Avda. de la Borbolla, 47 - 41013 (Sevilla)
Telf: 954 231 990 - Fax: 954 236 050
2020
Fri, 25 M09
M09 2020
Mo
Tu
We
Th
Fr
Sa
Su
31
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
1
2
3
4

Nota Asesoría Jurídica

Jun 2, 2020 | Noticias colegiales
Nota Asesoría Jurídica
La Agencia Española de Protección de datos, ha publicado el PLAN DE INSPECCIÓN DE OFICIO DE LA ATENCIÓN SOCIOSANITARIA, donde se abordan muchas de las problemáticas del día a día de los centros sanitarios en materia de protección de datos.

En el mismo se incluye el siguiente DECÁLOGO DE RECOMENDACIONES:


1. Se debe ofrecer información al usuario preferiblemente en capas, concisa y con un lenguaje claro, de acuerdo con la capacidad de comprensión del destinatario de la información.

La primera capa deberían ser carteles informativos sencillos ubicados en zonas de acceso a los centros, junto con las leyendas informativas insertas en todos los formularios de recogida de datos personales. En esta primera capa se pueden incluir referencias a otras capas de información más detallada, a las que el usuario deberá tener accesibilidad inmediata.


2. Para cada actividad de tratamiento que se realice hay que identificar su base jurídica, que será una o varias de las recogidas en el art. 6 del RGPD en conjunción con las condiciones de tratamiento previstas en el art. 9.2.h) del RGPD.


3. Se debe minimizar la compartición de datos personales entre profesionales a lo estrictamente necesario, sin mermar la atención sociosanitaria. No es válido permitir un acceso total a los datos de los usuarios a todos los profesionales que intervienen en la atención.

Se deben elaborar perfiles de acceso que consideren las necesidades de información de cada profesional, desde el diseño de las aplicaciones, aplicando por defecto los privilegios de acceso mínimos necesarios para prestar la atención al usuario. Se debe realizar auditoria de los accesos.


4. Todos los empleados que traten datos personales de los usuarios deben suscribir un compromiso de confidencialidad.

En todos los contratos de encargado de tratamiento, si los hubiere, deberá establecerse como obligatorio la firma del compromiso por parte de los empleados del encargado, siendo deseable que el modelo de compromiso concreto conste anexo al contrato de encargo.


5. Se debe evitar que los documentos en papel se encuentren dispersos en diferentes ubicaciones del centro y su traslado debe realizarse con las suficientes medidas de seguridad (custodiados en todo momento y en sobre cerrado).

Se deben crear procedimientos seguros para el traslado de la documentación y su almacenamiento, con mecanismos que impidan su acceso a personas no autorizadas.


6. No se deben utilizar usuarios genéricos, cuya utilización se comparte entre varios empleados, para el acceso a datos de carácter personal, ni de carácter básico ni de categorías especiales, ya que ello supone una vulnerabilidad de seguridad.


7. Debe recabarse el consentimiento del usuario para facilitar información a familiares sobre su estancia o ubicación en el centro, así como de su estado de salud.

En caso de urgencia vital o si la presencia de personas vinculadas al usuario por razones familiares o de hecho pudiera ser esencial para la debida atención del usuario, siempre y cuando el paciente no se haya opuesto a que dicha información sea facilitada, el centro puede informar si la persona se encuentra ingresada y su ubicación, sin indicar datos de categorías especiales o sobre la atención prestada.


8. Desde una perspectiva de protección de datos, no se debería utilizar el fax ni el correo electrónico sin cifrar para la remisión de documentación que contenga datos personales de categorías especiales, como pueden ser datos de salud u otros datos como informes sociales, psicosociales o de evaluación.


9. Los contratos de encargo de tratamiento deben especificar todas las obligaciones estipuladas por el RGPD, que deben ser consideradas y cumplidas durante la contratación, estableciendo los mecanismos necesarios para ello.

En los contratos de prestación de servicios sin acceso a datos personales se debe prohibir expresamente el acceso a los mismos, e informar a los trabajadores de dicha prohibición. En el contrato deben considerarse también posibles accesos accidentales o fortuitos, con un compromiso de confidencialidad.


10. Las políticas de seguridad deberán basarse en el Análisis de Riesgos. Se considera que la Evaluación de Impacto relativa a la Protección de Datos (EIPD) es obligatoria para los nuevos tratamientos de los centros sociosanitarios, al presentarse datos de categorías especiales en número suficiente, considerando además la vulnerabilidad de sus usuarios y entendiendo que supone un alto riesgo para los derechos y libertades de estos.



Santiago Pedro Campo
Asesoría Jurídica RICOMS