de datos.

¿Qué entiende la AEPD como atención sociosanitaria?

Para la Agencia,  la atención sociosanitaria es aquella que viene a coordinar la asistencia sanitaria y social centrándose en colectivos especialmente vulnerables como, entre otros, latercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social.

Dentro del «Plan de Inspección», encontramos:

Como se ha indicado, las inspecciones de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. La finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.

El plan contiene conclusiones respecto del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para una correcta aplicación de la normativa. También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas durante su ejecución.

Información que se debe ofrecer al usuario

Entre las conclusiones más relevantes se encuentran las referidas a la información que se debe ofrecer al usuario de estos servicios, que preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información. Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada.

Identificación de los responsables de las bases jurídicas que amparan los tratamientos

Durante las auditorías se detectaron problemas relacionados con la identificación por parte de los responsables de las bases jurídicas que amparan los tratamientos, por lo que la Agencia recuerda que para cada actividad de tratamiento realizada hay que identificar su base jurídica.

Preguntas frecuentes

El apartado de preguntas frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad de la atención sociosanitaria, por ejemplo, si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.

Recomendaciones relativas a la seguridad de los datos tratados

Por otra parte, se ofrecen recomendaciones relativas a la seguridad de los datos debido a que se trata de categorías especiales, como minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario; elaborar perfiles de acceso que consideren las necesidades de información de cada profesional; realizar auditorías de los accesos; que los empleados que traten datos personales de los usuarios suscriban un compromiso de confidencialidad, o evitar la utilización de usuarios genéricos cuya utilización se comparte entre varios empleados, entre otras.

También se apreciaron dudas sobre si los centros podían facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares. En este sentido, la AEPD observa que debe recabarse el consentimiento del usuario. No obstante, en casos de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre que el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.

Otras recomendaciones se refieren, por ejemplo, a que los contratos de encargado de tratamiento especifiquen todas las obligaciones estipuladas por el RGPD; que las políticas de seguridad se basen en el análisis de riesgos y que se realicen Evaluaciones de Impacto relativas a la Protección de los Datos para los nuevos tratamientos de los centros sociosanitarios.

Fuente: AEPD

Protección de datos
Transferencia de datos personales
Datos personales
Asistencia sanitaria
Discapacidad física
Organismos públicos
Seguridad de los datos personales
Estancia
Análisis de riesgo
Documentos relacionados
Ver más documentos relacionados
  • Obligaciones en materia de protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    Dentro de las obligaciones que el RGPD fijan en materia de proteción de datos personales para la empresa encontramos el Registro de actividades de tratamiento (RAT), el Análisis de riesgos y una evaluación de impacto (EIPD).1. Registro de acti...

  • Análisis de riesgos aplicados a la privacidad y a la protección de datos en el RGPD y en la LOPDGDD

    Orden: Administrativo Fecha última revisión: 04/02/2019

    Desde la entrada en vigor del RGPD es obligatorio el cumplimiento de los requerimientos y obligaciones para el responsable y el encargado de tratamiento que este incluye, entre las que destaca, la necesidad de llevar a cabo un análisis de riesgos co...

  • Infracciones en materia de protección de datos (LOPDGDD y RGPD)

    Orden: Administrativo Fecha última revisión: 23/01/2019

    Las infracciones se recogen de manera bastante somera en el artículo 83 del RGPD y de un modo más específico en la nueva LOPDGDD (arts. 71 a 74).   Con respecto al RGPD, el artículo 83 indica las condiciones para la imposición de multas admini...

  • Responsabilidad del Responsable del tratamiento de datos en el RGPD y en la LOPDGDD.

    Orden: Administrativo Fecha última revisión: 30/01/2019

    La regulación de la responsabilidad del Responsable del Tratamiento se contempla en el artículo 24 del RGPD, así como en el artículo 28 de la LOPDGDD. Las obligaciones impuestas por el RGPD a los responsables del tratamiento de los datos se pone...

  • Protección de datos en las relaciones laborales

    Orden: Laboral Fecha última revisión: 03/02/2020

    La empresa, o sus asesores, deben conocer y cumplir las exigencias sobre protección de datos recogidas en la normativa actual. Exigencias, que como veremos no solo abarcan en el ámbito laboral formalidades asociadas a la LOPDGDD o RGPD, sino que ha...

Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados
Ver más documentos relacionados

Libros Relacionados