ÍNDICE Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID ÍNDICE Edición Octubre 2010 El “Estudio sobre la protección y seguridad de los datos de carácter personal en el ámbito del sector sanitario español” ha sido elaborado conjuntamente por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) a través del Observatorio de la Seguridad de la Información y la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM). Pablo Pérez San-José (INTECO) - Coordinador Susana de la Fuente Rodríguez (INTECO) Laura García Pérez (INTECO) Cristina Gutiérrez Borge (INTECO) Emilio Aced Felez (APDCM) - Coordinador Ángel Igualada Menor (APDCM) Javier Sempere Samaniego (APDCM) La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y a la Agencia de Protección de Datos de la Comunidad de Madrid y está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello está permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: • Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. • Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 2 ÍNDICE Puntos clave.......................................................6 I. Aspectos generales de la normativa sobre protección de datos.............................................7 II. Derecho de información (art. 5 LOPD)................8 III. Consentimiento (art. 6 al 8 LOPD).......................8 IV. Calidad (art. 4 LOPD)..........................................8 4.3 Normativa sectorial............................................31 4.4 Normativa autonómica......................................35 4.5 Normativa de Administración Electrónica..........36 5 Análisis de los resultados del estudio............40 V. Ejercicio de derechos (Título III LOPD)...............9 5.1 Aspectos generales de la normativa sobre protección de datos.................................41 VI. Deber de secreto (art. 10 LOPD).........................9 5.2 Derecho de información (art. 5 LOPD)..............60 VII. Seguridad (art. 9 LOPD)....................................10 5.3 Consentimiento (art. 6 al 8 LOPD)....................72 VIII.Comunicación de datos (art. 11 LOPD).............12 5.4 Calidad (art. 4 LOPD)........................................94 5.5 Ejercicio de derechos (Título III LOPD)...........103 1 Introducción y objetivos.................................13 5.6 Deber de secreto (art. 10 LOPD)....................118 1.1 Presentación.....................................................14 5.7 Seguridad (art. 9 LOPD)..................................121 1.2 Estudio sobre la protección y seguridad de los datos de carácter personal en el sector sanitario español....................................18 5.8 Comunicación de datos (art. 11 LOPD)...........172 5.9 Inspecciones de la Agencia de Protección de Datos........................................177 2 Contexto: el sector sanitario y el Sistema Nacional de Salud (SNS)........... 20 2.1 Centros de Atención Primaria............................21 2.2 Hospitales..........................................................22 6.1 Adecuación a la LOPD del Hospital General Universitario Reina Sofía (Murcia)......186 3 Diseño metodológico......................................23 3.1 Búsqueda y análisis documental.......................24 6.2 Eliminación de archivos incontrolados con datos de nivel alto en el Hospital Carlos III (Madrid)............................................188 3.2 Investigación cuantitativa..................................25 4 Normativa sobre protección de datos que aplica al sector sanitario.................................29 4.1 Normativa europea............................................30 4.2 Normativa estatal..............................................30 6 Buenas prácticas...........................................185 6.3 Normas de uso de los Sistemas de Información (Hospital Universitario Fundación Alcorcón, Madrid)...........................189 6.4 Gestión eficiente y segura del acceso a datos clínicos para profesionales del área y de otros centros sanitarios (Hospital Universitario Doce de Octubre, Madrid)............................................................190 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Índice * 3 ÍNDICE 6.6 Plan estratégico de comunicación en Protección de Datos para Profesionales Sanitarios y Ciudadanos (Dirección General de Sistemas de Información Sanitaria de la Comunidad de Madrid)............192 6.13 Recomendaciones sobre la normativa de Protección de Datos de carácter personal y las Historias Clínicas (Colegio de Médicos de Madrid).....................202 6.14 Diseño y estrategia de implantación de un sistema integrado de información con datos de seguridad alta en Salud Pública (Instituto de Salud Pública de la Comunidad de Madrid)...........................203 6.15 Seguridad en el desarrollo y preproducción con datos reales en un sistema de información centralizado de gestión de Historias Clínicas (Dirección General de Informática, Comunicaciones e Innovación Tecnológica, Consejería de Sanidad y Consumo de la Comunidad de Madrid).......................................................204 6.7 Asegurar la utilización adecuada de la información disponible en materia de seguridad y confidencialidad de los datos de carácter personal (Gerencia del Área 10 de atención primaria del Servicio Madrileño de Salud)........................................194 6.8 Protección online de datos personales (Oficina del Defensor del Paciente de la Consejería de Sanidad y Consumo de la Comunidad de Madrid)...........................195 6.9 Documentación clínica en Atención Primaria: procedimiento de acceso para uso no asistencial (Osakidetza - Servicio Vasco de Salud)..............................................196 6.10 Percepciones y realidades de los profesionales sanitarios sobre la Protección de Datos. Gestión de Identidad. HUser (Hospitales Universitarios Virgen del Rocío – Servicio Andaluz de Salud)..........198 6.11 Mejora del tratamiento del fichero de datos de carácter personal de alta seguridad Pacientes CMD, pacientes y deportistas que acuden al Centro (Centro de Medicina Deportiva de la Comunidad de Madrid)....................................200 6.19 Reglamento de uso de la Historia Clínica en el Hospital (Hospital de Cruces, Bilbao)................................................209 6.12 La Comisión de Seguridad en la Información del Hospital Universitario Virgen de la Arrixaca como garante de la Protección de Datos de Carácter Personal (Hospital Virgen de la Arrixaca, Murcia).............................................................201 6.21 6.16 Proyecto de Historia clínica compartida (Generalitat Catalunya, Department de Salut)..........................................................205 6.17 Adecuación a la LOPD de SaCyL: El reto hacia la seguridad (Gerencia Regional de Salud de Castilla y León)............206 6.18 Procedimiento de anonimización de pacientes al ingreso (Hospital Virgen del Camino, Pamplona)...................................208 6.20 Protocolo de destrucción de documentos en soporte papel (Hospital Central de la Cruz Roja San José y Santa Adela, Madrid)...210 Sistema de actuación a seguir en el Hospital ante la solicitud de documentación clínica por parte de los ciudadanos y responsabilidades del Hospital (Hospital Clínico San Carlos, Madrid)............................................................211 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Índice 6.5 El Tercero de confianza (Servicio Andaluz de Salud)............................191 4 ÍNDICE 7 Conclusiones y reflexiones finales.............. 212 8 Recomendaciones.........................................216 8.1 Recomendaciones a usuarios pacientes.........217 8.2 Recomendaciones a profesionales de la salud.......................................................217 8.3 Recomendaciones a centros sanitarios..........217 Anexo I: Bibliografía..............................................219 Anexo II: Índices....................................................221 1. Índice de gráficos............................................222 2. Índice de tablas...............................................228 3. Índice de ilustraciones.....................................229 Índice 8.4 Recomendaciones a Administraciones Públicas...........................................................218 8.5 Recomendaciones a organismos reguladores.....................................................218 5 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Puntos clave Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE que admiten que sus ficheros se encuentran exclusivamente en formato no automatizado (5,5%). • Declaración de ficheros. Una mayoría de los centros encuestados admiten haber declarado sus ficheros con datos de carácter personal ante la autoridad competente en materia de protección de datos, ya sea la Agencia Española (15,6%) o autonómica (38,5%). Sólo un 8,6% reconoce no tener inscritos sus ficheros, y sorprende el elevado 37,3% que no proporciona respuesta. • Inventariado de ficheros. El 73,5% de los centros sanitarios participantes en el estudio afirman tener inventariados los ficheros con datos de carácter personal, frente a un 14,1% que reconocen no tenerlos inventariados, y un 12,4% adicional que no se posiciona. • Formación del personal. El nivel de formación entre los centros sanitarios españoles en materia de protección de datos es correcto. Ya sea un conocimiento general (64,9%) o profundo (26,7%), lo cierto es que la inmensa mayoría del personal de atención al público de los centros sanitarios españoles dispone de formación específica sobre protección de datos. • Coordinador de Protección de Datos. Hay un 52,2% de centros sanitarios que reconocen disponer de coordinador de protección de datos. En el análisis por tipo de centro, los hospitales, con un 80,7% de ellos que afirman contar con uno, muestran un mayor compromiso con la protección de datos que los centros de salud (58,4%) y los consultorios locales (47%). En el manejo de esta información las instituciones tienen que conjugar, de un lado, la intimidad del sujeto cuyos datos están siendo manejados y, de otro, el interés público, entendiendo por ello la garantía de una adecuada prestación del servicio de salud. Estas circunstancias exigen que se preste una atención particularizada al asunto, y por ello este informe constituye un diagnóstico sobre la situación de las instituciones sanitarias españolas en lo referente a la protección de datos personales. Para la elaboración del estudio se ha llevado a cabo un sondeo de opinión consistente en la realización de encuestas a los responsables de protección de datos / seguridad, administradores o gerentes de 700 hospitales, centros de salud o consultorios locales. El trabajo de campo se ha realizado en marzo de 2010. Se exponen a continuación los puntos clave del análisis. I Aspectos generales de la normativa sobre protección de datos • Soporte de los ficheros. En el sector sanitario español prevalecen los ficheros de carácter mixto, tanto si en ellos predomina el soporte papel (42,4%) como si prevalece el electrónico (35,5%). Un 16,6% de los centros afirma que se encuentran exclusivamente en soporte electrónico. Son una minoría los centros Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Puntos clave El sector sanitario español, formado por hospitales, centros de salud y consultorios locales, maneja de manera habitual datos de salud de los pacientes. Se trata de datos muy sensibles, que tienen la consideración de datos especialmente protegidos. 7 ÍNDICE Derecho de información (art. 5 LOPD) • El análisis segmentado revela un escenario diferente para cada uno de los tres tipos de centros analizados. Los hospitales, con un 87,3% de implantación, cumplen con el deber de información al incluir en los formularios de recogida de datos personales una cláusula específica sobre protección de datos. La situación de los hospitales difiere de la realidad existente en centros de salud y consultorios locales. En estos centros, con un 50,9% y 42,5% respectivamente de nivel de adopción de la medida, todavía queda área de mejora. • Carteles informativos. Para dar cumplimiento al deber de información, una parte de los centros sanitarios dispone de carteles informativos sobre los tratamientos de datos personales que se realizan con los datos que se recaban de los pacientes. Se trata, en cualquier caso, de una práctica no adoptada de manera habitual. Sólo un 27,7% de los centros entrevistados reconoce tener este tipo de carteles, frente a un mayoritario 70,7% que afirma no utilizar este método. III Consentimiento (art. 6 al 8 LOPD) • Un 78,5% de los hospitales siempre solicita el consentimiento de los titulares de los datos antes de su recogida. Este porcentaje es del 52,1% en el caso de los centros de salud y de 50,2% entre los consultorios locales. Cláusulas en formularios de recogida de datos. A nivel global, un 47,9% de los centros encuestados reconocen incorporar una cláusula informativa en los formularios de pacientes. Solicitud del consentimiento. A nivel global, el 52,8% de los centros encuestados afirma que siempre solicita el consentimiento de los titulares con anterioridad a la recogida de sus datos de carácter personal, y un 13,2% adicional dice hacerlo a menudo. • Revocación del consentimiento. En el sector sanitario español, un mayoritario 69,3% de los centros entrevistados afirman que disponen de un procedimiento específico para que el paciente titular de los datos pueda revocar el consentimiento otorgado. Sólo un 20,5% reconoce no disponer de un procedimiento de revocación. • Consentimiento en caso de investigaciones clínicas. En el ámbito sanitario, es frecuente que los datos clínicos de los pacientes se utilicen en alguna labor de investigación. La mayoría de los centros sanitarios españoles (un 74,6%) han elaborado un procedimiento específico que regula la solicitud del consentimiento del paciente en los casos particulares de investigaciones clínicas. IV Calidad (art. 4 LOPD) • Finalidad. El principio de calidad y su derivado, el de finalidad, son ampliamente observados por los centros sanitarios españoles. Un 89,3% de los encuestados indican que los datos recogidos son los estrictamente necesarios para la finalidad de uso que justificó su recogida, frente a un 7,9% que manifiesta lo contrario. En el análisis por zonas destaca especialmente la Comunidad de Madrid. Allí, un 95,1% de los centros sanitarios encuestados cumplen con el principio de Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Puntos clave II 8 ÍNDICE Cataluña (75,6%) y la Comunidad de Madrid (65,8%) son las dos regiones españolas donde en mayor medida las instituciones sanitarias han adoptado procedimientos para facilitar el ejercicio de los derechos ARCO a los ciudadanos que lo soliciten. finalidad, al admitir que recogen sólo los datos que son estrictamente necesarios para su finalidad de uso. V Actualización. Los centros son cuidadosos con la actualización de los datos personales que manejan, ya sea a través de un procedimiento específico de actualización y depuración de las bases de datos (34,1%), ya sea de manera no procedimentada, actualizando los registros a medida que se detectan incorrecciones (61,3%). Sólo el 4,6% de los centros españoles afirman que no se verifica la exactitud y actualización de los datos personales con los que trabajan. • El nivel de observación de la disposición es más elevado entre hospitales (84,2%) que entre centros de salud (73,4%) y consultorios locales (67,8%). Ejercicio de derechos (Título III LOPD) • Derechos ARCO. El 56,1% de los centros sanitarios españoles afirma disponer de un procedimiento específico para que los interesados ejerciten sus derechos de oposición, acceso, rectificación o cancelación de sus datos personales (derechos ARCO). Sorprende que haya un 37,6% que no ha adoptado un procedimiento en este sentido, y un 6,3% que no proporciona respuesta. Se aprecian diferencias importantes en función del centro de que se trate. Así, en los hospitales está ampliamente extendida la adopción de procedimientos para facilitar al ciudadano el ejercicio de sus derechos ARCO: un 83,1% de los hospitales así lo manifiesta. La práctica es más infrecuente entre centros de salud (60,3%), y aún más entre los consultorios locales, donde sólo el 51,7% confirma haber adoptado un procedimiento específico para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos. Acceso del paciente a la historia clínica (HC). El 70,3% de los centros entrevistados reconocen que disponen de un procedimiento específico que regula el acceso al historial clínico por parte del titular de los datos. El análisis geográfico confirma una vez más a Cataluña y la Comunidad Autónoma de Madrid como las áreas con mayor índice de adopción de procedimientos de acceso a la HC por el paciente, con un 81,2% y 75% de los centros, respectivamente, que afirman haberlos instaurado. VI Deber de secreto (art. 10 LOPD) • El deber de secreto sobre los datos personales que manejan es de sobra conocido por el personal de los centros sanitarios españoles (no sólo profesionales de la salud, sino el resto del personal del centro). Así, sólo un 0,4% de los encuestados afirma que los empleados de la institución no han sido informados al respecto. Lo más habitual, en un 59,7% de las ocasiones, es que los profesionales conozcan el deber de secreto o que, incluso, se les haya pedido firmar un compromiso de confidencialidad (39,9%). Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Puntos clave • 9 ÍNDICE La firma del compromiso de confidencialidad por parte de los profesionales es más frecuente entre hospitales (67,9%) que entre centros de salud (35,5%) y consultorios locales (38,4%). quienes tiene relación asistencial. En el caso de centros de salud el porcentaje es de 42,2%, y de un 36,8% cuando se trata de consultorios locales. • Control de acceso físico a las instalaciones donde se encuentran los sistemas de información. En la inmensa mayoría de los casos, el acceso está restringido (sólo existe un 6,9% que afirma que es posible acceder al lugar donde se almacenan los datos). En el resto de las situaciones existe un control de acceso e incluso, en el 44,2% de las ocasiones, existen además herramientas de control de accesos. • Documento de Seguridad. Un 43,5% de los centros sanitarios españoles reconoce que dispone de Documento de Seguridad específico que contemple una política para los tratamientos de datos personales. VII Seguridad (art. 9 LOPD) • • Limitación de accesos. La práctica totalidad de los centros sanitarios españoles controlan de algún modo los accesos que los empleados realizan a los datos y recursos de la institución en cuestión. Sólo un 2,3% de los encuestados afirma que no existe ningún tipo de limitación de accesos y que los profesionales pueden acceder a datos y recursos ajenos. En el resto de los casos existe una política de accesos, y en la mayoría de las situaciones (68,9%) el centro cuenta, además, con controles para evitar accesos no autorizados. Procedimiento de gestión de contraseñas. El 87,4% de los centros sanitarios españoles disponen de procedimientos específicos de gestión de las contraseñas del personal empleado. La situación no es homogénea entre los tres tipos de instituciones: en hospitales, un 79,9% dispone de documento de seguridad, en centros de salud el porcentaje es de 49,2% y en consultorios, sólo un 37,5% así lo declara. Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE). En el 52,9% de los centros participantes en el estudio las historias clínicas de la institución son accesibles por todos los profesionales. En un 39,4%de los casos el acceso a las HC está limitado, de manera que cada profesional sólo puede acceder a las de los pacientes con quienes tiene relación asistencial. Los hospitales son más cuidadosos que los centros de salud y los consultorios. Así, en un 54,1% de los hospitales el acceso de los profesionales a las historias clínicas está limitado a los pacientes con A nivel nacional la realidad es heterogénea y diversa. Coexisten regiones como Cataluña o Madrid, donde un 63,8% y 56,4%, respectivamente, de instituciones afirman tener documento de seguridad, con otras zonas donde el cumplimiento no supera el 40%. • Responsable de seguridad. En un 40,1% de los centros participantes en el estudio existe la figura específica del responsable de seguridad y se han definido funciones específicas para dicho puesto. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Puntos clave • 10 ÍNDICE • Procedimiento de realización de copias de respaldo y recuperación. El 58,3% de los centros sanitarios participantes en el estudio afirman disponer de un procedimiento específico para la realización de copias de respaldo y recuperación. Una vez más, el nivel de cumplimiento de la normativa es mayor entre hospitales que entre centros de menor tamaño. Un 91,6% de los hospitales tiene un procedimiento de realización de copias de respaldo de los datos, frente a un 63,2% en el caso de centros de salud y un 52,9% en el de los consultorios locales. • Procedimiento para la destrucción de documentos con datos de carácter personal. Conscientes de la especial sensibilidad de la materia, y de la existencia de precedentes en el sector sanitario que han terminado en un procedimiento sancionador, los centros sanitarios españoles han adoptado procedimientos para la destrucción de documentos con datos de carácter personal (un 75,5% lo ha hecho). Los hospitales son los centros que más se han esforzado en regular el modo de destruir documentos con datos personales de sus pacientes. Un 92,2% de los hospitales españoles lo ha llevado a cabo. Por detrás de ellos, un 83,3% de los centros de salud y un 70,9% de los consultorios locales disponen de procedimientos específicos para eliminar los soportes donde se almacenan datos de carácter personal. • Procedimiento de notificación, gestión y respuesta a incidencias. El 76% de los centros sanitarios participantes en el estudio disponen de un procedimiento específico para la gestión de las incidencias. • Sistema de Gestión de la Seguridad de la Información (SGSI). En el sector sanitario español el nivel de adopción de Sistemas de Gestión de Seguridad de la Información es considerable. De acuerdo con las respuestas facilitadas por los responsables de seguridad participantes en el estudio, un 53,2% de los centros disponen de SGSI, frente a un 29% que reconocen no tenerlo y un 17,8% que no se pronuncian. • Plan de Continuidad de Negocio. En el sector sanitario español, un 41,6% de los centros disponen de un Plan de Continuidad de Negocio, un 35,5% reconocen no tenerlo y un 22,7% lo desconoce. • Auditorías de seguridad. En el sector sanitario español la realidad, a partir de las respuestas proporcionadas por los centros participantes en el estudio, es que hay un 20,8% de instituciones que realizan auditorías anualmente y un 12,4% adicional que las lleva a cabo con una periodicidad bienal. Es decir, un 33,2% de los centros sanitarios españoles estaría cumpliendo con el precepto. Existe, por otra parte, un 6,1% que reconoce llevar a cabo auditorías, pero lo hace cada más de 2 años. Sorprende el 50,8% de centros que reconoce nunca haber realizado una auditoría de seguridad. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Puntos clave Mientras mayor es el tamaño del centro, aumenta la tendencia a disponer de responsable de seguridad: son un 79,4% de los hospitales, un 46,2% de los centros de salud y un 33,6% de los consultorios locales quienes afirman contar con una figura específica de responsable de seguridad. 11 ÍNDICE VIII Comunicación de datos (art. 11 LOPD) Control de los envíos de datos de pacientes a terceros. El 66,7% de los centros sanitarios españoles participantes en el estudio manifiesta que existe en el ámbito de su organización un sistema de control de los envíos de datos de pacientes que se realizan a terceros. Existe un 24,4% de instituciones que reconocen que no existe tal control, y un 8,9% adicional que no se manifiesta al respecto. Puntos clave • 12 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Introducción y objetivos Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 1 1 ÍNDICE 1.1 Presentación protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Observatorio de la Seguridad de la Información, el Centro Demostrador de Tecnologías de Seguridad, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico. El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. INTECO tiene la vocación de ser un centro de desarrollo de carácter innovador y de interés público a nivel nacional que constituye una iniciativa enriquecedora y difusora de las nuevas tecnologías en España en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las Tecnologías de la Información y la Comunicación (TIC), basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. • La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrolla actuaciones en las siguientes líneas: • Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que • Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP. Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Introducción y objetivos 1.1.1 Instituto Nacional de Tecnologías de la Comunicación 14 1 ÍNDICE • Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria. El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica. El Observatorio nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza. El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad por parte de INTECO, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos. Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias: • Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad en Internet. • Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional. • Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal. • Impulso de proyectos de investigación en materia de seguridad TIC. • Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información. • Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Introducción y objetivos niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software. 15 1 ÍNDICE La Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) es una autoridad independiente de control que garantiza y protege el derecho fundamental a la protección de datos personales. Sus competencias versan sobre los ficheros de titularidad pública creados o gestionados por la Comunidad Autónoma de Madrid, Entes que integran la Administración Local de su ámbito territorial, Universidades públicas y Corporaciones de derecho público representativas de intereses económicos y profesionales de la misma, en este último caso, siempre y cuando dichos ficheros sean creados o gestionados para el ejercicio de potestades de derecho público. Es un Ente de Derecho Público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, Reguladora de la Hacienda de la Comunidad de Madrid, con personalidad jurídica propia y plena capacidad de obrar, y se configura como una autoridad de control que actúa con objetividad y total independencia de las Administraciones Públicas de la Comunidad de Madrid en el ejercicio de sus funciones, relacionándose con el Gobierno de la Comunidad de Madrid a través de la Consejería que, en su caso, se determine. Sin perjuicio de la capacidad de control e inspección sobre los ficheros de datos de carácter personal sobre los que la APDCM ejerce su competencia, ésta desarrolla una laboriosa función de promoción y conocimiento del derecho fundamental a la protección de datos personales. Esta promoción se realiza a través de diferentes actuaciones y actividades: • Formación a empleados públicos (desde la fecha de creación de la APDCM, 1997, se ha dado formación a más de 40.000 personas). • Las revistas digitales www.datospersonales.org y www.dataprotectionreview.eu, así como la Revista Española de Protección de Datos. • La herramienta de formación virtual, que permite que los empleados públicos se puedan formar en esta materia utilizando este programa usando Internet. • La celebración de Jornadas dirigidas a ámbitos específicos, como pueden ser Sanidad, Educación, Servicios Sociales, Universidades, Colegios Profesionales y Seguridad. • La publicación de los manuales sectoriales Protección de datos personales para Servicios Sanitarios Públicos, Protección de datos personales para Administraciones Locales, Protección de datos personales para Universidades Públicas, Protección de datos personales para Servicios Sociales Públicos, Protección de datos personales en Corporaciones de Derecho Público, y Protección de datos personales en Centros Educativos Públicos, Seguridad y Protección de Datos, así como la publicación de la Guía de Protección de datos personales para Empleados Públicos. • La distribución de dípticos para concienciar a los ciudadanos que utilizan los servicios públicos. Concretamente, estos dípticos están orientados a los usuarios de los servicios sociales y servicios sanitarios. Otras de las actividades de la APDCM que destacan son las referentes al apoyo al responsable de ficheros, no sólo de Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Introducción y objetivos 1.1.2 Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) 16 1 manera presencial sino mediante el uso de la herramienta online CUMPLE; la solicitud y evaluación de las auditorías bienales sobre los ficheros de datos de carácter personal con nivel de seguridad medio y alto; el Plan de Concienciación a menores que ha tenido lugar los pasados 28 de enero de 2009 y 2010 con la impartición de una charla sobre los riesgos de Internet en los 404 Institutos de Educación Secundaria (I.E.S.) de la Comunidad de Madrid; la posibilidad que tienen los ciudadanos de ejercitar online los derechos ARCO así como interponer, también por Internet, denuncia y procedimiento de tutela de derechos; los Planes sectoriales dirigidos a videovigilancia, publicación de datos personales en Internet y administración electrónica, y la elaboración de recomendaciones e instrucciones que suponen una interpretación de la normativa existente. • Instrucción 1/2007, de 16 de mayo, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre el tratamiento de datos personales a través de sistemas de cámaras o videocámaras en el ámbito de los órganos y Administraciones Públicas de la Comunidad de Madrid. • Recomendación 1/2008, de 14 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre el Tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid. • Recomendación 2/2008, de 25 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios webs institucionales y en otros medios electrónicos y telemáticos. • Recomendación 3/2008, de 30 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre tratamiento de datos de carácter personal en servicios de administración electrónica. Entre estas recomendaciones e instrucciones, además de las que se van a citar en la parte de normativa de este estudio, destacan: • Recomendación 1/2004, de 14 abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre la utilización y tratamiento de datos del padrón municipal por los Ayuntamientos de esta Comunidad Autónoma. Introducción y objetivos ÍNDICE 17 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 1 ÍNDICE 1.2 Estudio sobre la protección y seguridad de los datos de carácter personal en el sector sanitario español 1.2.1 Contexto y oportunidad del estudio Estas instituciones manejan datos especialmente sensibles, ya que se refieren a la salud de los pacientes. Se entiende por dato de salud toda información concerniente a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se considerarán datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) reconoce un tratamiento especial para este tipo de datos. Así, el artículo 7 menciona los datos de salud al tratar los datos especialmente protegidos. Todos aquellos ficheros que contengan datos de salud (por ejemplo historias clínicas, grado de discapacidad) deberán observar medidas de seguridad de nivel alto. Así lo dispone el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RDLOPD). En el manejo de esta información las instituciones tienen que conjugar, de un lado, la intimidad del sujeto cuyos datos están siendo manejados y, de otro, el interés público, entendiendo por ello la garantía de una adecuada prestación del servicio de salud. Los servicios sanitarios, al igual que el resto de organizaciones, están sujetos a la actual legislación española y europea sobre privacidad y protección de datos. Así, están obligados a garantizar el derecho a la información de los ciudadanos cuando se recogen sus datos personales; a asegurar los requisitos de calidad de la información, incluyendo la recogida de los datos adecuados y no excesivos para las finalidades legítimas para las que se van a utilizar; la actualización de los mismos; las garantías especiales para los datos más sensibles como los de ideología, vida sexual o salud; las obligaciones en materia de seguridad de los datos y la confidencialidad y el deber de secreto en el tratamiento de los datos personales. Del mismo modo, los ciudadanos tienen una serie de derechos que pueden ejercer para controlar el uso de sus datos de carácter personal y, específicamente, el de acceder y conocer la información que sobre ellos tienen los responsables de tratamientos y rectificar y cancelar la información inexacta, incompleta, inadecuada o excesiva que obre en poder de dichos responsables. Estas circunstancias exigen que se preste una atención particularizada al asunto, y que se formule un diagnóstico sobre la situación concreta de las instituciones sanitarias en lo referente a la protección de datos personales. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Introducción y objetivos En España, el sector sanitario muestra una dimensión considerable en términos cuantitativos: un total de 803 hospitales, 2.929 centros de salud y 10.201 consultorios locales y conforman el sector de instituciones sanitarias españolas. 18 1 ÍNDICE 1.3.1 Objetivo mismo modo, destacar cuáles son los beneficios y el valor añadido que la normativa sobre protección de datos aporta a la gestión de los centros y aportar pautas para eliminar o minimizar los frenos. El objetivo general del estudio es la realización de un diagnóstico del cumplimiento efectivo de la normativa vigente en materia de protección de datos personales por parte del sector sanitario español. Este objetivo general de diagnóstico se desglosa operativamente en los siguientes objetivos específicos: • Destacar casos reales de éxito en la implementación de la normativa sobre protección de datos identificados en el sector sanitario español. • Formular recomendaciones a usuarios pacientes, a profesionales de la salud, al sector sanitario, a las Administraciones Públicas y a los organismos reguladores, con objeto de incrementar el nivel de cumplimiento, en base a los resultados del estudio y a la propia experiencia de los agentes colaboradores. Identificar posibles frenos y barreras que pueden estar encontrando las instituciones de salud. Del Introducción y objetivos • Identificar el nivel de adecuación del sector sanitario español a la normativa en materia de protección de datos y, en concreto, analizar si existen diferentes grados de cumplimiento en función del tipo de centro, de su adscripción patrimonial o del área geográfica de ubicación. • 19 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE 2 Contexto: el sector sanitario y el Sistema Nacional de Salud (SNS) Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 2 ÍNDICE Según el Ministerio de Sanidad y Política Social los Centros del Sistema Nacional de Salud (SNS) se dividen en centros sanitarios y centros de vacunación internacional. Los centros sanitarios, donde a su vez se engloban los Centros de Atención Primaria y el Catálogo Nacional de Hospitales, son los que constituyen el objeto del estudio 1. 2.1 Centros de Atención Primaria Los Centros de Atención Primaria a su vez se dividen en Centros de Salud y Consultorios. 2.1.1 Centros de Salud Se utiliza la definición incluida en el Real Decreto de autorización de centros, servicios y establecimientos sanitarios, que dice: Estructuras físicas y funcionales que posibilitan el desarrollo de una atención primaria de salud coordinada, globalmente, integral, permanente y continuada, y con base en el trabajo en equipo de los profesionales sanitarios y no sanitarios que actúan en el mismo. En ellos desarrollan sus actividades y funciones los Equipos de Atención Primaria. 2.1.2 Consultorios Igualmente, se utiliza la definición que consta en el Real Decreto antes mencionado, que dice Centros sanitarios que, sin tener la consideración de Centros de Salud, proporcionan atención sanitaria no especializada en el ámbito de la atención primaria de salud). Se incluyen bajo esta denominación, exclusivamente a los consultorios rurales, consultorios locales, consultorios periféricos, o cualquier otra denominación que haga referencia a centros asistenciales mayoritariamente dependientes o relacionados funcionalmente con un centro de salud. Así pues, en caso de que en alguna Comunidad permanezca algún centro urbano de modalidad de atención no reformada (modelo tradicional) bajo la denominación de consultorio, este centro deberá ser tratado, a estos efectos, como un centro de salud. 1 Según el Instituto Nacional de Estadística (INE), en su metodología de Estadística de Indicadores Hospitalarios, los establecimientos sanitarios se clasifican, según la dependencia funcional, en establecimientos Públicos: Sistema Nacional de Salud y Otros públicos (Defensa, Comunidades Autónomas, Diputaciones, Cabildos y Municipios y Otros) y No públicos: Privados sin fin de lucro (Cruz Roja, Iglesia y Benéfico-Privado) y Privados con fin de lucro; y según su finalidad en: Generales, Especiales de corta estancia (Médicoquirúrgicos y Quirúrgicos, Infantiles, Maternales y Materno-infantiles y Otros), Especiales de larga estancia (Geriátricos y crónicos y Otros) y Psiquiátricos. Para cada clase o combinación de clases se elaboran posteriormente una serie de grupos de indicadores. (http://www.ine.es/metodologia/t15/t1530415.htm) Sin embargo, el cómputo estadístico de centros pasó en 2005 a depender del Ministerio de Sanidad y Política Social, con lo que no existen datos actualizados segmentados según estas dos clasificaciones. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Contexto: el sector sanitario y el Sistema Nacional de Salud La Ley General de Sanidad atribuye al Estado, entre sus actuaciones, “El Catálogo y Registro General de centros, servicios y establecimientos sanitarios que recogerán las decisiones, comunicaciones y autorizaciones de las Comunidades Autónomas, de acuerdo con sus competencias” (art. 40.9). 21 2 ÍNDICE El Catálogo Nacional de Hospitales es fruto de la colaboración entre el Ministerio de Sanidad y Política Social y las Consejerías de Sanidad de las Comunidades Autónomas, el Ministerio de Defensa, los órganos competentes de las Ciudades Autónomas de Ceuta y Melilla y los propios Hospitales. El Catálogo recoge información de los centros sanitarios destinados a la asistencia especializada y continuada de pacientes en régimen de internado, cuya finalidad principal es el diagnóstico y/o tratamiento de los enfermos ingresados en el mismo, así como la atención a pacientes de forma ambulatoria. No obstante, el concepto tradicional de hospital, considerado como institución o centro sanitario que, al margen de su denominación, tiene como finalidad fundamental la prestación de asistencia sanitaria en régimen de internado, se ha visto superada por las nuevas formas de organización de la asistencia sanitaria especializada que tienen su fundamento en la Ley General de Sanidad: 1. Art. 56.2.b: “En el nivel de asistencia especializada, a realizar en los hospitales y centros de especialidades dependientes funcionalmente de aquellos se prestará la atención de mayor complejidad a los problemas de salud y se desarrollarán las demás funciones propias de los hospitales” 2. Art. 65.2: “El hospital es el establecimiento encargado tanto del internamiento clínico como de la asistencia especializada y complementaria que requiera su zona de influencia.” e integran en el complejo hospitalario. En estos casos es la unidad de dirección y gestión la que sirve para su identificación. De esta forma, un complejo hospitalario puede estar constituido por dos o más hospitales, incluso distantes entre sí y uno o varios centros de especialidades. Los complejos hospitalarios se consideran, y como tal se contabilizan dentro del catálogo, como un único hospital, aunque para una más completa información, se relacionan, siempre que es posible, los hospitales que forman parte de dicho complejo. • Dependencia patrimonial: La dependencia patrimonial se refiere a la persona física o jurídica propietaria, al menos, del inmueble ocupado por el centro sanitario. • Dependencia funcional: Es el organismo o entidad jurídica de quien depende, es decir, la persona física o jurídica que ejerce dominio o jurisdicción, jerárquica o funcional, más inmediata sobre el establecimiento sanitario. La clasificación de dependencia funcional de los hospitales con formas jurídicas de gestión contempladas en la Ley 15/1997, de 25 de abril, sobre habilitación de nuevas formas de gestión en el Sistema Nacional de Salud, y de acuerdo con desarrollos legislativos autonómicos, ha sido asignada a la de los correspondientes Servicios de Salud. Por otra parte, un hospital puede estar constituido por un único centro hospitalario o por dos o más que se organizan Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Contexto: el sector sanitario y el Sistema Nacional de Salud 2.2 Hospitales 22 ÍNDICE Diseño metodológico Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 3 3 ÍNDICE Para conseguir los objetivos planteados, la ejecución del proyecto ha combinado diferentes metodologías, abordadas de forma secuencial en las siguientes fases de trabajo: • Fase 1. Búsqueda y análisis documental de legislación, informes, estudios e indicadores que pueden enriquecer el contenido del proyecto y contribuyen a la consecución de los objetivos perseguidos. En esta fase, cobra especial relevancia el informe de la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM): Protección de datos personales para Servicios Sanitarios Públicos. • Fase 2. Investigación cuantitativa: encuesta a los responsables de protección de datos / seguridad, administradores o gerentes de los centros sanitarios. • Fase 3. Elaboración del presente informe con el análisis y conclusiones extraídos de las fases anteriores. Esta fase tiene como objetivo analizar contenidos publicados en la materia que puedan enriquecer y orientar el proyecto de investigación. Así, se han analizado fuentes secundarias para enriquecer y orientar el estudio. Se entiende por fuente secundaria todo documento que, habiéndose producido con anterioridad a la investigación actual, contiene datos que pueden ser explotados en un contexto distinto al existente en su producción. En esta fase de documentación y recopilación de datos se han revisado diversas fuentes, cuya relevancia se basa en la metodología empleada, el contenido, las conclusiones o los objetivos perseguidos: • Estadísticas oficiales: Estudios y estadísticas que elaboran diferentes agencias oficiales (Ministerio de Sanidad y Política Social, INE, Agencias estadísticas de las Comunidades Autónomas, etc.) • Autoridades estatales y autonómicas responsables en materia de protección de datos. • Universidades, fundaciones, asociaciones y entidades privadas relacionadas con la protección de datos o que realizan estudios sobre la materia, tanto nacionales como extranjeras. En el Anexo I: Bibliografía se incluye una relación de las publicaciones consideradas en la realización del informe. Diseño metodológico 3.1 Búsqueda y análisis documental 24 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 3 ÍNDICE 3.2 Investigación cuantitativa Siguiendo las pautas facilitadas por INTECO y la Agencia de Protección de Datos de la Comunidad de Madrid, la empresa Telecyl realizó, durante el mes de marzo de 2010, un sondeo de opinión que consistió en la realización de 700 encuestas a los responsables de la seguridad de la protección de datos de carácter personal en cada el centro sanitario. En los siguientes apartados se profundiza en los detalles correspondientes a esta fase. 3.2.1 Universo las Consejerías de Sanidad de las Comunidades Autónomas, el Ministerio de Defensa, los órganos competentes de las Ciudades Autónomas de Ceuta y Melilla y los propios Hospitales. El ámbito temporal son los centros de atención primaria y hospitales en funcionamiento a 31 de diciembre de 2009, con independencia de que a esa fecha estuviesen provisionalmente cerrados por realización de obras de reforma o ampliación de los mismos. Los datos han sido extraídos del Ministerio de Sanidad y Política Social, que ofrece dos catálogos: • Un catálogo de Hospitales fruto de la colaboración entre el Ministerio de Sanidad y Política Social y • Un catálogo de Centros de Atención Primaria del Sistema Nacional de Salud 2009 que engloba a los Centros de salud y Consultorios locales que es fruto de la colaboración entre el Ministerio de Sanidad y Política Social y los órganos competentes de las Comunidades Autónomas que han colaborado en la validación y/o rectificación de los datos presentados. En la Tabla 1 se muestra el número total de Hospitales, Centros de salud y Consultorios locales en España. Tabla 1: Tipos y volumen de los Centros Sanitarios españoles Tipo de Centro Hospitales Centros de salud Número 803 2.929 Consultorios locales 10.201 Total 13.933 Fuente: Ministerio de Sanidad y Política Social Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Diseño metodológico El universo objeto de estudio son los centros sanitarios del Servicio Sanitario de Salud (SNS) existentes en todo el territorio nacional. 25 3 ÍNDICE La distribución geográfica de los centros sanitarios del SNS es la siguiente: Tabla 2: Tipos y volumen de centros de atención primaria por CCAA Comunidad Hospitales Centros de salud Consultorios locales 1 ANDALUCÍA 107 2 ASTURIAS (PRINCIPADO DE) 3 ARAGÓN 4 BALEARES (ISLAS) 5 CANARIAS 6 CANTABRIA 9 36 122 7 CASTILLA Y LEÓN 40 247 3.675 8 CASTILLA-LA MANCHA 32 199 1.141 9 CATALUÑA 210 395 807 10 COMUNIDAD VALENCIANA 62 259 588 11 EXTREMADURA 19 104 417 12 GALICIA 42 393 93 13 MADRID (COMUNIDAD DE) 81 257 152 14 MURCIA (REGIÓN DE) 26 77 190 15 NAVARRA (COMUNIDAD FORAL) DE) 13 56 245 16 PAÍS VASCO 44 137 184 17 LA RIOJA 5 19 174 18 CEUTA y MELILLA (INGESA) 3 7 0 803 2.929 10.201 TOTALES 383 1.116 20 71 140 29 124 913 23 56 103 38 109 141 Fuente: Ministerio de Sanidad y Política Social Diseño metodológico Id 26 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 3 ÍNDICE 3.2.2 Distribución y error muestral Se ha extraído una muestra representativa de 700 centros sanitarios en los que se han realizado encuestas a los responsables de protección de datos / seguridad, administradores o gerentes. La selección de los Centros Sanitarios ha sido aleatoria. El margen de error es del ± 3,68% para p=q=0,5 y para un nivel de confianza del 95,5%. La muestra definitiva aplicada en la investigación fue la siguiente: Tabla 3: Distribución de la muestra y error muestral Tipo de centro Muestra Error muestral Hospitales 190 ±6,34% Centros de salud 246 ±6,10% Consolutorios locales 264 ±6,07% TOTAL 700 ±3,68% En la elaboración del diseño metodológico se ha tenido en cuenta la siguiente premisa: una muestra suficiente para garantizar la extracción de conclusiones a nivel nacional. Para enriquecer el análisis de resultados, aun a riesgo de obtener un mayor error muestral, se ha segmentado la muestra por zonas geográficas de todo el territorio nacional, dividiendo las regiones españolas en 7 áreas diferentes (en este caso, el error es, en cualquier caso, inferior a ±10%): • Área 1 (Noreste): Huesca, Zaragoza e Islas Baleares. • Área 2 (Levante): Albacete, Comunidad Valenciana y Murcia. • Área 3 (Andalucía): Comunidad Andaluza, Badajoz e Islas Canarias • Área 4 (Centro): Teruel, Ciudad Real, Cuenca, Guadalajara, Toledo, Ávila, Salamanca, Segovia, Soria, Valladolid, Zamora y Cáceres. • Área 5 (Noroeste): Cantabria, Burgos, León, Palencia, Comunidad Gallega, La Rioja, Navarra, País Vasco y Principado de Asturias. • Área 6 (Cataluña) • Área 7 (Comunidad de Madrid) Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Diseño metodológico Fuente: INTECO 27 3 ÍNDICE En el análisis estadístico de los datos también se ofrecen datos segmentados por dependencia funcional de los centros, distinguiendo entre centro público y centro privado. A pesar de la consistencia de la muestra, el margen de error existente en todo proceso de investigación cuantitativa aconseja que los resultados sean interpretados de manera global y más como tendencias que como afirmaciones absolutas. 3.2.3 Realización de las entrevistas El sujeto de opinión es el responsable de protección de datos / seguridad, administrador o gerente del hospital, centro de salud o consultorio local. El trabajo de campo ha sido realizado en marzo de 2010. La recogida de información se ha realizado a través de encuesta telefónica asistida por ordenador (CATI), apoyada por una encuesta online así como vía fax / correo electrónico encaminada a fomentar y facilitar la participación de los responsables seleccionados a participar en el estudio. Diseño metodológico La recogida de información se ha realizado sobre un cuestionario estructurado elaborado conjuntamente por INTECO y la Agencia de Protección de Datos de la Comunidad de Madrid, con una duración estimada de 20 minutos para cada sujeto de opinión. 