Es necesario recordar que las inspecciones de oficio de la AEPD no tienen carácter sancionador, sino preventivo, por cuanto tratan de (i) obtener una visión global de un sector, (ii) detectar deficiencias y áreas de riesgo, (iii) plantear unas conclusiones principales y (iii) trazar mejoras o realizar recomendaciones a partir de unas conclusiones generales.
En este caso, se dirige tanto a organismos públicos como empresas e instituciones titulares de centros sociosanitarios. La AEPD ha englobado en este concepto cualquier “prestación simultánea, intensiva, continuada y sinérgica de los servicios sociales y sanitarios”; esto es, hospital de media estancia, centros o complejos asistenciales, residencias geriátricas, etc., relacionados con los servicios de atención sanitaria a la convalecencia, cuidados paliativos, rehabilitación, cuidados a personas mayores con enfermedades o dependientes, atención de enfermedades mentales o cuidados sanitarios de larga duración.
En principio, se excluyen hospitales, centros de salud y residencias al uso, en tanto que los primeros son solo centros sanitarios y los segundos, centros sociales. No obstante, entendemos que muchas recomendaciones pueden ser igualmente válidas y aplicables.
Recomendaciones principales
En este sentido, las recomendaciones más importantes son:
La AEPD recuerda que la mayoría de la información que se trata en estos centros son categorías especiales de datos relacionadas con la salud, por lo que deberán seguir unas garantías específicas, aplicar medidas adecuadas para proteger los derechos (por ejemplo, que los tratamientos sean realizados por profesionales sujetos a secreto profesional o bajo su responsabilidad) y observar el principio de minimización de datos.
Se desaconseja la utilización de “islas de información” o fragmentación de la información en diferentes ubicaciones, debido a los riesgos que presenta de (i) inconsistencia o desactualización, (ii) integridad y disponibilidad y (iii) seguridad. Frente a esta tendencia, se sugiere la digitalización total de las historias sociosanitarias y reducir la utilización de papel, que sigue imperando en muchos centros. En tanto no se encuentren todas las historias digitalizadas, se recomienda instaurar un procedimiento de gestión de documentación en papel que incluya los registros de los accesos, así como instalar medidas de seguridad en los sistemas de almacenamiento (videovigilancia, alarmas, cerraduras, etc.).
Facilitar información y formación a los profesionales para evitar accesos indebidos a las historias cuando estén en su poder, incluyendo la instauración de políticas de mesas limpias.
Implantación de un procedimiento de destrucción segura de documentación, mediante contenedores cerrados o destructoras de papel.
Dado que compartir información entre los profesionales es esencial para prestar este tipo de servicios, la AEPD recomienda (i) crear un documento en que se establezcan las pautas o reglas generales de compartición de datos, y (ii) la creación de perfiles de acceso más restrictivos y diferenciados, documentándose de forma clara estos criterios y analizando qué información debe compartirse y cuál no.
Reforzar y complementar el deber de secreto profesional de los profesionales, con un compromiso de confidencialidad escrito, en términos de “máximos”, indefinido e incluyendo prohibiciones expresas, como por ejemplo la prohibición de acceder a datos que no sean necesarios.
Colocar carteles informativos sencillos, actualizados y de fácil lectura para los usuarios en las zonas de acceso a los centros, así como leyendas informativas en los formularios de recogida de datos, como una primera capa.
Informar a los interesados en el momento de recogida de los datos y no en el momento del ingreso u otro posterior.
Solicitar la firma del documento informativo y facilitar una copia al interesado.
Identificar cada base jurídica para cada tratamiento de datos personales
El consentimiento solo se deberá utilizar para operaciones de tratamiento accesorias, como publicidad o uso de imágenes, o de forma general para facilitar información a familiares y terceros, investigación médica, etc., cumpliendo requisitos diferentes en cada caso. Así, deberá otorgarse el consentimiento cuando se trate de facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares, salvo en casos de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre que el paciente no se hubiera opuesto, sin que se indiquen datos de categorías especiales o la atención prestada.
Se recuerda la especial diligencia que debe desplegarse a la hora de seleccionar encargados y la necesidad de firmar contratos de encargo de tratamiento que incluyan compromisos de confidencialidad mediante anexo al contrato. Estos contratos deberán evitar fórmulas generales y ser específicos para cada tipo de servicio.
También se ofrecen recomendaciones en el ámbito de la seguridad y el envío de información por email u otro tipo de redes de comunicaciones.
Además de estas recomendaciones, la AEPD aprovecha el Plan de inspección para incluir un decálogo de buenas prácticas, resumiendo las diferentes recomendaciones e incluye, por último, una sección de preguntas más frecuentes sobre consultas concretas.
