Las clínicas de fertilidad y los centros de reproducción asistida gestionan un gran volumen de datos de pacientes, por lo que la protección de datos debe aplicarse como obligación legal y fundamentalmente como principio ético. Los datos de salud deben tratarse de forma estrictamente confidencial y la privacidad de los pacientes debe ser un aspecto clave en la asistencia médica. La protección de datos personales relativos a la salud, además de ser una obligación legal, es una exigencia incuestionable desde el punto de vista ético y humano.
Afrontar un problema reproductivo o de infertilidad supone un estrés emocional para las parejas, por lo que un incidente relacionado con la privacidad en estos tratamientos puede provocar daños psicológicos y percibirse por el paciente como un ataque personal, acarreando consecuencias más graves de las esperadas y derivando en una pérdida irreversible de la confianza en el centro y en el equipo médico.
La divulgación de opiniones de pacientes en foros, redes sociales y otros medios digitales podría, en cuestión de minutos, alcanzar a una pluralidad de personas menoscabando la reputación y el prestigio del centro. Un paciente que vea afectada su privacidad muy probablemente modificará su elección en cuanto a la clínica y al especialista, con independencia de que el hecho se haya producido de manera accidental.
Por otra parte, la divulgación de información confidencial sobre infertilidad o esterilidad de pacientes puede derivar en elevadas sanciones de protección de datos que pueden llegar hasta los 20 millones de euros o al 4% del volumen de negocio anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. Con posterioridad al procedimiento sancionador, las clínicas que sobrevivan a la severidad de la sanción económica deberán invertir cuantiosos recursos en estrategias de comunicación y recuperación de imagen de marca para rescatar la reputación y la confianza perdida.
Para prevenir estos daños se recomienda contar con un plan de protección de datos efectivo que responda a la situación real de la entidad. Se deberá nombrar a un Delegado de Protección de Datos, ya sea interno o externo, que cuente con la cualificación profesional y experiencia requerida por la normativa. Para acreditar esta cualificación, puede exigírsele la Certificación de Delegado de Protección de Datos obtenida de acuerdo con el esquema nacional de la Agencia de Protección de Datos.
Las clínicas deberán implantar protocolos de seudonimización para impedir que se identifique al paciente durante el ciclo de uso de sus datos, asignando códigos en lugar de nombres a muestras, analíticas e historiales médicos. No deberá llamarse a los pacientes por su nombre en las salas de consulta, ni ofrecer información sobre hospitalización, diagnósticos y tratamientos a personas que no hayan sido expresamente autorizadas por los pacientes.
Invertir en ciberseguridad e implantar medidas técnicas adecuadas puede contribuir a mitigar los riesgos asociados a la seguridad de la información. Los datos de salud están en el punto de mira del cibercrimen, cuyos autores crean técnicas cada vez más complejas para acceder ilícitamente a los sistemas de información. Es común que aquellos ciberlincuentes que logren sustraer ilícitamente datos de salud soliciten a las clínicas un rescate a cambio de la información. Se deberá, por tanto, contar con un plan de continuidad de negocio y un protocolo de gestión de brechas de seguridad que garantice el cumplimiento de la normativa y la inmediata solución. Cuando se produzcan violaciones de seguridad que afecten los derechos y libertades de los pacientes, éstas deberán notificarse telemáticamente a la Agencia Española de Protección de Datos y al afectado, en el plazo de 72 horas desde que se tenga conocimiento de esta. Si la violación fuera compleja y resultaran escasas las 72 horas establecidas por el legislador, deberá realizarse una comunicación inicial, que se completará gradualmente a medida que se vaya obteniendo más información. Si con carácter previo al incidente la clínica no había establecido medidas adecuadas al riesgo, la comunicación del incidente a esta entidad podría constituir una autoincriminación, por lo que la clave está en fundamentalmente en la prevención del hecho y no en la respuesta.
La formación de los empleados, especialmente de los médicos especialistas y personal de enfermería, también resulta un aspecto clave en la prevención y el cumplimiento de la protección de datos. Los empleados deben conocer los riesgos del incumplimiento de la normativa y de políticas internas, previendo no solo las posibles consecuencias para la clínica, sino también las implicaciones penales que estos hechos pueden tener para la propia persona.
Se trata, en definitiva, de que los centros de fertilidad y reproducción asistida trabajen en el desarrollo de una cultura ética buscando fundamentalmente convertir el cumplimiento de la protección de datos en una herramienta de competitividad y confianza. De esta forma el tratamiento podrá acompañarse de garantías que contribuyan a aliviar el estrés que ya sufren los pacientes durante todo el proceso.
Delegado de protección de datos
Socia en Umbra Abogados
Buenas tardes, hice un tratamiento de reproducción asistida (ICSI) y hubo negligencia medica de parte de la clinica. Tengo pruebas y quiero ver si se puede demandar a la clinica.