28 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE 4 Normativa sobre protección de datos que aplica al sector sanitario Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 4 ÍNDICE 4.1 Normativa europea. Traspuesta a los respectivos ordenamientos jurídicos de los Estados miembros, contiene el marco jurídico a nivel europeo sobre el derecho fundamental a la protección de datos personales. Regula los principios básicos de la protección de datos personales, los derechos de las personas (acceso, cancelación, oposición y rectificación), la obligación de establecer medidas de seguridad de carácter técnico y organizativo, así como las funciones de las Autoridades de Control. En la actualidad, se han iniciado los trabajos y debates para revisar y actualizar esta Directiva a la realidad de hoy en día, puesto que hay dificultades de aplicar la normativa de protección de datos cuando el responsable del fichero no se encuentra en la Unión Europea, o también en el caso de Internet, sobre todo, respecto al tratamiento de datos personales por parte de las redes sociales. Otra de las cuestiones que se plantean, es introducir en la futura modificación de la Directiva el concepto “Privacidad por diseño” (Privacy by design). 4.2 Normativa estatal. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) Supone la transposición de la Directiva 1995/46/CE, de 24 de octubre, al ordenamiento jurídico español, de manera que regula, como no podría ser de otra forma, los principios y derechos mencionados anteriormente. Contiene además preceptos específicos sobre los ficheros de solvencia y crédito patrimonial y marketing, así como el acceso y el uso de los datos personales por parte de las Fuerzas y Cuerpos de Seguridad del Estado. Destaca lo referente al régimen sancionador por las multas que pueden imponerse a las empresas privadas, ya que las mismas van desde los 600 euros hasta los 300.000 euros, dependiendo de si el tipo de infracción cometida es leve, grave o muy grave. Otra de las cuestiones de relevancia es la regulación sobre las transferencias internacionales así como la posible adopción, como buenas prácticas, de los Códigos Tipos. En materia de salud, de acuerdo al artículo 7 de la LOPD, los datos de salud son considerados datos especialmente protegidos, de manera que sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. Además, el artículo 8 regula específicamente los datos de salud, disponiendo que, sin perjuicio de lo establecido en el artículo 11 (cesiones de datos personales), las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos Directiva 1995/46/CE, de 24 de octubre, del Parlamento y del Consejo, sobre Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos 30 4 ÍNDICE Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre Entre las novedades, destaca la regulación del consentimiento para el tratamiento de los menores de edad, las medidas de seguridad para los ficheros manuales, y la posibilidad de que el encargado del tratamiento subcontrate. Respecto a los datos de salud, define éstos como las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. Asimismo, los ficheros de datos de carácter personal, tanto informatizados como manuales, que almacenen datos de salud deberán adoptar las medidas de seguridad de nivel alto. 4.3 Normativa sectorial Ley 14/1986, de 25 de Abril, General de Sanidad Aprobada con anterioridad a la primera Ley Orgánica de Protección de Datos (LORTAD 1992), reconoce el derecho de todos los pacientes a que las Administraciones Públicas sani- tarias garanticen la confidencialidad de la información relacionada con su proceso y con su estancia en instituciones sanitarias públicas y privadas que colaboren con el sistema público. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica Varios son los aspectos que regula esta ley con incidencia en el derecho fundamental a la protección de datos personales. Así, a imagen y semejanza de la anteriormente citada ley 14/1986, de 25 de abril, General de Sanidad, el artículo 7 regula el derecho a la intimidad, debiendo todos los centros sanitarios, tanto públicos como privados, adoptar las medidas necesarias para garantizar el respeto y cumplimiento de este derecho. Una de las novedades de esta ley es la regulación del contenido mínimo de la historia clínica, teniendo cada paciente el derecho a acceder a dicho contenido obteniendo copia de toda la documentación obrante en su respectiva historia clínica. No obstante, este acceso tiene una serie de excepciones: no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos Como su nombre indica, es la norma que desarrolla la LOPD. En consecuencia, contiene una regulación más detallada de muchas de las cuestiones a las que ya se refiere la LOPD. Entre ellas, podemos destacar cómo se ejercitan los derechos de acceso, cancelación, oposición y rectificación, cuestiones relacionadas con el consentimiento y el cumplimiento del derecho de información, o el procedimiento para la creación, modificación y supresión de los ficheros de datos de carácter general. 31 4 ÍNDICE ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas. sanitario no les facilita copia de la historia clínica, o bien cuando la documentación que se les ha dado no coincide con la totalidad de la obrante en la citada historia clínica. Asimismo, en la actualidad las diferentes Agencias de Protección de Datos (tanto nacional como autonómicas) están tutelando el acceso a la historia clínica de los pacientes, cuando éstos ejercitan dicho acceso y el centro Otros aspectos importantes que regula esta Ley son los referentes a la definición, uso y conservación de la historia clínica, el derecho a la información asistencial y el derecho a la información epidemiológica. Dos son los aspectos más relevantes regulados por esta ley desde la óptica de protección de datos. En primer lugar, con una incidencia tecnológica, la creación del sistema de información sanitaria del Sistema Nacional de Salud que garantice la disponibilidad de la información y la comunicación recíprocas entre las Administraciones sanitarias. Esto supone una cesión de datos entre las citadas Administraciones, que según esta ley, estará sujeta a la legislación en materia de protección de datos de carácter personal y a las condiciones acordadas en el Consejo Interterritorial del Sistema Nacional de Salud. Igualmente, y con el fin de que los ciudadanos reciban la mejor atención sanitaria posible en cualquier centro o servicio del Sistema Nacional de Salud, el Ministerio de Sanidad y Consumo coordinará los mecanismos de intercambio electrónico de información clínica y de salud individual, previamente acordados con las comunidades autónomas, para permitir tanto al interesado como a los profesionales que participan en la asistencia sanitaria el acceso a la historia clínica en los términos estrictamente necesarios para garantizar la calidad de dicha asistencia y la confidencialidad e integridad de la información, cualquiera que fuese la Administración que la proporcione. En segundo lugar, esta ley regula la tarjeta sanitaria individual que permite el acceso de los ciudadanos a las prestaciones de la atención sanitaria que proporciona el Sistema Nacional de Salud. Esta tarjeta incluye, de manera normalizada, los datos básicos de identificación del titular de la tarjeta, del derecho que le asiste en relación con la prestación farmacéutica y del servicio de salud o entidad responsable de la asistencia sanitaria. Los dispositivos que las tarjetas incorporan para almacenar la información básica y las aplicaciones que la traten deberán permitir que la lectura y comprobación de los datos sea técnicamente posible en todo el territorio del Estado y para todas las Administraciones públicas. Ley 14/2007, de 3 de julio, de investigación biomédica Sin lugar a dudas, uno de los temas que genera más debate en los círculos de expertos de protección de datos es la utilización de los datos de salud para fines de investigación. Esta ley garantiza, con carácter general, la protección de la intimidad personal y el tratamiento confidencial de los datos personales que resulten de la actividad de investigación biomédica, conforme a lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud 32 4 ÍNDICE Siguiendo esta línea garantista del derecho fundamental a la protección de datos personales, se prohíbe la utilización de datos relativos a la salud de las personas con fines distintos a aquéllos para los que se prestó el consentimiento. Además, deberá garantizarse la trazabilidad de las células, tejidos y cualquier material biológico de origen humano, para asegurar las normas de calidad y seguridad, respetando el deber de confidencialidad y lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Por otra parte, también destaca el deber de confidencialidad y el plazo de conservación de los datos. Así, respecto al primero, el personal que acceda a los datos genéticos en el ejercicio de sus funciones quedará sujeto al deber de secreto de forma permanente. Sólo con el consentimiento expreso y escrito de la persona de quien proceden se podrán revelar a terceros datos genéticos de carácter personal. Si no es posible publicar los resultados de una investigación sin identificar a los sujetos fuente, tales resultados sólo podrán ser publicados con su consentimiento. En el caso de análisis genéticos a varios miembros de una familia los resultados se archivarán y comunicarán a cada uno de ellos de forma individualizada. En el caso de personas incapacitadas o menores se informará a sus tutores o representantes legales. Respecto a la conservación de los datos, los datos genéticos de carácter personal se conservarán durante un período mínimo de cinco años desde la fecha en que fueron obtenidos, transcurrido el cual el interesado podrá solicitar su cancelación. Si no mediase solicitud del interesado, los datos se conservarán durante el plazo que sea necesario para preservar la salud de la persona de quien proceden o de terceros relacionados con ella. Fuera de estos supuestos, los datos únicamente podrán conservarse, con fines de investigación, de forma anonimizada, sin que sea posible la identificación del sujeto fuente. Ley 29/2006, de 26 de julio, de garantías y uso racional de los medicamentos y productos sanitarios Según lo regulado por esta ley, las recetas médicas y órdenes hospitalarias de dispensación deben contener los datos básicos de identificación de prescriptor, paciente y medicamentos. El Gobierno determinará con carácter básico los requisitos mínimos que han de cumplir las recetas médicas extendidas y/o editadas en soporte informático con el fin de asegurar la accesibilidad de todos los ciudadanos, en condiciones de igualdad efectiva en el conjunto del territorio español, a la prestación farmacéutica del Sistema Nacional de Salud. No será nece- sario el consentimiento del interesado para el tratamiento y la cesión de datos que sean consecuencia de la implantación de sistemas de información basados en receta médica en soporte papel o electrónico, de conformidad con lo dispuesto en los artículos 7, apartados 3 y 6; 8; y 11, apartado 2.a), de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Las citadas actuaciones deberán tener por finalidad facilitar la asistencia médica y farmacéutica al paciente y permitir el control de la prestación farmacéutica del Sistema Nacional de Salud. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos Datos de Carácter Personal. Las mismas garantías son de aplicación a las muestras biológicas que sean fuente de información de carácter personal. Además, la realización de una investigación sobre una persona requerirá el consentimiento expreso, específico y escrito de aquélla, o de su representante legal, de acuerdo con los principios generales enunciados en el artículo 4 de esta Ley. Este consentimiento para realizar análisis genéticos también deberá ser expreso y escrito. 33 4 ÍNDICE También destaca lo relativo a las garantías de trazabilidad, de manera que la recogida y tratamiento de datos a que se refiere este artículo deberá adecuarse a la normativa vigente en materia de seguridad y protección de datos de carácter personal, en cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Per- sonal, teniendo la consideración de responsables de sus respectivos ficheros de titularidad pública la Administración General del Estado, las Administraciones sanitarias competentes de las Comunidades Autónomas y, en su caso, las Administraciones corporativas correspondientes. En materia de principios generales, esta ley establece que la relación entre los profesionales sanitarios y de las personas atendidas por ellos se rige, entre otros, por los siguientes principios: • Los profesionales tienen el deber de respetar la personalidad, dignidad e intimidad de las personas a su cuidado y deben respetar la participación de los mismos en las tomas de decisiones que les afecten. En todo caso, deben ofrecer una información suficiente y adecuada para que aquéllos puedan ejercer su derecho al consentimiento sobre dichas decisiones. • Los profesionales y los responsables de los centros sanitarios facilitarán a sus pacientes el ejercicio del derecho a conocer el nombre, la titulación y la especialidad de los profesionales sanitarios que les atienden, así como a conocer la categoría y función de éstos, si así estuvieran definidas en su centro o institución. • Los pacientes tienen derecho a recibir información de acuerdo con lo establecido en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica. Para garantizar de forma efectiva y facilitar el ejercicio de los derechos citados anteriormente, los colegios profesionales, consejos autonómicos y consejos generales, en sus respectivos ámbitos territoriales, establecerán los registros públicos de profesionales que, de acuerdo con los requerimientos de esta ley, serán accesibles a la población y estarán a disposición de las Administraciones sanitarias. Los indicados registros, respetando los principios de confidencialidad de los datos personales contenidos en la normativa de aplicación, deberán permitir conocer el nombre, titulación, especialidad, lugar de ejercicio y los otros datos que en esta ley se determinan como públicos. Asimismo, podrán existir en los centros sanitarios y en las entidades de seguros que operan en el ramo de la enfermedad, otros registros de profesionales de carácter complementario a los anteriores, que sirvan a los fines indicados en el apartado anterior, conforme a lo previsto en los artículos 8.4 y 43 de esa ley. Los criterios generales y requisitos mínimos de estos registros serán establecidos por las Administraciones sanitarias dentro de los principios generales que determine el Consejo Interterritorial del Sistema Nacional de Salud, que podrá acordar la integración de los mismos al del Sistema de Información Sanitaria del Sistema Nacional de Salud. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias 34 4 ÍNDICE 4.4 Normativa autonómica. Instrucción 1/2009, de 17 de diciembre, de la Agencia de Protección de Datos de la Comunidad de Madrid sobre el tratamiento de datos personales de los recién nacidos en centros asistenciales que integran la red sanitaria única de utilización pública de la Comunidad de Madrid En este sentido, la recogida de las huellas dactilares constituye el sistema que permite una identificación inequívoca de ambos, así como para establecer la correspondencia entre el recién nacido y su madre biológica. Tal y como establece la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la Adolescencia en la Comunidad de Madrid, deberán utilizarse para la toma de los datos los métodos más avanzados y precisos disponibles, evitando que los posibles defectos en la toma de las huellas hagan que el Documento de Identificación carezca de utilidad. Dada la finalidad para la que se recogen los datos, éstos no podrán ser objeto de cancelación, al seguir siendo necesarios y pertinentes durante toda la vida del recién nacido y de la madre. Si los datos recogidos en el Documento de Identificación Sanitaria Materno-Filial fueran conservados dentro de la historia clínica, éstos no podrán ser objeto de expurgo ni cancelación, aun transcurridos los plazos de conservación para la historia clínica que se establecen en la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica. Instrucción 2/2009, de 21 de diciembre, de la Agencia de Protección de Datos de la Comunidad de Madrid sobre el tratamiento de datos personales en la emisión de justificantes médicos Incide en la necesidad de que no se faciliten a los departamentos de personal más datos de aquellos que realmente son necesarios para justificar una ausencia al trabajo, evitando que se pueda conocer el diagnóstico o causa concreta de la enfermedad del trabajador, tal como ya recoge la normativa que regula la emisión de los partes de baja. En este sentido, un aspecto concreto regulado en esta Instrucción es la diferenciación de los supuestos en que el solicitante del justificante es el propio trabajador enfermo o cualquier persona que tenga con él una relación familiar o de hecho, requiriéndose en este último caso el consentimiento inequívoco del enfermo o usuario del centro sanitario. Si bien no es necesario presentar el parte de baja en los casos de ausencia al trabajo por enfermedad común o accidente no laboral, el trabajador tiene que justificar la ausencia al trabajo, por lo que los centros sanitarios deben facilitar al paciente un documento que acredite el servicio prestado. Además, deben diseñarse procedimientos específicos para este tratamiento de datos, evitando utilizar documentos creados para la gestión asistencial, como son la propia hoja de citación, como justificante, dado que en esta se hace mención al posible problema de salud que pueda existir o a la prueba diagnóstica a la que haya sido sometido el paciente. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos La finalidad principal de esta Instrucción es mejorar los procedimientos de toma de huellas, tanto del recién nacido como de la madre, permitiendo realizar una identificación y vinculación inequívoca de ambos, evitando confusiones y problemas de intercambio de bebés en los centros asistenciales. La incorrecta identificación de los recién nacidos deja sin sentido la existencia de una tarjeta de identificación sanitaria, así como impide su correcta inscripción en el Registro Civil. 35 4 ÍNDICE 4.5 Normativa de Administración Electrónica Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos Asimismo, también se menciona entre los principios generales de la citada ley el respeto al derecho a la protección de datos de carácter personal en los términos establecidos por la Ley Orgánica 15/1999, de Protección de los Datos de Carácter Personal, en las demás leyes específicas que regulan el tratamiento de la información y en sus normas de desarrollo, así como a los derechos al honor y a la intimidad personal y familiar. Por otra parte, en las transmisiones de datos entre Administraciones Públicas, cada Administración deberá facilitar el acceso de las restantes Administraciones Públicas a los da- tos relativos a los interesados que obren en su poder y se encuentren en soporte electrónico, especificando las condiciones, protocolos y criterios funcionales o técnicos necesarios para acceder a dichos datos con las máximas garantías de seguridad, integridad y disponibilidad, de conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo. La disponibilidad de tales datos estará limitada estrictamente a aquellos que son requeridos a los ciudadanos por las restantes Administraciones para la tramitación y resolución de los procedimientos y actuaciones de su competencia de acuerdo con la normativa reguladora de los mismos. El acceso a los datos de carácter personal estará, además, condicionado al cumplimiento de las condiciones establecidas en el artículo 6.2.b) de la citada ley. Por último, la ley también regula lo referente a los registros electrónicos, expedientes administrativos electrónicos y la tramitación de los procedimientos administrativos electrónicamente. Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos Destaca el desarrollo del artículo 6.2.b) de la Ley 11/2007, de 22 de junio, de manera que cuando los ciudadanos ejerzan el derecho a no aportar datos y documentos que obren en poder de las Administraciones Públicas se seguirán una serie de reglas. Entre ellas, cabe mencionar las siguientes: a. Los interesados serán informados expresamente de que el ejercicio del derecho implica su consentimiento, en los términos establecidos por el artículo 6.2b) de la Ley 11/2007, de 22 de junio, para que el órgano y organismo ante el que se ejercita pueda recabar los datos o documentos respecto de los que se ejercita el derecho de los órganos u organismos en que los mismos se encuentren. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos Configura el régimen jurídico de la Administración Electrónica. En relación a la protección de datos de carácter personal, establece como finalidad de la propia ley crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos. 36 4 ÍNDICE c. En cualquier momento, los interesados podrán aportar los datos, documentos o certificados necesarios, así como revocar su consentimiento para el acceso a datos de carácter personal. d. Cuando el órgano administrativo encargado de la tramitación del procedimiento no tenga acceso a los datos, documentos o certificados necesarios, los pedirá al órgano administrativo correspondiente. Si se tratara de un órgano administrativo incluido en el ámbito de aplicación del artículo 1.2.a), deberá ceder por medios electrónicos los datos, documentos y certificados que sean necesarios en el plazo máximo que establezca la normativa específica, que no podrá exceder de diez días. Dicho plazo máximo será igualmente aplicable si no está fijado en la normativa específica. Sobre este Real Decreto cabe mencionar también la regulación del contenido y servicios de la sede electrónica, que en el caso de la Administración General del Estado contendrá información relacionada con la protección de datos de carácter personal, incluyendo un enlace con la sede electrónica de la Agencia Española de Protección de Datos, a asociación de metadatos a los documentos electrónicos aportados por los ciudadanos o emitidos por la Administración General del Estado o sus organismos públicos que será, en todo caso, realizada por el órgano u organismo actuante, en la forma que en cada caso se determine, y la destrucción de documentos en soporte no electrónico, los documentos originales y las copias auténticas en papel o cualquier otro soporte no electrónico admitido por la ley como prueba, de los que se hayan generado copias electrónicas auténticas, en los términos y condiciones que se determinen en las correspondientes Resoluciones y cumpliendo con lo establecido en el citado Real Decreto. Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica Su articulación se ha realizado atendiendo a la normativa nacional sobre acceso electrónico de los ciudadanos a los servicios públicos, protección de datos de carácter personal, firma electrónica y documento nacional de identidad electrónico, accesibilidad, uso de lenguas oficiales, reutilización de la información en el sector público y órganos colegiados responsables de la administración electrónica. De conformidad con este Real Decreto, las Administraciones públicas establecerán y publicarán las condiciones de acceso y utilización de los servicios, datos y documentos en formato electrónico que pongan a disposición del resto de Administraciones especificando las finalidades, las modalidades de consumo, consulta o interacción, los requisitos que deben satisfacer los posibles usuarios de los mismos, los perfiles de los participantes implicados en la utilización de los servicios, los protocolos y criterios funcionales o técnicos necesarios para acceder a dichos servicios, los necesarios mecanismos de gobierno de los sistemas interoperables, así como las condiciones de seguridad aplicables. Estas condiciones deberán en todo caso resultar conformes a los principios, derechos y obligaciones contenidos en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos b. El derecho se ejercitará de forma específica e individualizada para cada procedimiento concreto, sin que el ejercicio del derecho ante un órgano u organismo implique un consentimiento general referido a todos los procedimientos que aquél tramite en relación con el interesado. 