Aconseja minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario
MADRID, 2 Jun. (EUROPA PRESS) -
La Agencia Española de Protección de Datos (AEPD) ha aclarado que los centros sociosanitarios pueden facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares "en casos de urgencia vital" y "siempre que el paciente no se haya opuesto".
Así lo indica el organismo tras publicar el 'Plan de Inspección de oficio de la atención sociosanitaria', que analiza por primera vez los tratamientos que se llevan a cabo en este ámbito e investiga su adecuación a la normativa de protección de datos.
Según ha explicado la Agencia, en el marco de su investigación, ha detectado dudas sobre si los centros podían facilitar información sobre la estancia, ubicación o estado de salud de un usuario a solicitud de los familiares.
La AEPD observa que "debe recabarse el consentimiento del usuario". No obstante, añade que "en casos de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre que el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada".
Asimismo, el plan contiene conclusiones respecto del cumplimiento del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD), así como recomendaciones dirigidas a organismos públicos, empresas e instituciones titulares de centros sociosanitarios, que inciden en actuaciones necesarias para una correcta aplicación de la normativa.
También incluye un decálogo que resume las principales conclusiones y un grupo de preguntas y respuestas frecuentes con las dudas recogidas durante su ejecución.
Entre las conclusiones más relevantes destacan las referidas a la información que se debe ofrecer al usuario de estos servicios, que "preferiblemente será por capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información".
"Por ejemplo, la primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, en los que se podrían incluir referencias a otras capas de información más detallada", ha explicado.
El organismo estatal ha detallado que, durante las auditorías, se detectaron problemas relacionados con la identificación por parte de los responsables de las bases jurídicas que amparan los tratamientos, por lo que la Agencia ha recordado que "para cada actividad de tratamiento realizada hay que identificar su base jurídica".
El apartado de preguntas frecuentes da respuesta a otras dudas surgidas en el contexto de la actividad de la atención sociosanitaria, por ejemplo, si es posible cancelar determinados datos de un usuario a petición suya, llevar a cabo tratamientos con fines de investigación médica en un centro, o si es obligatorio facilitar datos personales de los usuarios del centro si lo solicitan las fuerzas de seguridad.
RECOMENDACIONES DE LA AGENCIA
Por otra parte, se ofrecen recomendaciones relativas a la seguridad de los datos debido a que se trata de categorías especiales, como minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario; o elaborar perfiles de acceso que consideren las necesidades de información de cada profesional.
Realizar auditorías de los accesos; que los empleados que traten datos personales de los usuarios suscriban un compromiso de confidencialidad, o evitar la utilización de usuarios genéricos cuya utilización se comparte entre varios empleados, son otros de los consejos.
Otras recomendaciones se refieren, por ejemplo, a que los contratos de encargado de tratamiento especifiquen todas las obligaciones estipuladas por el RGPD; que las políticas de seguridad se basen en el análisis de riesgos y que se realicen Evaluaciones de Impacto relativas a la Protección de los Datos para los nuevos tratamientos de los centros sociosanitarios.
Las inspecciones de oficio que realiza la Agencia en distintos sectores o áreas específicas no tienen carácter sancionador sino preventivo y se llevan a cabo para obtener una visión integral que permita detectar deficiencias y realizar las oportunas recomendaciones. La finalidad de estas inspecciones es elevar el nivel de protección de los ciudadanos a través del análisis de los datos que manejan las organizaciones.
