Los centros sanitarios tienen la obligación legal de proteger los datos de sus pacientes. La nueva regulación, el Reglamento General de Protección de Datos, establece que se deberán implantar medidas de seguridad para proteger la confidencialidad, según el riesgo de las actividades de tratamiento de datos. Y este enfoque de riesgos resulta clave cuando se trata de datos de salud de pacientes por la sensibilidad que entraña esta información. Cuando hablamos de riesgo, nos referimos sobre todo a la posibilidad de que se produzca un daño, y al impacto que podría causar en la privacidad de las personas. Pero es innegable que también hay un riesgo para las organizaciones que actúan como responsables del tratamiento (clínicas, hospitales, etc.), por las elevadas sanciones, que pueden llegar a los 20 millones de euros. Ello sin hablar del riesgo reputacional, que suele costarle la confianza de sus clientes de manera irreversible.

Sin embargo, en algunas ocasiones, cuando se presenta un informe de medidas organizativas y técnicas, el delegado de protección de datos (DPO) puede enfrentarse a empresas privadas que llegan a cuestionar la excesiva rigurosidad de las recomendaciones que el experto propone, creyendo que pueden llegar a ser “más papistas que el Papa”.

Los DPO, en su calidad de asesores, tienen una responsabilidad que termina al entregar su informe, donde se detectan las amenazas y se proponen las medidas para mitigar los riesgos identificados. Como es lógico, la ejecución de las medidas compete a los responsables, ya que el DPO no puede estar en la consulta pidiendo consentimientos, ni en el quirófano informando a los pacientes sobre la captación de imágenes o vídeos. El responsable puede aplicar todas las recomendaciones, o sólo la mitad, pero cuanto más elevado sea el grado de cumplimiento de las recomendaciones, menores serán los riesgos para la empresa.

En consecuencia, cada responsable llegará hasta donde sus recursos y su cultura de cumplimiento le permita, pero sus empleados y pacientes agradecerán estas medidas de respeto a su privacidad. El adecuado cumplimiento de la protección de datos tiene una importante recompensa que va más allá de evitar una sanción: la confianza.

Recomendaciones básicas

Todo responsable sanitario que aspire a generar confianza en sus pacientes y empleados debe tener en cuenta varios requisitos cuyo fin es preservar la confidencialidad e intimidad del paciente. En primer lugar, sólo el paciente debe tener acceso a su historia clínica y diagnósticolos familiares que quieran conocer estos datos deberán tener autorización, y ni a esos familiares ni a terceras personas se les podrá dar información sobre el paciente, su enfermedad o salas/habitaciones de hospitalización, salvo que medie esa autorización expresa.

Además, nunca se deber exhibir un listado de pacientes al público bajo ningún motivo, y se debe poner en marcha un procedimiento de información -tanto para el paciente como para sus allegados- para que el paciente, como titular de la información, controle a quién desea que se brinde información sobre su estado y localización. Análogamente, el paciente podrá prohibir que se informe a cualquier persona.

En el caso de los hospitales, hay que habilitar salas específicas para informar en todas las plantas de hospitalización, y es en éstas, y no en los pasillos, donde se dará información médica a pacientes y familiares autorizados. No se puede llamar al paciente en voz alta en salas de espera o en áreas de consulta, y se recomienda hacerlo mediante códigos que se visualicen en pantallas. Además, debe restringirse el paso a las habitaciones o salas de hospitalización al personal autorizado y a visitantes autorizados por el paciente. Para evitar que cualquier persona pueda acceder, se debe establecer un control de seguridad a la entrada de las plantas de hospitalización.

Estas recomendaciones marcan la pauta para que un centro sanitario no vulnere la protección de datos y la privacidad de sus pacientes. Aun así, es evidente que cada centro deberá adaptarlas a sus particularidades y reforzar, llegado el caso, la barrera de protección de sus pacientes. La rigurosidad en las medidas a aplicar, más que un problema puede ser la única solución.

 

Lilliam Valenzuela¡

Responsable de Legal de Umbra Abogados

Artículo original publicado en Diario Médico el 24 de marzo de 2019.

Pin It on Pinterest

Share This