37 4 ÍNDICE y su normativa de desarrollo, así como a lo dispuesto en el Esquema Nacional de Seguridad, y los instrumentos jurídicos que deberán suscribir las Administraciones públicas requeridoras de dichos servicios, datos y documentos. quisitos mínimos de seguridad mediante la aplicación de las medidas de seguridad adecuadas a los medios y soportes en los que se almacenen los documentos, de acuerdo con la categorización de los sistemas. Asimismo, y de conformidad con su artículo 22, para asegurar la conservación de los documentos electrónicos se aplicará lo previsto en el Esquema Nacional de Seguridad en cuanto al cumplimento de los principios básicos y de los re- Cuando los citados documentos electrónicos contengan datos de carácter personal les será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo. Su texto ha tenido en cuenta la normativa nacional sobre Administración electrónica, protección de datos de carácter personal, firma electrónica y documento nacional de identidad electrónico, Centro Criptológico Nacional, sociedad de la información, reutilización de la información en el sector público y órganos colegiados responsables de la Administración Electrónica; así como la regulación de diferentes instrumentos y servicios de la Administración, las directrices y guías de la OCDE y disposiciones nacionales e internacionales sobre normalización. Este Real Decreto será aplicado por las Administraciones Públicas para asegurar el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias. En este sentido, el análisis y gestión de riesgos será parte esencial del proceso de seguridad y deberá mantenerse permanentemente actualizado. La gestión de riesgos permitirá el mantenimiento de un entorno controlado, minimizando los riesgos hasta niveles aceptables. La reducción de estos niveles se realizará mediante el despliegue de medidas de seguridad, que establecerá un equilibrio entre la naturaleza de los datos y los tratamientos, los riesgos a los que estén expuestos y las medidas de seguridad. Con la finalidad exclusiva de lograr el cumplimiento del objeto de este Real Decreto, con plenas garantías del derecho al honor, a la intimidad personal y familiar y a la propia imagen de los afectados, y de acuerdo con la normativa sobre protección de datos personales, de función pública o laboral, y demás disposiciones que resulten de aplicación, se registrarán las actividades de los usuarios, reteniendo la información necesaria para monitorizar, analizar, investigar y documentar actividades indebidas o no autorizadas, permitiendo identificar en cada momento a la persona que actúa. Por otra parte, para dar cumplimiento a los requisitos mínimos regulados en esta norma, las Administraciones públicas aplicarán las medidas de seguridad indicadas en su Anexo II, teniendo en cuenta: a) Los activos que constituyen el sistema. b) La categoría del sistema, según lo previsto en el artículo 43. c) Las decisiones que se adopten para gestionar los riesgos identificados. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Normativa sobre protección de datos Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica 38 4 ÍNDICE Los medidas tendrán la condición de mínimos exigibles, y podrán ser ampliados por causa de la concurrencia indicada o del prudente arbitrio del responsable de la información, habida cuenta del estado de la tecnología, la naturaleza de los servicios prestados y la información manejada, y los riesgos a que están expuestos. Normativa sobre protección de datos Cuando un sistema al que afecte esta norma maneje datos de carácter personal le será de aplicación lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, y normativa de desarrollo, sin perjuicio de los requisitos establecidos en el Esquema Nacional de Seguridad. 39 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Análisis de los resultados del estudio Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 5 ÍNDICE 5.1 Aspectos generales de la normativa sobre protección de datos 5.1.1 Problemática e implicaciones La Constitución española, especialmente a partir de la interpretación instituida por la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, ha establecido un derecho fundamental a la protección de datos personales, que puede ser definido como el derecho que tiene toda persona a controlar su información personal, lo que le faculta para decidir quién tiene sus datos y para qué los va a utilizar. Las leyes atribuyen a los ciudadanos un conjunto de garantías para que ejerzan un control efectivo sobre su información personal, estableciendo un conjunto de obligaciones que todos los empleados públicos deben conocer y cumplir. No se trata de limitar la utilización de la informática en el ámbito público sino de hacerla compatible con los derechos de los ciudadanos, sin que esto signifique renunciar al progreso que el uso de los sistemas de información y la comunicación traen consigo. Del ámbito general de aplicación que establece la LOPD debe destacarse lo siguiente: por una parte, su aplicación a los datos registrados en cualquier soporte físico susceptible de tratamiento; por otra, su aplicación tanto al sector público como al privado. Por lo que se refiere al primero, la ley debe entenderse aplicable no sólo a datos almacenados en soportes electrónicos o informáticos, sino también a los recogidos en papel, siempre y cuando la información se encuentre estructurada de acuerdo con criterios relativos a personas identificadas o identificables. Resultados / Aspectos generales Las Administraciones Públicas recurren cada vez más a las nuevas tecnologías para el desarrollo de su actividad. La utilización de los nuevos sistemas de información y de comunicación para relacionarse con los ciudadanos y para mejorar el funcionamiento interno de la Administración es muy positivo puesto que contribuye a una mejora de la propia legitimidad social de la Administración Pública. Al mismo tiempo, el desarrollo de una Administración electrónica y la consiguiente acumulación por parte de los poderes públicos de datos personales de los ciudadanos puede suponer una amenaza al derecho a la intimidad y a otros derechos constitucionales. 41 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.1.2 Diagnóstico: situación en el sector sanitario español Soporte de los ficheros que contienen datos personales El análisis se inicia con el examen de los soportes donde se encuentran los ficheros con datos personales. Los archivos pueden encontrarse en soporte electrónico (ficheros de carácter automatizado), en papel (ficheros de carácter no automatizado) o mixto, cuando se combinan ambos formatos. A la luz de los resultados que ofrece el Gráfico 1, la realidad del sector sanitario español es que prevalecen los ficheros de carácter mixto, tanto si en ellos predomina el soporte papel sobre el electrónico (42,4%) como si, por el contrario, hay más electrónico que papel (35,5%). Un 16,6% de los centros afirma que se encuentran exclusivamente en soporte electrónico. Son una minoría los centros que admiten que sus ficheros se encuentran exclusivamente en formato no automatizado (5,5%). Resultados / Aspectos generales Gráfico 1: Soporte de los ficheros con datos personales (%) Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 42 5 ÍNDICE Esta preferencia por el soporte electrónico de los centros de salud contrasta por la predilección por el papel de los consultorios locales: un 7,2% de este tipo de instituciones admite tener sus ficheros exclusivamente en papel (el porcentaje de hospitales y centros de salud que mantienen sus archivos únicamente en papel es mínimo, inferior en ambos casos al 2%) y un 44% responde que, aunque dispone de papel y electrónico, predomina el primero entre sus ficheros con datos de carácter personal. Es necesario considerar, a la hora del análisis de los datos expuestos, la existencia de sistemas automatizados de tratamiento centralizados en muchos supuestos, que alcanzan a los Hospitales y Centros de Salud, mientras que en los consultorios, en muchos casos, no ha sido posible la implantación de esos sistemas. Gráfico 2: Soporte de los ficheros con datos personales, segmentación por tipo de centro (%) Resultados / Aspectos generales El Gráfico 2 profundiza en las diferencias existentes entre hospitales, centros de salud y consultorios locales a la hora de almacenar sus ficheros con datos de carácter personal en uno u otro soporte. Los centros de salud muestran una tendencia a almacenar datos en soporte principalmente electrónico: un 21,9% de los centros de salud dice que sus ficheros se encuentran exclusivamente en este tipo de formato, y un 39,3% adicional reconoce que, si bien mantiene archivos automatizados y no automatizados, predominan los primeros sobre los segundos. 43 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Donde no se aprecian diferencias notables es en el análisis segmentado por dependencia patrimonial del centro. Sólo es destacable, quizás, una mayor presencia de los ficheros en soporte exclusivamente electrónico entre centros públicos que entre sus homólogos privados (16,9% frente a 8,6%). Sin embargo, de este dato no se puede concluir que el formato electrónico sea más popular en el sector público que en el privado ya que, al considerar conjuntamente el porcentaje de centros que trabajan con papel (exclusiva o mayoritariamente) y el de aquéllos que trabajan con soporte electrónico, la proporción está equilibrada. Así, un 52% de los centros públicos prefieren el soporte electrónico, ya sea de forma exclusiva o compartida, y en el caso de los centros privados el porcentaje es de 53,8%. Fuente: INTECO Resultados / Aspectos generales Gráfico 3: Soporte de los ficheros con datos personales, segmentación por dependencia patrimonial (%) 44 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Declaración de ficheros ante la Agencia de Protección de Datos Una obligación básica en materia de protección de datos es la de inscribir los ficheros con datos de carácter personal ante el Registro General de Protección de Datos. Una mayoría de los centros encuestados admiten haber declarado sus ficheros con datos de carácter personal ante la autoridad competente en materia de protección de datos, ya sea la Agencia Española (15,6%) o autonómica (38,5%). (Las agencias de protección de datos autonómicas –madrileña, vasca y catalana- tienen competencia sobre ficheros de titularidad pública.) Sólo un 8,6% reconoce no tener inscritos sus ficheros, y sorprende el elevado 37,3% que no proporciona respuesta. Fuente: INTECO Resultados / Aspectos generales Gráfico 4: Declaración de ficheros en la Agencia de Protección de Datos (%) 45 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En cualquier caso, si se considera de manera global el porcentaje de los que declaran sus ficheros (ya sea ante la autoridad estatal o autonómica) frente a los que no lo hacen (o no responden), se confirma la mayor implicación de los hospitales: 84,6%, frente a 54,4% en el caso de los centros de salud y 50,5% entre los consultorios locales. Nuevamente debemos considerar la situación de la implantación de sistemas centralizados en los centros de atención primaria (centros de salud), siendo responsabilidad de órganos administrativos jerárquicamente superiores (gerencias) la responsabilidad de inscripción de dichos tratamientos de datos personales en los Registros de Ficheros correspondientes (estatal o autonómico, según la titularidad del centro). Resultados / Aspectos generales La obligación de declarar los ficheros ante la Agencia de Protección de Datos es asumida en mucha mayor medida por los hospitales que por los centros de salud y consultorios locales (Gráfico 5). Así, el 47,1% de los hospitales ha notificado la existencia de ficheros ante el Registro General de Protección de Datos en la Agencia Estatal (en el caso de los centros de salud, el porcentaje es de 14,6% y si se analizan los consultorios locales, el dato es de un 12,4%). Cuando el análisis se centra en la inscripción ante las autoridades autonómicas, el nivel de cumplimiento entre los tres tipos de centros es similar: 37,5% en el caso de hospitales frente a un 39,8% en los centros de salud y un 38,1% cuando se trata de consultorios locales. Gráfico 5: Declaración de ficheros en la Agencia de Protección de Datos, segmentación por tipo de centro (%) 46 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El nivel de inscripción de ficheros presenta diferencias entre zonas geográficas. La mayor tasa de cumplimiento se encuentra entre los centros catalanes, donde un 65,6% de los encuestados afirma haber registrado sus ficheros con datos personales (ya sea a nivel estatal o autonómico). Por detrás de Cataluña, la franja Norte – Noroeste muestra un 63,3% de registro, la zona Sur un 55,1% y Levante un 54,1%. En la comunidad de Madrid, el porcentaje de centros que reconoce tener sus ficheros declarados es de 45,6%. Estas diferencias deben matizarse dependiendo del grado de implantación de sistemas centralizados de tratamiento de los datos personales en cada Área geográfica, así como por el diferente criterio interpretativo del nivel de detalle de la inscripción de cada tratamiento de datos. Resultados / Aspectos generales Gráfico 6: Declaración de ficheros en la Agencia de Protección de Datos, segmentación geográfica (suma de Sí, en la Agencia Estatal y Sí, en la Agencia autonómica) (%) 47 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Inventariado de ficheros El 73,5% de los centros sanitarios participantes en el estudio afirman tener inventariados los ficheros con datos de carácter personal, frente a un 14,1% que reconocen no tenerlos inventariados, y un 12,4% adicional, que no se posiciona (Gráfico 7). Fuente: INTECO Resultados / Aspectos generales Gráfico 7: Centros Sanitarios con ficheros inventariados (%) 48 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En el análisis por tipo de centro, se aprecia una mayor tasa de cumplimiento entre los hospitales (88,9%) que entre centros de salud (80,4%) y, sobre todo, consultorios locales (69,4%). Fuente: INTECO Resultados / Aspectos generales Gráfico 8: Centros sanitarios con ficheros inventariados, segmentación por tipo de centro (%) 49 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE También se aprecian diferencias en función de la dependencia patrimonial del centro: los centros privados tienen inventariados los ficheros en mayor medida que los públicos (87,9% frente a 72,9%). Fuente: INTECO Resultados / Aspectos generales Gráfico 9: Centros sanitarios con ficheros inventariados, segmentación por dependencia patrimonial (%) 50 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Desde un punto de vista geográfico, el mapa refleja las diferencias existentes entre las diferentes áreas (Gráfico 10). Destaca en positivo el dato de Madrid (donde un 81,7% de los centros participantes en el estudio afirman disponer de sus ficheros inventariados) y Cataluña (también en este caso el nivel de cumplimiento se sitúa en un 81,7%). La franja norte del país, que aglutina provincias pertenecientes a diferentes comunidades autónomas, también presenta un elevado porcentaje de centros que mantienen inventariados sus archivos 82,6%. Fuente: INTECO Resultados / Aspectos generales Gráfico 10: Centros sanitarios con ficheros inventariados, segmentación geográfica (%) 51 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Formación sobre protección de datos del personal de atención al público Se analiza a continuación en qué medida el personal de atención al público del centro dispone de formación específica en protección de datos. A partir de los datos del estudio, el nivel de formación entre los centros sanitarios españoles es correcto (Gráfico 11). Ya sea un conocimiento general (64,9%) o profundo (26,7%), lo cierto es que la inmensa mayoría del personal de atención al público de los centros sanitarios españoles dispone de formación en materia de protección de datos. Sólo un 6,7% de los encuestados afirman que los empleados de atención al público del centro sanitario en el que trabajan no tienen ningún conocimiento específico en el tema, y un 2,7% adicional no se manifiesta al respecto. Fuente: INTECO Resultados / Aspectos generales Gráfico 11: Formación sobre protección de datos del personal de atención al público (%) 52 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El adecuado nivel formativo es una tendencia que se repite en hospitales, centros de salud y consultorios locales. Así, un 97,2%, 95,5% y 88,2%, respectivamente, admiten que el personal de atención al público presenta un conocimiento (ya sea general o profundo) sobre protección de datos. Fuente: INTECO Resultados / Aspectos generales Gráfico 12: Formación sobre protección de datos del personal de atención al público, segmentación por tipo de centro (%) 53 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En el análisis por dependencia patrimonial del centro no se aprecian particularidades relevantes. En los centros de titularidad pública, un 65,2% del personal de atención al público tiene un conocimiento general sobre la normativa de protección de datos, y un 25,2% dispone de una formación profunda en la materia; en las instituciones de titularidad privada son un 57,8% quienes muestran un nivel de conocimiento general y un 37,7% los que tienen una formación exhaustiva. Fuente: INTECO Resultados / Aspectos generales Gráfico 13: Formación sobre protección de datos del personal de atención al público, segmentación por dependencia patrimonial (%) 54 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Siendo elevado el conocimiento sobre protección de datos en los centros sanitarios de todo el territorio español, el Gráfico 14 sugiere una mayor sensibilidad en Cataluña (96,9%), seguida de la zona Sur (94,4%), Levante (94%) y la Comunidad de Madrid (93,5%). Fuente: INTECO Resultados / Aspectos generales Gráfico 14: Formación sobre protección de datos del personal de atención al público, segmentación geográfica (suma de Conoce de forma general los derechos de las personas cuyos datos se recaban y Dispone de un conocimiento profundo de la normativa sobre protección de datos) (%) 55 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de la figura de coordinador o responsable de protección de datos El hecho de que el centro sanitario cuente con un profesional que asuma de manera expresa el papel de coordinador o responsable de protección de datos es un indicio de la sensibilidad de la institución hacia la normativa. En términos generales (Gráfico 15), se encuentra bastante equilibrada la proporción de los centros sanitarios encuestados que reconocen disponer de coordinador de protección de datos (52,2%) y aquéllos que afirman no contar en plantilla con un responsable de estas características (42,7%). Un 5,1% adicional no se manifiesta al respecto. Fuente: INTECO Resultados / Aspectos generales Gráfico 15: Existencia de la figura de coordinador o responsable de protección de datos (%) 56 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Sin embargo, si se profundiza en las particularidades de los tres tipos de centro analizados, se obtienen diferencias interesantes (Gráfico 16). Parece que los hospitales, con un 80,7% de ellos que afirman tener un responsable de protección de datos, muestran un mayor compromiso con la protección de datos que los centros de salud (58,4%) y los consultorios locales (47%). Fuente: INTECO Resultados / Aspectos generales Gráfico 16: Existencia de la figura de coordinador o responsable de protección de datos, segmentación por tipo de centro (%) 57 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los centros privados podrían mostrar una mayor implicación en protección de datos, dado que el 85,6% de ellos dispone de un coordinador de protección de datos (frente a un 50,8% en el caso de las instituciones de titularidad pública). Fuente: INTECO Resultados / Aspectos generales Gráfico 17: Existencia de la figura de coordinador o responsable de protección de datos, segmentación por dependencia patrimonial (%) 58 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Por áreas geográficas, los centros catalanes presentan, también en este caso, un porcentaje de disponibilidad de coordinador de protección de datos superior al resto de zonas: 67,7%. Por detrás de Cataluña, los centros del área de Levante (65,8%) y la Comunidad de Madrid (59,5%) cuentan con la figura de responsable de protección de datos. Fuente: INTECO Resultados / Aspectos generales Gráfico 18: Existencia de la figura de coordinador o responsable de protección de datos, segmentación geográfica (%) 59 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.2 Derecho de información (art. 5 LOPD) Cuando se lleva a cabo la recogida de datos personales de un afectado o interesado (ciudadano), el responsable del fichero debe informarle de lo siguiente: tas, entrevistas, transmisión electrónica de datos, registros públicos, directorios electrónicos, currículos, páginas Web o teléfono. 1) Que sus datos van a ser almacenados en un fichero, la finalidad para la que se recogen y los destinatarios de la información. En todo caso, el deber de información deberá llevarse a cabo a través de un medio que permita acreditar su cumplimiento, debiendo conservarse prueba del mismo mientras persista el tratamiento de datos del afectado. Así, el responsable del fichero deberá conservar el soporte en el que conste el cumplimiento del deber de informar. Para el almacenamiento de los soportes, el responsable del fichero podrá utilizar medios informáticos o telemáticos. En particular, podrá proceder al escaneado de la documentación en soporte papel, siempre y cuando se garantice que en dicha automatización no ha mediado alteración alguna de los soportes originales. 2) Si es obligatoria o no su respuesta a las distintas preguntas que se le planteen. 3) Las consecuencias de la obtención de los datos o de su negativa a suministrarlos. 4) La posibilidad de ejercitar sus derechos de acceso, rectificación, cancelación y oposición. 5) La identidad y dirección del responsable del fichero. Esta comunicación se podrá facilitar al afectado o interesado (ciudadano) por cualquier medio que permita asegurar que ha recibido la información que contempla este principio: de palabra, por escrito en el propio formulario, impreso o encuesta en la que se recojan sus datos, o en documento aparte, mediante carteles o anuncios situados en el lugar donde vayan a recabarse los datos que completen aquella información que no se facilite de palabra o en el impreso en que se recaben los datos, etc. No es admisible una información genérica que no permita saber quién es el responsable del fichero y para qué se están recabando los datos. Por otra parte, cuando los datos de carácter personal no hayan sido recabados del interesado, éste deberá ser informado de forma expresa, precisa e inequívoca, por el responsable del fichero o su representante, dentro de los tres meses siguientes al momento del registro de los datos, salvo que ya hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de lo previsto en las letras a), d) y e). El supuesto más claro en que se debe cumplir con este deber de información es cuando se produce una cesión de datos personales. La obligación de informar de la cesión, y en consecuencia obtención de los datos, recae sobre el cesionario. Se debe cumplir con este Principio de información cualquiera que sea el procedimiento de recogida de datos. Estos procedimientos pueden ser de diversos tipos: formularios, encues- Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Resultados / Derecho de información 5.2.1 Problemática e implicaciones 60 5 ÍNDICE 5.2.2 Diagnóstico: situación en el sector sanitario español Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes Se analiza a continuación el nivel de cumplimiento del deber de información que afecta a los responsables de ficheros. Se trata de la inclusión de una cláusula informativa en los impresos de recogida de datos de los pacientes. Tal y como muestra el Gráfico 19, el nivel de cumplimiento no es absoluto: a nivel global, un 47,9% de los centros encuestados reconocen incorporar una cláusula informativa en los formularios de pacientes, frente a un 45,4% que no lo hacen. Fuente: INTECO Resultados / Derecho de información Gráfico 19: Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes (%) 61 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El análisis segmentado revela un escenario diferente para cada uno de los tres tipos de centros analizados. Los hospitales, con un 87,3% de cumplimiento, admiten cumplir con el deber de información al incluir en los formularios de recogida de datos personales una cláusula específica sobre protección de datos. La situación de los hospitales difiere de la realidad existente en centros de salud y consultorios locales. En estos centros, con un 50,9% y 42,5% respectivamente de nivel de adopción de la medida, todavía queda área de mejora (Gráfico 20). Fuente: INTECO Resultados / Derecho de información Gráfico 20: Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes, segmentación por tipo de centro (%) 62 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los centros privados incorporan cláusulas informativas en los impresos de recogida de datos de los pacientes en mucha mayor medida que los públicos: 89,5% frente a 46%. Fuente: INTECO Resultados / Derecho de información Gráfico 21: Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes, segmentación por dependencia patrimonial (%) 63 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La realidad nacional se configura a partir de situaciones diferentes en las siete áreas geográficas analizadas, tal y como sugiere el Gráfico 22. La Comunidad de Madrid y Cataluña son, con un 69,6% y 68,1% respectivamente, donde en mayor medida se cumple con la incorporación de cláusulas informativas en los impresos de recogida de datos de los pacientes. También la zona Sur, con un 59,2% de cumplimiento, presenta un nivel de adopción importante. Fuente: INTECO Resultados / Derecho de información Gráfico 22: Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes, segmentación geográfica (%) 64 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Información de sistema de videovigilancia El responsable de la cámara deberá informar de modo expreso, preciso e inequívoco respecto a la instalación de la videocámara, la zona grabada y el Responsable del Fichero. Por ello, es necesario colocar en un lugar visible de la zona videovigilada un distintivo informativo. En cualquier caso, la instalación de videocámaras deberá ser notificada ante la Agencia de Protección de Datos de forma que sea inscrito un nuevo fichero con el contenido de las imágenes. Este requisito se excluye en el caso de que sólo se reproduzcan imágenes en tiempo real, y no se proceda a la grabación o almacenamiento de las imágenes. En España, la realidad a nivel global sugiere que existe un mayoritario 78,7% de centros que admiten no tener un sistema de videovigilancia y un 0,9% que no es capaz de dar una respuesta. El resto de los encuestados se reparten entre un 17,1% que utilizan videovigilancia e informan de ello en un cartel informativo o similar, y un 3,3% que, teniendo sistema de videovigilancia, no informa acerca de la recogida de imágenes. Gráfico 23: Modo de información sobre el sistema de videovigilancia (%) Resultados / Derecho de información Se considera videovigilancia toda aquella actividad que suponga la colocación de una cámara de grabación, fija o móvil, que tenga la finalidad de vigilancia de un espacio o de personas. No es infrecuente que instituciones de sectores diversos, tanto de carácter público como privado, incorporen sistemas de videovigilancia como fórmula para procurar una mayor seguridad. Los centros sanitarios no escapan a esta situación, y por este motivo, en tanto en cuanto la imagen constituye un dato de carácter personal sujeto por tanto a la normativa, es oportuno realizar un análisis del fenómeno. 65 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La videovigilancia en el sector sanitario español está mucho más extendida entre los hospitales (sólo un 33,7% de ellos admite no utilizarla) que entre los centros de salud y consultorios locales (un 77,4% y un 84,2%, respectivamente, reconoce no disponer de sistema de videovigilancia). Entre los centros que sí tienen videovigilancia, ya se trate de hospitales, centros de salud o consultorios locales, es mayoritario el cumplimiento de la obligación de informar del sistema a través de un cartel informativo o similar. Fuente: INTECO Resultados / Derecho de información Gráfico 24: Modo de información sobre el sistema de videovigilancia, segmentación por tipo de centro (%) 66 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El análisis de la videovigilancia en función de la dependencia patrimonial del centro sugiere, una vez más, diferencias entre centros públicos y privados (Gráfico 25). Los sistemas de videovigilancia están más extendidos en las instituciones de titularidad privada (un minoritario 40,3% de ellas dice no tenerlo, frente a un 80,4% en el caso de los centros de carácter público). En cualquier caso, entre los centros que disponen de sistemas de videovigilancia y con independencia de su carácter público o privado, es frecuente la información de los mismos al público a través de carteles o similares. Fuente: INTECO Resultados / Derecho de información Gráfico 25: Modo de información sobre el sistema de videovigilancia, segmentación por dependencia patrimonial (%) 67 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de carteles informativos Para dar cumplimiento al deber de información, una parte de los centros sanitarios dispone de carteles informativos sobre los tratamientos de datos personales que se realizan con los datos que se recaban de los pacientes. Se trata, en cualquier caso, de una práctica no adoptada de manera habitual. Sólo un 27,7% de los centros entrevistados reconoce tener este tipo de carteles, frente a un mayoritario 70,7% que afirma no utilizar este método. Fuente: INTECO Resultados / Derecho de información Gráfico 26: Existencia de carteles informativos (%) 68 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El dato global admite matizaciones cuando se profundiza en el análisis por tipo de centro. Así, hospitales, centros de salud y consultorios locales muestran comportamientos diferentes en lo que se refiere a la disponibilidad de carteles informativos sobre protección de datos. En el caso de los hospitales, un mayoritario 70,5% reconoce disponer de ellos. En los consultorios locales la tendencia es la opuesta: sólo un 18,4% de este tipo de centros basa la información sobre protección de datos personales (o, al menos, parte de ella) en un sistema de cartelería, frente a un abrumador 80,6% que admite no utilizarlos. En un punto medio se encuentran los centros de salud: el 40,9% dispone de carteles y el 55,9% no. Fuente: INTECO Resultados / Derecho de información Gráfico 27: Existencia de carteles informativos, segmentación por tipo de centro (%) 69 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El análisis del carácter público o privado de la institución también arroja diferencias reveladoras. Son los centros privados los que, en mayor medida y de manera mayoritaria, reconocen disponer de carteles informativos (81,4%). La proporción, en el caso de los centros públicos, es de un 25,3%. Fuente: INTECO Resultados / Derecho de información Gráfico 28: Existencia de carteles informativos, segmentación por dependencia patrimonial (%) 70 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La práctica de disponer de carteles informativos en el centro no es homogénea en toda la geografía española. Los centros madrileños son los más habituados a utilizar carteles para informar sobre los tratamientos de datos personales que se levan a cabo en la institución (53,5%). También los catalanes (44,3%) y los centros situados en la zona Sur del país (35,3%) han adoptado esta medida de manera considerable. La franja Norte – Noroeste presenta la tendencia contraria, con sólo un 18,9% de centros que reconocen emplear carteles informativos. Fuente: INTECO Resultados / Derecho de información Gráfico 29: Existencia de carteles informativos, segmentación geográfica (%) 71 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.3 Consentimiento (art. 6 al 8 LOPD) Con carácter general, la LOPD exige la prestación del consentimiento previo e inequívoco del afectado para el tratamiento de sus datos, recayendo sobre el responsable del fichero la obligación de obtener el consentimiento del interesado. La solicitud de dicho consentimiento debe ir referida a un tratamiento o serie de tratamientos concretos, con delimitación de la finalidad para la que se recaba, así como de las restantes condiciones que concurran en el tratamiento. El afectado o interesado (ciudadano) debe prestar su consentimiento de manera libre, inequívoca, específica e informada, pudiendo manifestar el consentimiento de forma expresa o tácita. En ningún caso podrá entenderse prestado de forma presunta. Además, corresponderá al responsable del fichero la prueba de la existencia del consentimiento del afectado. No obstante lo anterior, la LOPD recoge una serie de supuestos en los que no es necesario prestar el consentimiento: a. Cuando una ley así lo dispone. Obsérvese que se hace referencia a una norma con rango de Ley, no bastando cualquier otro tipo de norma. Estamos ante un claro supuesto de reserva legal. b. Cuando los datos son recogidos para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias. c. Cuando se refieren a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y los datos personales son necesarios para el mantenimiento y cumplimiento de ésta. d. Cuando el tratamiento resulte necesario para la prevención o el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. Esta excepción también se aplicará cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento. e. Cuando los datos figuren en fuentes accesibles al público. En este punto, conviene recordar que dichas fuentes están enumeradas de forma limitativa en la LOPD. En todo caso, la excepción del consentimiento no exime de la obligación de informar en los términos expuestos en el punto anterior, relativo al Principio de información, ni permite el tratamiento de cualquier dato, sino únicamente de aquéllos que cumplan con el Principio de calidad (datos adecuados, pertinentes y no excesivos). En todo caso, el interesado o afectado (ciudadano) puede revocar su consentimiento cuando exista causa justificada para ello. En este sentido, el Real Decreto 1720/2007, de 21 de diciembre, exige que la revocación pueda producirse a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Resultados / Consentimiento 5.3.1 Problemática e implicaciones 72 5 ÍNDICE Sin embargo, existe una excepción en virtud de la cual no será necesario el consentimiento expreso y por escrito para el tratamiento de los datos especialmente protegidos: cuando se trate de ficheros mantenidos por partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros. No obstante, también en estos casos será necesario el consentimiento previo del afectado en caso de que se vayan a ceder este tipo de datos. Mención aparte merecen los datos de salud que, como ya se ha indicado anteriormente se encuentran dentro de la categoría de datos especialmente protegidos, y sólo podrán ser recabados, tratados y cedidos cuando por razones de interés general así lo disponga una ley o el afectado consienta expresamente. Se define este tipo de datos como las informaciones concernientes a la salud pasada, presente y futura, física y mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. No obstante lo anterior, la propia LOPD establece una excepción en la que no es necesario el consentimiento expreso y por escrito del afectado para el tratamiento de datos que hagan referencia al origen racial, a la salud o a la vida sexual. Esta excepción tiene lugar cuando el tratamiento de los datos especialmente protegidos resulte necesario para la prevención o el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta a una obligación equivalente de secreto. Esta misma excepción concurrirá cuando el tratamiento de los datos especialmente protegidos sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar tal consentimiento. Esta circunstancia deriva de la lógica prevalencia del derecho a la vida sobre el derecho a la protección de datos. Resultados / Consentimiento Los datos especialmente protegidos son aquéllos que revelan la ideología, afiliación sindical, religión y creencias de una persona física, y que sólo con el consentimiento expreso y por escrito del afectado pueden ser objeto de tratamiento. Son también datos especialmente protegidos los que hacen referencia al origen racial, a la salud y a la vida sexual, que sólo podrán ser recabados cuando, por razones de interés general, así lo disponga una ley o el afectado lo consienta expresamente. 73 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.3.2 Diagnóstico: situación en el sector sanitario español Solicitud de consentimiento En aquellos supuestos en que es necesario el consentimiento del interesado, a nivel global, el 52,8% de los centros encuestados afirma que siempre solicita el consentimiento de los titulares con anterioridad a la recogida de sus datos de carácter personal, y un 13,2% adicional dice hacerlo a menudo (Gráfico 30). En el otro extremo, un 19,2% reconoce que nunca solicita el consentimiento de los titulares, y un 12,1% dice que casi nunca lo hace. Fuente: INTECO Resultados / Consentimiento Gráfico 30: Solicitud de consentimiento (%) 74 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Una vez más, los hospitales muestran una mayor conformidad con la normativa de protección de datos, al registrar niveles de cumplimiento de la obligación de solicitud de consentimiento previo considerablemente superiores a los mostrados por centros sanitarios de menor envergadura (centros de salud y consultorios locales). Los resultados aparecen en el Gráfico 31. Así, un 78,5% de los hospitales siempre solicita el consentimiento de los titulares de los datos antes de su recogida. Este porcentaje es del 52,1% en el caso de los centros de salud y de 50,2% entre los consultorios locales. Fuente: INTECO Resultados / Consentimiento Gráfico 31: Solicitud de consentimiento, segmentación por tipo de centro (%) 75 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los centros de titularidad privada muestran un mayor cuidado a la hora de solicitar el consentimiento: un 83,3% dice hacerlo siempre, y un 13,1% lo hace a menudo; en el caso de los centros públicos, los porcentajes son de 51,5% y 12,4%. Además, entre los centros privados no hay ninguno que admita nunca solicitar el consentimiento del titular de los datos, mientras que en el caso de los públicos, un 20% así lo reconoce. Fuente: INTECO Resultados / Consentimiento Gráfico 32: Solicitud de consentimiento, segmentación por dependencia patrimonial (%) 76 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Considerando de manera conjunta los centros que reconocen solicitar el consentimiento siempre y a menudo, los resultados dibujan un mapa del país con realidades heterogéneas. Cataluña (76,8%), el área de Levante (72,9%) y la Comunidad de Madrid (71,8%) son, por este orden, las zonas más sensibles a la solicitud de consentimiento. Fuente: INTECO Resultados / Consentimiento Gráfico 33: Solicitud de consentimiento, segmentación geográfica (suma de Siempre y A menudo) (%) 77 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de procedimiento para la revocación del consentimiento Al analizar la problemática intrínseca al deber de solicitud de consentimiento del titular de los datos (apartado 5.3.1), se mencionaba expresamente que el interesado puede revocar su consentimiento cuando exista causa justificada para ello, y que la revocación debe producirse a través de un medio sencillo, gratuito y que no implique ingreso alguno para el responsable del fichero o tratamiento. En el sector sanitario español, tal y como queda reflejado en el Gráfico 34, un mayoritario 69,3% de los centros entrevistados afirman que disponen de un procedimiento específico para que el paciente titular de los datos pueda revocar el consentimiento otorgado. Sólo un 20,5% reconoce no disponer de un procedimiento de revocación, y un 10,1% adicional no se posiciona al respecto. Fuente: INTECO Resultados / Consentimiento Gráfico 34: Existencia de procedimiento para la revocación del consentimiento (%) 78 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La existencia de procedimientos de revocación del consentimiento está extendida en los tres tipos de centros analizados, siendo más frecuentes en el ámbito hospitalario (78,6%) que en los centros de salud (74,8%) y consultorios locales (66,4%). Fuente: INTECO Resultados / Consentimiento Gráfico 35: Existencia de procedimiento para la revocación del consentimiento, segmentación por tipo de centro (%) 79 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Entre los centros de carácter privado, la práctica de procedimentar la revocación del consentimiento es llevada a cabo por un 76,6% de instituciones; entre los públicos el porcentaje es ligeramente inferior aunque en cualquier caso mayoritario: 69%. Fuente: INTECO Resultados / Consentimiento Gráfico 36: Existencia de procedimiento para la revocación del consentimiento, segmentación por dependencia patrimonial (%) 80 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Haciendo referencia a los datos presentados en el Gráfico 41, al analizar la existencia de procedimientos para regular la solicitud del consentimiento en casos de investigaciones clínicas, Cataluña y el área Norte – Noroeste son las zonas donde se aprecia un nivel más elevado. De manera coherente, vuelven a ser estas dos zonas las que en mayor medida han adoptado procedimientos para la revocación del consentimiento: un 78% de los centros catalanes y un 76,1% de los situados en la amplia franja Norte – Noroeste lo han hecho. Por detrás de ellos, la comunidad de Madrid también muestra un nivel de cumplimiento elevado, con un 72,6% de los encuestados que manifiestan disponer de procedimiento específico para revocar el consentimiento otorgado por el titular (Gráfico 37). Fuente: INTECO Resultados / Consentimiento Gráfico 37: Existencia de procedimiento para la revocación del consentimiento, segmentación geográfica (%) 81 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de procedimiento para la solicitud de consentimiento en casos de investigaciones clínicas En el ámbito sanitario, es frecuente que los datos clínicos de los pacientes se utilicen en alguna labor de investigación. Se analiza a continuación la existencia de procedimientos reglados y específicos para solicitar el consentimiento del titular de los datos en estos casos, en los que los datos de salud van a ser empleados en una investigación. El uso de los datos recogidos en la historia clínica en tareas no estrictamente asistenciales, como son las de investigación, requiere la obtención previa del consentimiento del interesado y, atendiendo a la naturaleza de datos especialmente protegidos que tiene la información referente a la salud, este consentimiento deberá tener la categoría de expreso y recabarse por algún medio que deje constancia y permita probar la obtención del mismo. El Gráfico 38 sugiere que la mayoría de los centros sanitarios españoles (un 74,6%) han elaborado un procedimiento específico que regula la solicitud del consentimiento del paciente en los casos particulares de investigaciones clínicas. Resultados / Consentimiento Gráfico 38: Existencia de procedimiento para la solicitud de consentimiento en casos de investigaciones clínicas (%) 82 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El elevado nivel de adopción de esta práctica se repite en los tres centros analizados, sin que se aprecien diferencias relevantes entre hospitales (75,9%), centros de salud (81,5%) y consultorios locales (72,1%). Fuente: INTECO Resultados / Consentimiento Gráfico 39: Existencia de procedimiento para la solicitud de consentimiento en casos de investigaciones clínicas, segmentación por tipo de centro (%) 83 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Tampoco se aprecian diferencias de comportamiento entre centros de titularidad pública (74,6%) y privada (75,2%). Fuente: INTECO Resultados / Consentimiento Gráfico 40: Existencia de procedimiento para la solicitud de consentimiento en casos de investigaciones clínicas, segmentación por dependencia patrimonial (%) 84 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El análisis geográfico sí desvela particularidades en las diferentes áreas analizadas (Gráfico 41). Cataluña es, una vez más, la zona donde en mayor medida se han adoptado procedimientos específicos de solicitud de consentimiento cuando los datos son destinados a una investigación clínica: un 86% de los centros participantes en el estudio así lo declara. Por detrás de Cataluña, las heterogéneas zona Norte – Noroeste (79,4%) y zona Centro (78,6%) también presentan niveles de adopción muy elevados. Fuente: INTECO Resultados / Consentimiento Gráfico 41: Existencia de procedimiento para la solicitud de consentimiento en casos de investigaciones clínicas, segmentación geográfica (%) 85 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones Como medida complementaria a la necesidad de obtención de un consentimiento específico del interesado para el tratamiento de sus datos con esta finalidad concreta, es recomendable que los centros sanitarios establezcan algún tipo de control que discrimine aquellos accesos a la historia clínica en función del uso que se pretenda dar a los datos accedidos. En este punto, resulta oportuno realizar un examen sobre los controles existentes en la recogida de datos de la Historia Clínica (HC) cuando éstos van a ser utilizados para labores de investigación. Un 60,8% de los centros sanitarios participantes en la encuesta reconocen que siempre llevan a cabo un control específico, y un 9,1% adicional admite hacerlo a menudo. Sólo un 5,3% dicen no realizarlo casi nunca, y un 14,6%, nunca. Por último, un 10,3% de los centros no se posiciona al respecto. Resultados / Consentimiento Gráfico 42: Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones (%) Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 86 5 ÍNDICE En este caso, son los centros de salud (con un 66% de casos en que siempre realizan controles y un 10,8% en que lo hacen a menudo) los centros que presentan un mayor índice de adopción de la medida, por encima de hospitales y consultorios. Fuente: INTECO Resultados / Consentimiento Gráfico 43: Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones, segmentación por tipo de centro (%) 87 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los centros públicos adoptan este tipo de controles en mayor medida que las instituciones de carácter privado: 61,1% frente a 53,3%. Fuente: INTECO Resultados / Consentimiento Gráfico 44: Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones, segmentación por dependencia patrimonial (%) 88 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En el desglose por áreas geográficas, nuevamente Cataluña se muestra como la comunidad autónoma con mayor nivel de adopción (77,4%) de controles específicos en la recogida de datos de la HC en caso de investigación clínica (Gráfico 45). Fuente: INTECO Resultados / Consentimiento Gráfico 45: Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones, segmentación geográfica (suma de Siempre y A menudo) (%) 89 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de herramientas o procedimientos de anonimización de datos Los datos disociados (aquellos en los que se ha eliminado cualquier dato que permita identificar al titular de los mismos), a diferencia de los datos de carácter personal, no permiten la identificación del sujeto a quien se refieren. En el ámbito sanitario, la importancia de este tipo de datos radica en su posible utilidad a efectos estadísticos (por ejemplo, para medir la prevalencia de dolencias, puede ser suficiente con conocer el género y edad del paciente, sin ser necesario ningún dato personal adicional). Por ello, es oportuno examinar si los sistemas de información de los centros sanitarios españoles disponen de alguna herramienta o procedimiento que permita obtener datos anonimizados previamente. En el Gráfico 46 se muestran los datos a nivel global: un 47,2% de los centros entrevistados dispone de herramientas o procedimientos de anonimización de los datos, frente a un 42,1% que reconoce no tenerlos. Un 10,7% no se posiciona al respecto. Resultados / Consentimiento Gráfico 46: Existencia de herramientas o procedimientos de anonimización de datos (%) Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 90 5 ÍNDICE En el análisis por tipo de centro, una vez más son los hospitales (54,8%) quienes cuentan con herramientas para anonimizar datos en mayor medida que centros de salud (51,9%) y consultorios (44,7%). Fuente: INTECO Resultados / Consentimiento Gráfico 47: Existencia de herramientas o procedimientos de anonimización de datos, segmentación por tipo de centro (%) 91 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE No existen diferencias entre centros públicos y privados, tal y como sugiere el Gráfico 48. Fuente: INTECO Resultados / Consentimiento Gráfico 48: Existencia de herramientas o procedimientos de anonimización de datos, segmentación por dependencia patrimonial (%) 92 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Tampoco a nivel geográfico se aprecian patrones de comportamiento marcadamente diferentes entre las diferentes áreas que conforman la realidad española, tal y como se aprecia en el Gráfico 49. Es cierto que las zonas de Levante (50,3%) y Cataluña (49,7%) presentan niveles de adopción de herramientas de anonimización de datos superiores a resto de la geografía nacional, pero en este caso las diferencias no son muy acusadas. Fuente: INTECO Resultados / Consentimiento Gráfico 49: Existencia de herramientas o procedimientos de anonimización de datos, segmentación geográfica (%) 93 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.4 Calidad (art. 4 LOPD) 5.4.1 Problemática e implicaciones En este sentido, y como manifestación de este principio, podemos distinguir lo siguiente: a. Recogida de datos adecuados, pertinentes y no excesivos. Sólo se podrán solicitar aquellos datos que sean estrictamente necesarios para la finalidad para la cual se recogen. b. Finalidad. Los datos personales recabados sólo podrán utilizarse para el fin que motivó su recogida, no pudiendo utilizarse para una finalidad incompatible. c. Exactitud, veracidad y rectificación de oficio. La LOPD exige que los datos de carácter personal sean exactos y estén puestos al día de forma que respondan con veracidad a la situación del afectado o interesado. Si los datos fueron recogidos directamente del afectado o interesado se considerarán exactos los facilitados por éste. d. Derecho de acceso. La LOPD establece que los datos de carácter personal deben almacenarse de forma que permitan el ejercicio del derecho de acceso de los afectados o interesados. No es posible alegar como causa para denegar el derecho de acceso la imposibilidad de realización de mismo como consecuencia del modo en que los datos están almacenados. e. Cancelación de datos innecesarios. Otra manifestación del Principio de Calidad de Datos regulado en el Artículo 4 de la LOPD es la cancelación de los datos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. f. Prohibición de recogida fraudulenta de datos. El último requisito que establece el Artículo 4 de la LOPD respecto al Principio de calidad de los datos es la prohibición de la recogida de datos personales por medios fraudulentos, desleales e ilícitos, tipificando como infracción muy grave la recogida en dichos términos. Resultados / Calidad Este principio, regulado en el artículo 4 de la LOPD, introduce un criterio de racionalidad y proporcionalidad en el tratamiento de los datos personales. 94 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.4.2 Diagnóstico: situación en el sistema sanitario español Recogida de datos estrictamente necesarios para la finalidad de uso Un principio derivado de la calidad de los datos es el llamado principio de finalidad, descrito en el apartado b del epígrafe anterior (5.4.1). Por ello, se analiza a continuación el nivel de cumplimiento de este principio por parte del sector sanitario español, preguntando a los encuestados si los datos que se solicitan al paciente son los estrictamente necesarios para la finalidad que motivó su recogida. Parece que el principio de calidad y su derivado, el de finalidad, son ampliamente observados por los centros sanitarios españoles. Un 89,3% de los encuestados indican que los datos recogidos son los estrictamente necesarios para la finalidad de uso que justificó su recogida, frente a un 7,9% que manifiesta lo contrario. Resultados / Calidad Gráfico 50: Recogida de datos estrictamente necesarios para la finalidad de uso (%) 95 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE No se aprecian diferencias significativas entre los tipos de centro (Gráfico 51) ni entre el carácter patrimonial de los mismos (Gráfico 52). La recogida de datos se ciñe estrictamente a la finalidad de uso prevista en hospitales, centros de salud y consultorios locales, y con independencia de que se trate de instituciones públicas o privadas. Fuente: INTECO Resultados / Calidad Gráfico 51: Recogida de datos estrictamente necesarios para la finalidad de uso, segmentación por tipo de centro (%) 96 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Fuente: INTECO Resultados / Calidad Gráfico 52: Recogida de datos estrictamente necesarios para la finalidad de uso, segmentación por dependencia patrimonial (%) 97 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En el análisis por zonas recogido en el mapa del Gráfico 53 destaca especialmente la Comunidad de Madrid. Allí, un 95,1% de los centros sanitarios encuestados cumplen con el principio de finalidad, al admitir que recogen sólo los datos que son estrictamente necesarios para su finalidad de uso. Fuente: INTECO Resultados / Calidad Gráfico 53: Recogida de datos estrictamente necesarios para la finalidad de uso, segmentación geográfica (%) 98 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Verificación de la corrección y actualización de los datos El apartado 3 del artículo 4 de la Ley Orgánica de Protección de Datos Personales (LOPD), recoge expresamente: Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Se analiza a continuación el nivel de verificación de la corrección y actualización de los datos por parte de las instituciones sanitarias españolas. Según los datos del Gráfico 54, los centros son cuidadosos con la actualización de los datos personales que manejan, ya sea a través de un procedimiento específico de actualización y depuración de las bases de datos (34,1%), ya sea de manera no procedimentada, actualizando los registros a medida que se detectan incorrecciones (61,3%). Sólo el 4,6% de los centros españoles afirman que no se verifica la exactitud y actualización de los datos personales con los que trabajan. Resultados / Calidad Gráfico 54: Verificación de la corrección y actualización de los datos (%) Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 99 5 ÍNDICE El nivel de adopción de medidas para verificar que los datos se encuentran actualizados es elevado tanto en hospitales como en centros de salud y consultorios. Quizás los centros de salud muestran una mayor tendencia a disponer de procedimientos específicos (43,3%) que hospitales (38,4%) y consultorios (30,5%). Fuente: INTECO Resultados / Calidad Gráfico 55: Verificación de la corrección y actualización de los datos, segmentación por tipo de centro (%) 100 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Centros públicos y privados mantienen actualizados sus datos. Sólo un 4,7% de los primeros y un 1,9% de los segundos dicen no verificar en absoluto la corrección de sus registros. Los datos sugieren que en los centros privados existen una mayor tendencia a disponer de procedimientos específicos que en los centros públicos (40,1% frente a 33,9%). Fuente: INTECO Resultados / Calidad Gráfico 56: Verificación de la corrección y actualización de los datos, segmentación por dependencia patrimonial (%) 101 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El análisis geográfico del Gráfico 57 muestra el nivel de implementación de procedimientos específicos para verificar la corrección y actualización de los datos en las siete áreas analizadas. El Sur de España (42,5%), Cataluña (42%) y la zona de Levante (39%) son las tres áreas donde está más extendida la práctica. Por detrás de ellas se encuentra la comunidad de Madrid, donde un 35,5% de los centros afirman disponer de procedimientos para asegurar la actualización de los registros personales de sus bases de datos. Fuente: INTECO Resultados / Calidad Gráfico 57: Verificación de la corrección y actualización de los datos, segmentación geográfica (Sí, existe un procedimiento específico) (%) 102 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.5 Ejercicio de derechos (Título III LOPD) 5.5.1 Problemática e implicaciones Por otra parte, a la hora de ejercitar estos derechos es importante tener en cuenta lo siguiente: • Los derechos de acceso, rectificación, cancelación y oposición son derechos independientes, de tal forma que no puede entenderse que el ejercicio de ninguno de ellos sea requisito previo para el ejercicio de otro. • El interesado contará con un medio sencillo para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. • El ejercicio por el afectado de sus derechos ARCO no podrá suponer un ingreso adicional para el responsable del tratamiento ante el que se ejercitan. • No se considerará conforme a lo dispuesto en la LOPD que el responsable del fichero establezca como medio para que el interesado pueda ejercitar sus derechos el envío de cartas certificadas o semejantes, la utilización de servicios de telecomunicaciones que implique una tarificación adicional al afectado o cualesquiera otros medios que impliquen un coste excesivo para el interesado. • Cuando el responsable del fichero disponga de servicios de cualquier índole para la atención al público o el ejercicio de reclamaciones relacionadas con el servicio prestado o los productos ofertados al mismo, deberá concederse la posibilidad al afectado de ejercer sus derechos ARCO a través de dichos servicios. En tal caso, la identidad del interesado se considerará acreditada por los medios establecidos para la identificación de los clientes del responsable en la contratación de sus servicios o productos. Estos derechos son los siguientes: • Derecho de Acceso. • Derecho de Rectificación. • Derecho de Cancelación. • Derecho de Oposición. Estos derechos (comúnmente llamados derechos ARCO) pueden ser ejercitados por: a. El afectado, acreditando su identidad. b. Su representante legal, cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos. En este caso será necesario que acredite tal condición. c. Un representante voluntario, expresamente designado para el ejercicio del derecho. En ese caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente y la representación conferida por aquél. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Resultados / Ejercicio de derechos La LOPD no sólo establece las obligaciones que debe cumplir el responsable del fichero, y en su caso, el encargado del tratamiento, sino que también reconoce una serie de derechos de carácter personal que pueden ser ejercitados por el interesado o afectado (ciudadano). 103 5 • El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectificación, cancelación u oposición ejercida por el afectado aún cuando el mismo no hubiese utilizado el procedimiento establecido específicamente al efecto por aquél, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud, y que ésta contenga los elementos referidos a continuación. • En el caso de que la solicitud no reúna los requisitos citados anteriormente, el responsable del fichero deberá solicitar la subsanación de los mismos. • Corresponderá al responsable del tratamiento cumplir con el deber de respuesta además de conservar la acreditación del cumplimiento del mencionado deber. Obligaciones del responsable del fichero cuando recibe la solicitud de ejercicio de estos derechos: • El responsable del fichero deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos. • Deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Resultados / Ejercicio de derechos ÍNDICE 104 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.5.2 Diagnóstico: situación en el sector sanitario español Procedimiento para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos (derechos ARCO) Para dar respuesta a los derechos de acceso, rectificación, cancelación y oposición a los datos de carácter personal de los pacientes (usuarios del sistema de salud), los centros deben establecer procedimientos para facilitar el ejercicio de los derechos. Gráfico 58: Procedimiento para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos (derechos ARCO) (%) Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Resultados / Ejercicio de derechos Tal y como queda recogido en el Gráfico 58, el 56,1% de los centros sanitarios españoles afirma disponer de un procedimiento específico para que los interesados ejerciten sus derechos de oposición, acceso, rectificación o cancelación de sus datos personales. Sorprende que haya un 37,6% que no ha adoptado un procedimiento en este sentido, y un 6,3% que no proporciona respuesta. 105 5 ÍNDICE En este caso, sí se aprecian diferencias importantes en función del centro de que se trate. Así, tal y como refleja el Gráfico 59, en los hospitales está ampliamente extendida la adopción de procedimientos para facilitar al ciudadano el ejercicio de sus derechos ARCO: un 83,1% de los hospitales así lo manifiesta. La práctica es más infrecuente entre centros de salud (60,3%), y aún más entre los consultorios locales, donde sólo el 51,7% confirma haber adoptado un procedimiento específico para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos. Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 59: Procedimiento para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos, segmentación por tipo de centro (%) 106 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los datos del estudio sugieren un mayor nivel de cumplimiento entre centros privados (donde un 85,4% dispone de procedimiento) que entre los públicos (54,8%). Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 60: Procedimiento para el ejercicio de los derechos ARCO, segmentación por dependencia patrimonial (%) 107 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Cataluña (75,6%) y la Comunidad de Madrid (65,8%) son las dos regiones españolas donde en mayor medida las instituciones sanitarias han adoptado procedimientos para facilitar el ejercicio de los derechos ARCO a los ciudadanos que lo soliciten. Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 61: Procedimiento para el ejercicio de los derechos ARCO, segmentación geográfica (%) 108 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Procedimiento de regulación del acceso a los datos del historial clínico (HC) por el titular La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (conocida como Ley de Autonomía del Paciente), recoge expresamente que el paciente tiene el derecho de acceso a la documentación de la historia clínica y añade que los centros sanitarios regularán el procedimiento que garantice la observancia de estos derechos. En línea con esta disposición, el 70,3% de los centros entrevistados reconocen que disponen de un procedimiento específico que regula el acceso al historial clínico por parte del titular de los datos (Gráfico 62). Existe, sin embargo, un 25,6% que no ha adoptado un procedimiento específico en este sentido, y un 4% adicional que no facilita respuesta. Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 62: Procedimiento de regulación del acceso a los datos del historial clínico por el titular (%) 109 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El nivel de observación de la disposición es más elevado entre hospitales (84,2%) que entre centros de salud (73,4%) y consultorios locales (67,8%). Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 63: Procedimiento de regulación del acceso a los datos del historial clínico por el titular, segmentación por tipo de centro (%) 110 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE También se aprecia una mayor adopción de procedimientos de acceso a la HC por parte del paciente en centros privados (83,4%) que en centros públicos (69,8%). Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 64: Procedimiento de regulación del acceso a los datos del historial clínico por el titular, segmentación por dependencia patrimonial (%) 111 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Por último, el análisis geográfico del Gráfico 65 confirma una vez más a las comunidades autónomas de Cataluña y Madrid como las áreas con mayor índice de adopción de procedimientos de acceso a la HC por el paciente, con un 81,2% y 75% de los centros, respectivamente, que afirman haberlos instaurado. Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 65: Procedimiento de regulación del acceso a los datos del historial clínico por el titular, segmentación geográfica (%) 112 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Anotaciones subjetivas de los médicos en las historias clínicas Es decir, la Ley concede al profesional sanitario la facultad de limitar el acceso a determinada información de carácter subjetivo incorporada en la historia clínica del paciente. El hecho de que la decisión al criterio exclusivo del profesional puede plantear diferentes interpretaciones, desde posturas más abiertas (información completa) hasta posturas más cautelosas (exclusivamente información objetiva). El Convenio para la protección de los Derechos Humanos y la dignidad del ser humano con respecto a las aplicaciones de la Biología y la Medicina (Consejo de Europa Oviedo, 4 de abril de 1997) insiste en el hecho de que toda persona tendrá derecho a conocer toda información obtenida respecto a su salud, y añade: De modo excepcional, la ley podrá establecer restricciones, en interés del paciente. Parece, por tanto, que es el interés del paciente, y no cualquier otra apreciación subjetiva, lo único que debería justificar la reserva del profesional sobre las anotaciones de carácter subjetivo. El Gráfico 66 analiza la frecuencia con la que, en los centros sanitarios españoles, se incluyen anotaciones subjetivas de los médicos en la copia de la historia clínica que se facilita al paciente. De su lectura se desprende que la postura adoptada más ampliamente por el sector sanitario español es cautelosa, ya que un 44,8% de los centros reconocen que nunca facilitan sus anotaciones subjetivas a las copias que facilitan a los titulares de las historias, y un 15,3% no lo hace casi nunca. Una interpretación más abierta la llevan a cabo el 27% de los encuestados que las facilitan siempre y el 6,3% que lo hace a menudo. Resultados / Ejercicio de derechos La Ley de Autonomía del Paciente, en su artículo 18, no sólo reconoce el derecho de acceso del paciente a su historia clínica, sino que le confiere, además, el derecho a obtener copia de los datos que figuran en ella. El apartado 3 de este artículo menciona expresamente que el derecho al acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio (…) del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas. 113 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 66: Anotaciones subjetivas de los médicos en las historias clínicas que entrega a los pacientes (%) 114 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Aunque igualmente cautelosos a la hora de incorporar anotaciones subjetivas en la historia clínica que facilitan a los clientes, los consultorios locales son algo más abiertos que hospitales y centros de salud (Gráfico 67). Así, frente al 35,2% de consultorios que siempre o a menudo facilitan este tipo de información a los pacientes, el porcentaje en el caso de hospitales es de 27,9% y de 29,5% cuando se refiere a centros de salud. Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 67: Anotaciones subjetivas de los médicos en las historias clínicas que entrega a los pacientes, segmentación por tipo de centro (%) 115 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La dependencia patrimonial del centro no parece tener influencia sobre la inclusión o no de anotaciones subjetivas de los profesionales en las copias de las historias clínicas que se facilitan a los pacientes. Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 68: Anotaciones subjetivas de los médicos en las historias clínicas que entrega a los pacientes, segmentación por dependencia patrimonial (%) 116 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE A nivel geográfico se aprecian diferencias notables, tal y como se aprecia en el mapa. Los centros de la zona de Levante (43,6%) son los que, en mayor medida incluyen las anotaciones subjetivas del médico en la información que se facilita el paciente. También los centros de la amplia y heterogénea zona Centro (37,1%), Sur (35%) y Cataluña (31,6%) presentan niveles considerables. En este caso, la Comunidad de Madrid, con un 20,4% de centros, es donde menos extendido está el hábito de incorporar anotaciones subjetivas del profesional en las historias clínicas que se facilitan a los pacientes. Fuente: INTECO Resultados / Ejercicio de derechos Gráfico 69: Anotaciones subjetivas de los médicos en las historias clínicas que entrega a los pacientes, segmentación geográfica (suma de Siempre y A menudo) (%) 117 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.6 Deber de secreto (art. 10 LOPD) 5.6.1 Problemática e implicaciones El deber de secreto respecto a los datos personales tratados es una obligación que corresponde al responsable del fichero, al encargado de tratamiento, si lo hubiera, y a todos aquellos que intervengan en cualquier fase del tratamiento de datos de carácter personal. Esta obligación se mantiene incluso finalizada la relación que permitió el acceso al fichero. No debe confundirse este deber de secreto con el secreto profesional al que están sometidas determinadas personas en función de la profesión que ejercen. Este deber de secreto es un deber genérico que alcanza a cualquier persona que intervenga en el tratamiento de datos. 5.6.2 Diagnóstico: situación en el sector sanitario español Es evidente que el deber de secreto sobre los datos personales que manejan es de sobra conocido por el personal de los centros sanitarios españoles (no sólo profesionales de la salud, sino el resto del personal del centro). Así, sólo un 0,4% de los encuestados afirma que los empleados de la institución no han sido informados al respecto. Lo más habitual, en un 59,7% de las ocasiones, es que los profesionales conozcan el deber de secreto o que, incluso, se les haya pedido firmar un compromiso de confidencialidad (39,9%). Gráfico 70: Conocimiento del deber de secreto sobre los datos personales (%) Resultados / Deber de secreto Conocimiento del deber de secreto por el personal de la organización 118 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La firma del compromiso de confidencialidad por parte de los profesionales es más frecuente entre hospitales (67,9%) que entre centros de salud (35,5%) y consultorios locales (38,4%), tal y como se aprecia en el Gráfico 71. Fuente: INTECO Resultados / Deber de secreto Gráfico 71: Conocimiento del deber de secreto sobre los datos personales, segmentación por tipo de centro (%) 119 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Es en los centros privados donde existe mayor cuidado con el deber de secreto: un 80,2% de las instituciones de titularidad privada exige a sus profesionales la firma de un compromiso de confidencialidad. En las de carácter público, el porcentaje es de 38,2%. Fuente: INTECO Resultados / Deber de secreto Gráfico 72: Conocimiento del deber de secreto sobre los datos personales, segmentación por dependencia patrimonial (%) 120 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.7 Seguridad (art. 9 LOPD) 5.7.1 Problemática e implicaciones Las medidas de seguridad se adoptarán tomando en consideración el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Las medidas de seguridad de los ficheros informatizados y no informatizados (manuales) están reguladas en el Real Decreto 1720/2007, de 21 de diciembre, que distingue entre medidas de seguridad de nivel básico, medio y alto. Las medidas de seguridad incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero. En este sentido, el Real Decreto 1720/2007, de 21 de diciembre, establece las medidas de seguridad de los ficheros informatizados en los siguientes artículos: • Artículos 89 a 94, regulan las de nivel básico (Documento de Seguridad; funciones y obligaciones del personal; registro de incidencias; control de acceso; gestión de soportes y documentos; identificación y autentificación; copias de respaldo y recuperación). • Artículos 95 a 100, las de nivel medio (Responsable de Seguridad; auditoría; gestión de soportes y documentos; identificación y autentificación; control de acceso físico; registro de incidencias). • Artículos 101 a 104, las de nivel alto (gestión y distribución de soportes, copias de respaldo y recuperación; registro de accesos; telecomunicaciones). Por otra parte, una de las principales novedades del Real Decreto 1720/2007, de 21 de diciembre, es que por primera vez se regulan las medidas de seguridad para los ficheros no automatizados (manuales). La primera novedad introducida por el Real Decreto 1790/2007, de 21 de diciembre, es la previsión de que las medidas de seguridad ‘genéricas’ de los ficheros automatizados resultan de aplicación a los ficheros no automatizados. Estas medidas son, entre otras, la elaboración del documento de seguridad –que suele ser un documento en formato papel, o en su caso, un documento en Word o PDF; las obligaciones respecto al encargado del tratamiento, cuyo acceso deberá estar delimitado en el documento de seguridad; y el régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento –debiendo ser autorizado este supuesto por el responsable o encargado– constando dicha autorización en el documento de seguridad. Partiendo de los tres niveles de seguridad descritos anteriormente, se enumeran las medidas de seguridad que deben ser adoptadas por el responsable del tratamiento en los ficheros no automatizados en función de dicho nivel de seguridad. Sin perjuicio de la adopción de estas medidas de seguridad, el Real Decreto 1720/2007, de 21 de diciembre, contiene, además, tres Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Resultados / Seguridad El responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales integrados en los ficheros, evitando que éstos puedan perderse, alterarse, usarse o ser accesibles a personas no autorizadas. 121 5 ÍNDICE criterios específicos para los ficheros no automatizados, que son los siguientes: los criterios referentes al archivo, con una referencia a la legislación aplicable en esta materia que será la relativa a la normativa que regula los Archivos; los referentes a los dispositivos de almacenamiento, que deberán disponer de mecanis- mos que obstaculicen su apertura; y los referentes a la custodia de soportes, en virtud de los cuales la persona encargada de la custodia, mientras la documentación en formato papel esté en proceso de revisión o tramitación, deberá vigilarla e impedir que cualquier persona no autorizada pueda acceder a ella. 5.7.2 Diagnóstico: situación en el sector sanitario español Limitación de accesos Se analiza a continuación si cada profesional accede únicamente a los datos y recursos (aplicaciones, herramientas, dispositivos o periféricos) necesarios para el desarrollo de sus funciones o si, por el contrario, el acceso no está restringido. Tal y como muestra el Gráfico 73, la práctica totalidad de los centros sanitarios españoles controlan de algún modo los accesos que los empleados realizan a los datos y recursos de la institución en cuestión. Sólo un 2,3% de los encuestados afirma que no existe ningún tipo de limitación de accesos y que los profesionales pueden acceder a datos y recursos ajenos. En el resto de los casos existe una política de accesos, y en la mayoría de las situaciones (68,9%) el centro cuenta, además, con controles para evitar accesos no autorizados. Resultados / Seguridad Gráfico 73: Limitación de accesos (%) 122 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La existencia de controles para evitar accesos no autorizados está más extendida entre los hospitales (78,3%) que entre centros de salud (71%) y consultorios locales (67,1%). Fuente: INTECO Resultados / Seguridad Gráfico 74: Limitación de accesos, segmentación por tipo de centro (%) 123 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los centros de carácter privado son más proclives a adoptar controles para evitar accesos no autorizados que las instituciones de carácter público (79,8% frente a 68,4%), tal y como se recoge en el Gráfico 75. Fuente: INTECO Resultados / Seguridad Gráfico 75: Limitación de accesos, segmentación por dependencia patrimonial (%) 124 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La realidad de adopción de políticas de accesos es heterogénea a lo largo de la geografía española. Así, en Cataluña un 82,7% de los centros sanitarios encuestados afirman disponer de una política de limitación de accesos complementada por controles para evitar los accesos no autorizados. En la Comunidad de Madrid el porcentaje es de 74,6%. Fuente: INTECO Resultados / Seguridad Gráfico 76: Limitación de accesos, segmentación geográfica (Sí, y además existen controles para evitar accesos no autorizados) (%) 125 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Procedimiento de gestión de contraseñas Una de las medidas a adoptar para garantizar la seguridad de los sistemas de información es, precisamente, la utilización de contraseñas. En entornos corporativos es frecuente el establecimiento de procedimientos de gestión de contraseñas, donde se contemplan aspectos como longitud mínima de la misma, utilización de caracteres alfanuméricos y periodicidad de cambio, por ejemplo. El entorno sanitario no escapa a esta realidad y así, de acuerdo con los datos proporcionados por los responsables de seguridad de las instituciones participantes en el estudio, y tal y como queda reflejado en el Gráfico 77, el 87,4% de los centros sanitarios españoles disponen de procedimientos específicos de gestión de las contraseñas del personal empleado. Fuente: INTECO Resultados / Seguridad Gráfico 77: Procedimiento de gestión de contraseñas (%) 126 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La existencia de un procedimiento para gestionar las contraseñas es ligeramente más frecuente en los centros de salud (93,5%) que en hospitales (90,9%) y consultorios locales (84,8%). Fuente: INTECO Resultados / Seguridad Gráfico 78: Procedimiento de gestión de contraseñas, segmentación por tipo de centro (%) 127 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Aunque las diferencias no son relevantes, parece que los centros de carácter privado adoptan procedimientos de gestión de contraseñas en mayor medida que los públicos (90,4% frente a 87,2%). Fuente: INTECO Resultados / Seguridad Gráfico 79: Procedimiento de gestión de contraseñas, segmentación por dependencia patrimonial (%) 128 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La extensión de la práctica alcanza toda la geografía española, tal y como se puede apreciar en el Gráfico 80, con niveles muy elevados de adopción de procedimientos de gestión de contraseñas en todas las áreas analizadas. Destaca especialmente la comunidad madrileña, donde se da la circunstancia que un 95,1% de los centros entrevistados admiten disponer de procedimientos específicos en la materia. También Cataluña (91,1%) y la franja Norte – Noroeste (93,2%) pueden ser consideradas zonas exitosas. Fuente: INTECO Resultados / Seguridad Gráfico 80: Procedimiento de gestión de contraseñas, segmentación geográfica (%) 129 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE) Por otra parte, el artículo 16 de la Ley de Autonomía del Paciente regula los usos de la historia clínica, estableciendo que los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia. Determina, asimismo, que cada centro establecerá los métodos que posibiliten en todo momento el acceso a la historia clínica de cada paciente por los profesionales que le asisten. Se trata, por tanto, de compatibilizar, de un lado el derecho a la intimidad del paciente y, de otro, el principio de disponibilidad de la historia clínica. Dicho de otro modo, la historia clínica debe estar disponible para el profesional que trata al paciente, pero no debe estarlo para el resto de los profesionales. La situación en el sistema sanitario español, a partir de los datos obtenidos del estudio, parece dibujar una primacía del principio de disponibilidad de la HC sobre el derecho a la intimidad del paciente. Así, en el 52,9% de los centros participantes en el estudio las historias clínicas de la institución son accesibles por todos los profesionales. En un 39,4%de los casos el acceso a las HC está limitado, de manera que cada profesional sólo puede acceder a las de los pacientes con quienes tiene relación asistencial. Resultados / Seguridad El artículo 7 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (Ley de Autonomía del Paciente) reconoce el derecho a la intimidad del paciente, y en concreto establece el derecho de toda persona a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la ley. A tal efecto, dispone que los centros sanitarios adoptarán las medidas oportunas para garantizar el derecho de intimidad, y elaborarán las normas y procedimientos que garanticen el acceso legal a los datos de los pacientes. 130 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Fuente: INTECO Resultados / Seguridad Gráfico 81: Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE) (%) 131 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los hospitales son más cuidadosos que los centros de salud y los consultorios locales a la hora de garantizar el derecho a la intimidad de los pacientes. Así, en un 54,1% de los hospitales el acceso de los profesionales a las historias clínicas está limitado a los pacientes con quienes tiene relación asistencial. En el caso de centros de salud el porcentaje es de 42,2%, y de un 36,8% cuando se trata de consultorios locales. Fuente: INTECO Resultados / Seguridad Gráfico 82: Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE), segmentación por tipo de centro (%) 132 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En el caso de los centros de carácter privado, el 58,6% de ellos asegura que existe una limitación en el acceso de los profesionales a las HC, mientras que en los de carácter público nos encontramos con una proporción considerablemente inferior (38,5%). Fuente: INTECO Resultados / Seguridad Gráfico 83: Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE), segmentación por dependencia patrimonial (%) 133 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Por zonas, parece que el área Sur (con un 50,4% de cumplimiento) y Cataluña (43,9%) son las regiones que en mayor medida se preocupan por que cada profesional acceda sólo a las historias clínicas de los pacientes con los que tiene relación asistencial. Fuente: INTECO Resultados / Seguridad Gráfico 84: Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE), segmentación por geográfica (Cada profesional accede a la HC de los pacientes con los que tiene relación asistencial) (%) 134 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Control de acceso físico a las instalaciones donde se encuentran los sistemas de información Al regular las medidas de seguridad, el Reglamento de desarrollo de la Ley Orgánica 15/199, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD), presta atención a los accesos. Así, en el artículo 99 se dispone expresamente que exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información. Se confirma que, en la inmensa mayoría de los casos, el acceso está restringido (sólo existe un 6,9% que afirma que es posible acceder al lugar donde se almacenan los datos, y un 3,2% adicional que no se posiciona al respecto). En el resto de las situaciones existe un control de acceso e incluso, en el 44,2% de las ocasiones, existen además herramientas de control de accesos. El Gráfico 85 ofrece una visión de la realidad del sector sanitario español en lo que se refiere a esta disposición. Resultados / Seguridad Gráfico 85: Control de acceso físico a las instalaciones donde se encuentran los sistemas de información (%) 135 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El análisis por tipo de centro muestra una especial sensibilidad de los hospitales: un 66,8% cuentan con herramientas de control de accesos (además de una restricción de acceso), frente al 50,8% de los centros de salud y el 39,4% de los consultorios locales. Fuente: INTECO Resultados / Seguridad Gráfico 86: Control de acceso físico a las instalaciones donde se encuentran los sistemas de información, segmentación por tipo de centro (%) 136 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En el análisis por dependencia patrimonial del centro, se aprecia por parte de los centros privados una tendencia a establecer herramientas de control de accesos mayor que la que manifiestan los centros de carácter público (63,6% frente a 43,4%). Fuente: INTECO Resultados / Seguridad Gráfico 87: Control de acceso físico a las instalaciones donde se encuentran los sistemas de información, segmentación por dependencia patrimonial (%) 137 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En cualquier caso, es altísimo el nivel de establecimiento de medidas de control de acceso físico a las instalaciones donde se encuentran los sistemas de información. Considerando de manera conjunta los centros que afirman que el acceso está restringido y los que, además de la restricción, reconocen la existencia de herramientas de control de acceso, el mapa nacional que se perfila ofrece elevadas tasas de cumplimiento. En la heterogénea zona Centro, un 94% de centros cumplen esta disposición. Por detrás de esta zona, Cataluña (92,5%), la franja Norte-Noroeste (90,6%) y Sur (88,9%) presentan altos niveles. Fuente: INTECO Resultados / Seguridad Gráfico 88: Control de acceso físico a las instalaciones donde se encuentran los sistemas de información, segmentación geográfica (Suma de El acceso está restringido y El acceso está restringido y existen herramientas de control de accesos) (%) 138 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de Documento de Seguridad Un 43,5% de los centros sanitarios españoles reconoce que dispone de Documento de Seguridad específico que contemple una política para los tratamientos de datos personales. Recordemos que el artículo 88 RDLOPD establece que El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. Fuente: INTECO Resultados / Seguridad Gráfico 89: Existencia de Documento de Seguridad (%) 139 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La situación con respecto a la disponibilidad o no de documento de seguridad no es homogénea entre los tres tipos de instituciones: en hospitales, un 79,9% dispone de documento de seguridad, en centros de salud el porcentaje es de 49,2% y en consultorios, sólo un 37,5% así lo declara. Gráfico 90: Existencia de Documento de Seguridad, segmentación por tipo de centro (%) 79,9% C. de Salud 10,4% 49,2% Consultorio Local 37,2% 0% Sí 10% 20% 13,6% 42,7% 37,5% 30% 40% No 50% 60% 9,7% 19,8% 70% 80% 90% 100% Ns/Nc Fuente: INTECO Resultados / Seguridad Hospital 140 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Nuevamente debe tenerse en cuenta la posible implantación de sistemas centralizados de tratamiento de datos, especialmente en el ámbito de la atención primaria, lo que justifica que los documentos de seguridad estén elaborados por las Gerencias directamente. También en este caso la dependencia patrimonial del centro determina el mayor o menor nivel de cumplimiento de la normativa: en los centros públicos, sólo el 41,8% dispone de documento de seguridad; en los de titularidad privada, en cambio, el porcentaje es de 81,8%. Fuente: INTECO Resultados / Seguridad Gráfico 91: Existencia de Documento de Seguridad, segmentación por dependencia patrimonial (%) 141 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE A nivel nacional la realidad es heterogénea y diversa, tal y como sugiere el mapa detallado en el Gráfico 92. Coexisten regiones como Cataluña o Madrid, donde un 63,8% y 56,4%, respectivamente, de instituciones afirman tener documento de seguridad, con otras como parte de Aragón y la zona Centro, donde el cumplimiento no supera el 40%. Fuente: INTECO Resultados / Seguridad Gráfico 92: Existencia de Documento de Seguridad, segmentación geográfica (%) 142 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Responsable de seguridad En un 40,1% de los centros participantes en el estudio existe la figura específica del responsable de seguridad, y se han definido funciones específicas para dicho puesto. La opción mayoritaria es la contraria: son un 54,5% los que reconocen no contar con un profesional con este perfil. Fuente: INTECO Resultados / Seguridad Gráfico 93: Existencia de Responsable de Seguridad (%) 143 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Mientras mayor es el tamaño del centro, aumenta la tendencia a disponer de responsable de seguridad: son un 79,4% de los hospitales, un 46,2% de los centros de salud y un 33,6% de los consultorios locales quienes afirman contar con una figura específica de responsable de seguridad. El mismo criterio expresado en apartados anteriores por el uso de sistemas centralizados en atención primaria justifica que no tenga porqué existir en los centros de salud un responsable de seguridad, siendo este designado de forma centralizada por las Gerencias. Fuente: INTECO Resultados / Seguridad Gráfico 94: Existencia de Responsable de Seguridad, segmentación por tipo de centro (%) 144 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE También en este caso la dependencia patrimonial es un factor decisivo: el 78,5% de los centros privados cuentan con responsable de seguridad, frente a sólo el 38,4% en el caso de los públicos. Fuente: INTECO Resultados / Seguridad Gráfico 95: Existencia de Responsable de Seguridad, segmentación por dependencia patrimonial (%) 145 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE A nivel nacional, la Comunidad de Madrid es la zona donde mayor es la tasa de disponibilidad de responsable de seguridad en el centro sanitario: un 51,2% de las instituciones participantes en el estudio ubicadas en esta área así lo manifiestan. También Cataluña, con un 48,3%, tiene un nivel más que aceptable. Fuente: INTECO Resultados / Seguridad Gráfico 96: Existencia de Responsable de Seguridad, segmentación geográfica (%) 146 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Procedimiento de realización de copias de respaldo y recuperación Los artículos 94 y 102 RDLOPD recogen la obligatoriedad de realizar medidas de respaldo y recuperación de los archivos que contengan datos de carácter personal. El 58,3% de los centros sanitarios participantes en el estudio afirman disponer de un procedimiento específico para la realización de copias de respaldo y recuperación, frente a un 29,9% que no lo tienen y un 11,9% adicional que no facilita una respuesta. Fuente: INTECO Resultados / Seguridad Gráfico 97: Procedimiento de realización de copias de respaldo y recuperación (%) 147 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Una vez más, el nivel de cumplimiento de la normativa es mayor entre hospitales que entre centros de menor tamaño. Un 91,6% de los hospitales tiene un procedimiento de realización de copias de respaldo de los datos, frente a un 63,2% en el caso de centros de salud y un 52,9% en el de los consultorios locales. Fuente: INTECO Resultados / Seguridad Gráfico 98: Procedimiento de realización de copias de respaldo y recuperación, segmentación por tipo de centro (%) 148 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La realización de copias de respaldo es más habitual entre centros privados (un 92,4% dispone de procedimiento al efecto) que entre instituciones de carácter público (56,8%). Fuente: INTECO Resultados / Seguridad Gráfico 99: Procedimiento de realización de copias de respaldo y recuperación, segmentación por dependencia patrimonial (%) 149 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los centros sanitarios de la Comunidad de Madrid son los que, en mayor medida, están habituados a la realización de copias de respaldo y recuperación de los archivos con datos de carácter personal: un 76,3% de los participantes en el estudio así lo manifiestan. También Cataluña, con un 70,8%, muestra un nivel de cumplimiento de la normativa correcto. Fuente: INTECO Resultados / Seguridad Gráfico 100: Procedimiento de realización de copias de respaldo y recuperación, segmentación geográfica (%) 150 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Procedimiento para la destrucción de documentos con datos de carácter personal Además, el responsable del fichero (y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal) están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El deber de secreto profesional que incumbe a los responsables de los ficheros, recogido en el artículo 10 de la LOPD, comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Conscientes de la especial sensibilidad de la materia, y de la existencia de precedentes en el sector sanitario que han terminado en un procedimiento sancionador, los centros sanitarios españoles han adoptado procedimientos para la destrucción de documentos con datos de carácter personal (un 75,5% lo ha hecho). El 19,9% reconoce no haberlo hecho aún, y un 4,6% se muestra indeciso. Resultados / Seguridad No es del todo infrecuente que los medios de comunicación se hagan eco de situaciones en las que han aparecido en vías públicas documentación con datos de salud. Al margen de la visibilidad mediática de las situaciones, la Agencia Española de Protección de Datos ha dictado numerosas resoluciones al respecto. La importancia de disponer de un procedimiento para la destrucción de documentos con carácter personal se deriva del principio de seguridad de los datos (art. 9 LOPD), que impone la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el acceso no autorizado. 151 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Fuente: INTECO Resultados / Seguridad Gráfico 101: Existencia de un procedimiento para la destrucción de documentos con datos de carácter personal (%) 152 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los hospitales son los centros que más se han esforzado en regular el modo de destruir documentos con datos personales de sus pacientes. Un 92,2% de los hospitales españoles lo ha hecho. Por detrás de ellos, un 83,3% de los centros de salud y un 70,9% de los consultorios locales disponen de procedimientos específicos para eliminar los soportes donde se almacenan datos de carácter personal. Fuente: INTECO Resultados / Seguridad Gráfico 102: Existencia de un procedimiento para la destrucción de documentos con datos de carácter personal, segmentación por tipo de centro (%) 153 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Siendo elevado el nivel de cumplimiento entre instituciones públicas y privadas, una vez más, los centros de carácter privado presentan una adopción superior (94,1%, frente a 74,7% en el caso de las instituciones de carácter público). Fuente: INTECO Resultados / Seguridad Gráfico 103: Existencia de un procedimiento para la destrucción de documentos con datos de carácter personal, segmentación por dependencia patrimonial (%) 154 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La franja Norte – Noroeste, con un 88,7% de adopción de procedimiento específico para la destrucción de documentos con datos personales, es donde en mayor medida se concentra la práctica de esta disposición. Fuente: INTECO Resultados / Seguridad Gráfico 104: Existencia de un procedimiento para la destrucción de documentos con datos de carácter personal, segmentación geográfica (%) 155 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Procedimiento de notificación, gestión y respuesta a incidencias Los artículos 90 y 100 del RDLOPD tratan sobre el registro de incidencias, estableciendo que deberá existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal. Dispone, igualmente, que se debe establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido o, en su caso, detectado, la persona que realiza la notificación, a quien se le comunica los efectos derivados de la misma y las medidas correctoras aplicadas. En línea con el precepto, el 76% de los centros sanitarios participantes en el estudio disponen de un procedimiento específico para la gestión de las incidencias. Sólo un 17,3% no ha establecido un procedimiento a tal efecto, y un 6,7% adicional no proporciona respuesta. Fuente: INTECO Resultados / Seguridad Gráfico 105: Procedimiento de notificación, gestión y respuesta a incidencias (%) 156 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Por tipo de centro, una vez más son los hospitales los más avanzados en el cumplimiento de la normativa: un 84,4% de ellos dispone de procedimiento de notificación, gestión y respuesta a incidencias. En el caso de centros de salud y consultorios locales, el porcentaje es de 79,8% y 73,8% respectivamente. Fuente: INTECO Resultados / Seguridad Gráfico 106: Procedimiento de notificación, gestión y respuesta a incidencias, segmentación por tipo de centro (%) 157 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El 75,5% de los centros públicos y el 86,5% de los privados afirman contar con un procedimiento de gestión de incidencias. Fuente: INTECO Resultados / Seguridad Gráfico 107: Procedimiento de notificación, gestión y respuesta a incidencias, segmentación por dependencia patrimonial (%) 158 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El nivel de adopción de procedimientos de incidencias es elevado, y bastante homogéneo en toda la geografía española. Cataluña es, con un 80,5% de respuestas, la región donde se concentra una mayor implementación de este tipo de procedimientos entre los centros sanitarios, seguida muy de cerca de la Comunidad de Madrid (79,8%) y la franja Norte – Noroeste (79,1%). Fuente: INTECO Resultados / Seguridad Gráfico 108: Procedimiento de notificación, gestión y respuesta a incidencias, segmentación geográfica (%) 159 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de un Sistema de Gestión de la Seguridad de la Información Un Sistema de Gestión de la Seguridad de la Información (también conocido por sus siglas SGSI) es una herramienta de gestión que permite conocer, gestionar y minimizar los posibles riesgos que pueden atentar contra la seguridad de la información en la organización, y por tanto poner en peligro la viabilidad del negocio. Los riesgos pueden venir del exterior de la empresa (por ejemplo, una catástrofe natural), pero también del interior (sustracción de información por un empleado). Con un SGSI se trata de proteger todos los acti- vos de información con que cuente la organización, con independencia del soporte en el que se encuentren. En el sector sanitario español el nivel de adopción de Sistemas de Gestión de Seguridad de la Información es considerable. De acuerdo con las respuestas facilitadas por los responsables de seguridad participantes en el estudio, un 53,2% de los centros disponen de SGSI, frente a un 29% que reconocen no tenerlo y un 17,8% que no se pronuncian. Resultados / Seguridad Gráfico 109: Existencia de un Sistema de Gestión de la Seguridad de la Información (%) Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 160 5 ÍNDICE Una vez más, son los hospitales los tipos de centros más sensibilizados con la seguridad de la información: un 68,3% disponen de SGSI, frente a un 58,5% en el caso de centros de salud y 49,7% en el caso de consultorios locales. Fuente: INTECO Resultados / Seguridad Gráfico 110: Existencia de un Sistema de Gestión de la Seguridad de la Información, segmentación por tipo de centro (%) 161 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Un 52,6% de los centros públicos y un 67,9% de los privados disponen de un Sistema de Gestión de la Seguridad de la Información. Fuente: INTECO Resultados / Seguridad Gráfico 111: Existencia de un Sistema de Gestión de la Seguridad de la Información, segmentación por dependencia patrimonial (%) 162 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE El mapa de España se configura por una desigual implementación de Sistemas de Gestión de la Seguridad de la Información en las distintas áreas, tal y como queda reflejado en el Gráfico 112. Cataluña, una vez más, se posiciona como la comunidad autónoma con mayor nivel de adopción de SGSI por parte de los centros sanitarios. En concreto, un 68,2% de los centros participantes en el estudio disponen, según sus propias declaraciones, de un Sistema de Gestión de Seguridad de la Información. También las áreas de Levante y Sur, con 60,6% y 58%, destacan positivamente sobre el resto. Fuente: INTECO Resultados / Seguridad Gráfico 112: Existencia de un Sistema de Gestión de la Seguridad de la Información, segmentación geográfica (%) 163 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existencia de un Plan de Continuidad de Negocio Las organizaciones no pueden estar preparadas para los potenciales efectos negativos de eventos que pueden ocurrir e impactar en sus actividades de negocio. El fallo de la red eléctrica de Barcelona en Julio de 2007 que impactó en servicios críticos como sanidad y transporte es un buen ejemplo de este tipo de eventualidades. Sin tratarse de situaciones con una repercusión tan alta, cada año son muchas las organizaciones de todo tipo que padecen inundaciones, incendios, ataques terroristas, actos vandálicos y otras amenazas. zan el plan deberían ser capaces de analizar la información del grupo de respuesta sobre el impacto del incidente, seleccionar e implementar estrategias apropiadas disponibles en el plan y conducir la reanudación de las unidades de negocio según las prioridades pactadas. En el sector sanitario español, un 41,6% de los centros disponen de un Plan de Continuidad de Negocio, un 35,5% reconocen no tenerlo y un 22,7% lo desconoce. El Plan de Continuidad de Negocios reúne la respuesta de toda la organización a un incidente destructivo. Los que utili- Resultados / Seguridad Gráfico 113: Existencia de un Plan de Continuidad de Negocio (%) 164 Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los hospitales, con un 54,3% de adopción, son los centros que en mayor medida han abrazado la adopción de planes de continuidad de negocio. Centros de salud (45%) y consultorios locales (39,3%) se encuentran por detrás en cuanto a nivel de implantación. Fuente: INTECO Resultados / Seguridad Gráfico 114: Existencia de un Plan de Continuidad de Negocio, segmentación por tipo de centro (%) 165 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE También el sector privado se muestra más favorable a implantar planes de continuidad de negocio que el público: 56,9% frente a 41,1%. Fuente: INTECO Resultados / Seguridad Gráfico 115: Existencia de un Plan de Continuidad de Negocio, segmentación por dependencia patrimonial (%) 166 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En el análisis geográfico, Cataluña despunta sobre el resto de zonas españolas. Un 59,7% de los centros sanitarios catalanes dispone de un plan de continuidad de negocio, a partir de sus declaraciones. Por detrás de esta comunidad autónoma, a bastante distancia, se encuentra el área sur, donde un 44,6% de centros sanitarios disponen de un plan de continuidad. La Comunidad de Madrid y el área levantina (ambos, con un 44,4% de adopción) se sitúan las siguientes en el ranking. Fuente: INTECO Resultados / Seguridad Gráfico 116: Existencia de un Plan de Continuidad de Negocio, segmentación geográfica (%) 167 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Auditorías de seguridad El art. 96 RDLOPD reconoce que, a partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se deben someter, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento con la normativa sobre protección de datos. auditorías anualmente y un 12,4% adicional que las lleva a cabo con una periodicidad bienal. Es decir, un 33,2% de los centros sanitarios españoles estaría cumpliendo con el precepto. Existe, por otra parte, un 6,1% que reconoce llevar a cabo auditorías, pero lo hace cada más de 2 años. En el sector sanitario español la realidad, a partir de las respuestas proporcionadas por los centros participantes en el estudio, es que hay un 20,8% de instituciones que realizan Sorprende el 50,8% de centros que reconoce nunca haber realizado una auditoría de seguridad. Resultados / Seguridad Gráfico 117: Realización de auditorías de seguridad (%) Fuente: INTECO Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 168 5 ÍNDICE Los hospitales son, una vez más, los centros más rigurosos en la realización de auditorías de seguridad. Considerando conjuntamente los centros que realizan auditorías con periodicidad anual y bienal, hay un 73,4% de hospitales que cumplen con el precepto reglamentario de realizar auditorías de seguridad. En el caso de los centros de salud el porcentaje es de 42,6%, y de 25,5% cuando se trata de consultorios locales. Fuente: INTECO Resultados / Seguridad Gráfico 118: Realización de auditorías de seguridad, segmentación por tipo de centro (%) 169 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Existe una diferencia importante en el nivel de realización de auditorías de seguridad entre centros públicos y privados. Así, existe un 52,6% de centros públicos que reconocen nunca haber hecho una auditoría de seguridad. En el caso de las instituciones privadas, este porcentaje es mínimo (10,7%). Fuente: INTECO Resultados / Seguridad Gráfico 119: Realización de auditorías de seguridad, segmentación por dependencia patrimonial (%) 170 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE La zona Sur de España es donde, en mayor medida, se realizan auditorías de seguridad por parte de los centros sanitarios. Un 48% de las instituciones participantes en el estudio así lo reconocen. También la franja Norte – Noroeste (45,2%) y Cataluña (45,1%) han asumido correctamente la disposición reglamentaria. En el caso concreto de la Comunidad de Madrid los datos se ven sesgados por la realización de las auditorías por parte de unidades especializadas de la Consejería, o entidades designadas por la misma. Esta situación es trasladable a todos los ámbitos geográficos en los que la seguridad de los tratamientos de datos institucionales se gestione de forma centralizada. Fuente: INTECO Resultados / Seguridad Gráfico 120: Realización de auditorías de seguridad, segmentación geográfica (Suma de Sí, al menos cada año, Sí, al menos cada 2 años y Sí, con mayor frecuencia) (%) 171 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.8 Comunicación de datos (art. 11 LOPD) 5.8.1 Problemática e implicaciones Sin embargo, existen una serie de supuestos regulados en la LOPD en relación con los cuales no es necesario el segundo de los requisitos. En estos casos, la cesión de datos personales tiene lugar sin el consentimiento previo del afectado o interesado. Dichos supuestos, regulados en el Artículo 11.2 de la LOPD, son los siguientes: a. Cuando la cesión esté autorizada por una ley. b. Cuando se traten datos recogidos de fuentes accesibles al público. c. Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros, siempre que se limite a la finalidad que la justifique. d. Cuando la comunicación tenga por destinatarios al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Igualmente a Instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e. Cuando la cesión de datos relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero, o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. f. Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos, los datos de carácter personal hayan sido recogidos o elaborados por una Administración Pública con destino a otra, o la comunicación se realice para el ejercicio de competencias idénticas o que versen sobre las mismas materias. Resultados / Comunicación de datos La comunicación o cesión de datos personales tiene lugar cuando los datos del afectado o interesado (ciudadano) se comunican a un tercero. Dos son los requisitos necesarios para que se produzca la cesión de datos personales: primero, que la cesión se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario; segundo, el consentimiento previo del interesado. 172 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.8.2 Diagnóstico: situación en el sector sanitario español Sistema de control de los envíos de datos de pacientes a terceros El 66,7% de los centros sanitarios españoles participantes en el estudio manifiesta que existe en el ámbito de su organización un sistema de control de los envíos de datos de pacientes que se realizan a terceros. Existe un 24,4% de instituciones que reconocen que no existe tal control, y un 8,9% adicional que no se manifiesta al respecto. Fuente: INTECO Resultados / Comunicación de datos Gráfico 121: Existencia de un sistema de control de los envíos de datos de pacientes a terceros (%) 173 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Los hospitales se muestran más propicios a la adopción de controles de envíos de datos a terceros: un 78,6% han adoptado algún sistema de control. También los centros de salud, con un 75,4% de nivel de implantación, son cautelosos. Fuente: INTECO Resultados / Comunicación de datos Gráfico 122: Existencia de un sistema de control de los envíos de datos de pacientes a terceros, segmentación por tipo de centro (%) 174 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Un 66,2% de los centros públicos y un 78,5% de los privados han implementado un sistema de control de los envíos de datos de pacientes a terceros, según sus propias declaraciones. Fuente: INTECO Resultados / Comunicación de datos Gráfico 123: Existencia de un sistema de control de los envíos de datos de pacientes a terceros, segmentación por dependencia patrimonial (%) 175 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Por lo que respecta a la segmentación geográfica, la Comunidad de Madrid, con un 79,1% de centros que reconocen haber adoptado sistemas de control de los envíos de datos de pacientes a terceros, es la que en mayor medida ha implementado este tipo de controles. Fuente: INTECO Resultados / Comunicación de datos Gráfico 124: Existencia de un sistema de control de los envíos de datos de pacientes a terceros, segmentación geográfica (%) 176 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.9 Inspecciones de la Agencia de Protección de Datos Las autoridades de control podrán inspeccionar los ficheros a que hace referencia la presente ley, recabando cuantas informaciones precisen para el cumplimiento de sus cometidos. requerir a los responsables de ficheros o tratamientos de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. A tal efecto, podrán solicitar la exhibición o el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos y lógicos utilizados para el tratamiento de los datos, accediendo a los locales donde se hallen instalados. El requerimiento deberá ser atendido en el plazo improrrogable de tres días, durante el cual el responsable del fichero podrá formular las alegaciones que tenga por convenientes en orden al levantamiento de la medida. Los funcionarios que ejerzan la inspección a que se refiere el apartado anterior tendrán la consideración de autoridad pública en el desempeño de sus cometidos. Estarán obligados a guardar secreto sobre las informaciones que conozcan en el ejercicio de las mencionadas funciones, incluso después de haber cesado en las mismas. En el supuesto previsto como infracción muy grave en la Ley Orgánica 15/1999, de 13 de diciembre, consistente en la utilización o cesión ilícita de los datos de carácter personal en la que se impida gravemente o se atente de igual modo contra el ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, en cualquier momento del procedimiento, Si el requerimiento fuera desatendido, el Director de la Agencia Española de Protección de Datos podrá, mediante resolución motivada, acordar la inmovilización de tales ficheros o tratamientos, a los solos efectos de restaurar los derechos de las personas afectadas. En el desarrollo de las actuaciones previas se podrán realizar visitas de inspección por parte de los inspectores designados, en los locales o sede del inspeccionado, o donde se encuentren ubicados los ficheros, en su caso. A tal efecto, los inspectores habrán sido previamente autorizados por el Director de la Agencia Española de Protección de Datos. Las inspecciones podrán realizarse en el domicilio del inspeccionado, en la sede o local concreto relacionado con el mismo o en cualquiera de sus locales, incluyendo aquéllos en que el tratamiento sea llevado a cabo por un encargado. Resultados / Inspecciones 5.9.1 Problemática e implicaciones 177 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE 5.9.2 Diagnóstico: situación en el sector sanitario español Centros inspeccionados El hecho de haber experimentado una inspección por parte de la Agencia de Protección de Datos es una situación un tanto infrecuente en el sector sanitario español: sólo un 3,7% de los centros participantes en el estudio afirman haber sufrido, en alguna ocasión, una inspección de la autoridad de protección de datos. Existe un 10,1% que no realiza declaración a este respecto. El resto, un amplio 86,2% de las instituciones sanitarias españolas, no han sido receptoras de inspecciones. Fuente: INTECO Resultados / Inspecciones Gráfico 125: Entidades que han sufrido inspección por parte de la Agencia de Protección de Datos (%) 178 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En este caso, las inspecciones parecen haber tenido mayor incidencia entre centros de salud (7,2%) que entre hospitales (3,9%) y consultorios locales (2,4%) Fuente: INTECO Resultados / Inspecciones Gráfico 126: Entidades que han sufrido inspección por parte de la Agencia de Protección de Datos, segmentación por tipo de centro (%) 179 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Atendiendo a la dependencia patrimonial del centro, no se aprecian diferencias relevantes: no parece tener influencia el hecho de que una institución sea pública o privada para que sea objeto de una inspección por parte de la autoridad de protección de datos. Fuente: INTECO Resultados / Inspecciones Gráfico 127: Entidades que han sufrido inspección por parte de la Agencia de Protección de Datos, segmentación por dependencia patrimonial (%) 180 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE En la zona Sur parece haber una mayor concentración de centros que dicen haber sufrido inspección por parte de la Agencia de Protección de Datos: un 7,4% de los centros participantes en el estudio así lo han manifestado. En el otro extremo, la zona de Levante registra el más reducido nivel de inspecciones del país, con sólo un 0,5% de instituciones que declaran haber recibido una inspección. Fuente: INTECO Resultados / Inspecciones Gráfico 128: Entidades que han sufrido inspección por parte de la Agencia de Protección de Datos, segmentación geográfica (%) 181 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Centros sancionados Considerando solamente a los centros que afirman haber sufrido una inspección por parte de la autoridad de protección de datos, se profundiza a continuación si esa inspección terminó con un expediente sancionador o no. Sólo en un 1% de los centros que sufrieron una inspección ésta terminó con un procedimiento sancionador de carácter leve, y en un 0,8% adicional, de carácter grave. Ninguna institución de las participantes en el estudio ha sido víctima de una sanción muy grave. Base: centros que han sufrido inspección de la autoridad de protección de datos Fuente: INTECO Resultados / Inspecciones Gráfico 129: Entidades que han sido objeto de expediente sancionador por parte de la Agencia de Protección de Datos (%) 182 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Las pocas sanciones se concentran en el sector hospitalario, tal y como se aprecia en el Gráfico 130, pertenecientes al sector público (Gráfico 131). Fuente: INTECO Resultados / Inspecciones Gráfico 130: Entidades que han sido objeto de expediente sancionador por parte de la Agencia de Protección de Datos, segmentación por tipo de centro (%) 183 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 5 ÍNDICE Fuente: INTECO Resultados / Inspecciones Gráfico 131: Entidades que han sido objeto de expediente sancionador por parte de la Agencia de Protección de Datos, segmentación por dependencia patrimonial (%) 184 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Buenas prácticas Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 6 ÍNDICE 6.1 Adecuación a la LOPD del Hospital General Universitario Reina Sofía (Murcia) El Hospital General Universitario Reina Sofía de Murcia cuenta con un plantilla de 1.199 trabajadores. El respeto a la confidencialidad y a la intimidad de los pacientes constituye un reto básico para todos los profesionales. En el Servicio de Atención al Paciente y en la Oficina de Medicina Judicial y Ética Médica se informa y asesora, a pacientes y usuarios, de los derechos que les asisten en materia de Protección de Datos. Se dispone de folletos informativos con los ficheros que contienen datos de carácter personal del Centro y de modelos de impresos para ejercer sus derechos. También se recuerda con un video y con cartelería alegórica la importancia del secreto y del sigilo en el ámbito sanitario. Buenas prácticas Ilustración 1: Folletos informativos del proyecto denominado “Adecuación del Hospital General Universitario Reina Sofía a la LOPD”. 186 Fuente: Hospital Reina Sofía de Murcia Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE • Potenciar la labor informativa y educativa respecto del derecho a la protección de datos de carácter personal, implicando a todo el personal del centro, dado el volumen y la naturaleza de la información que se maneja. El conjunto de medidas adoptadas en materia de protección de datos integran el proyecto denominado “Adecuación del Hospital General Universitario Reina Sofía a la LOPD”. • Impregnar en los trabajadores del hospital una autentica cultura de protección de datos. Con el proyecto se fijaron los siguientes objetivos: • Actualizar los ficheros y tratamientos de datos, para adecuarlos a la normativa vigente. • Alcanzar la plena adecuación del centro a los requerimientos de la normativa sobre protección de datos personales. Desde el Comité de Seguridad de los Sistemas de Información, como órgano de asesoramiento y consultivo en materia de protección de datos, se impulsa la formación del personal en esta materia. • Facilitar a los pacientes y usuarios el ejercicio de los derechos que la LOPD les otorga. Buenas prácticas • Lograr la máxima accesibilidad y transparencia frente a los ciudadanos respecto de los tratamientos que se realizan con los datos de carácter personal que de ellos se recaban. 187 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE 6.2 Eliminación de archivos incontrolados con datos de nivel alto en el Hospital Carlos III (Madrid) El Departamento de Informática y Sistemas de Información del Hospital Carlos III de Madrid ha puesto en marcha un proyecto con el objetivo de eliminar los archivos con datos de carácter personal de nivel alto y formato ofimático. La mayoría se encuentran en ordenadores personales, almacenando la información en bases de datos específicas que cumplan con lo establecido en la normativa vigente en materia de Protección de Datos. Estas bases de datos están hechas a la carta, de manera personalizada, atendiendo a las necesidades de cada profesional. Además, no tienen ningún dato que relacione los aspectos clínicos con la persona a la que pertenecen. De esta forma, se consiguen varios objetivos, bajo el paraguas de la protección de datos: • Se fuerza a que todos los pacientes estén registrados por el departamento de admisión, eliminando episodios clínicos no recogidos institucionalmente. • Desaparecen datos sensibles de ordenadores personales. Todos los datos quedan custodiados en los servidores del Hospital. • Se desarrollan bases de datos que responden a las necesidades de cada departamento y que se pueden ajustar, fácilmente, a nuevas demandas. Buenas prácticas Para ello se ha desarrollado una arquitectura cuya relación es el número de historia clínica, conectando la base de datos de gestión clínica, que contiene los datos demográficos de los pacientes, con una serie de bases de datos por departamentos, que registran exclusivamente parámetros clínicos. 188 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE 6.3 Normas de uso de los Sistemas de Información (Hospital Universitario Fundación Alcorcón, Madrid) La legislación vigente en materia de protección de datos y la relevancia de la información propia del sector sanitario motivaron a la dirección del Hospital a elaborar un protocolo con las normas de uso de los sistemas de información: sencillas, claras y de obligado cumplimiento. El protocolo incluye los criterios fundamentales contenidos en las normas aplicables a los datos de carácter personal, para todos los usuarios de los sistemas de información, tanto asistenciales como de gestión: • Procedimiento de alta y baja de usuarios. • Restricciones en la configuración de los equipos. • Tratamiento de la información con confidencialidad. • Protección de datos personales. • Uso de la informática con fines laborales y en función del perfil. • Canales para informar de los incidentes de seguridad. • Normativa de acceso a las aplicaciones. • Salvaguarda de la información en el PC. • Restricciones en el acceso a Internet. • Normas de utilización del correo electrónico. Desde la Comisión de Historias y Documentación Clínica, se procedió a la revisión del anterior manual de uso de la Historia Clínica, para actualizar los perfiles de usuarios, criterios de acceso y niveles de acceso. El documento se estructura en varios apartados: • Se incorporan las definiciones legales sobre historia clínica, así como otras relacionadas con ésta recogidas en la norma. • Posteriormente se establecen las funciones, contenidos y soporte de la historia clínica. • Otro apartado recoge las normas de cumplimentación y acceso de las historias clínicas. • El punto octavo del documento está dedicado a establecer los niveles y perfiles de acceso a la historia clínica de aquellos profesionales que, por sus funciones dentro del hospital, y de acuerdo con la norma, pueden acceder a las mismas, en relación con el puesto de trabajo. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Buenas prácticas El Hospital Universitario Fundación de Alcorcón dispone de un documento de seguridad que contiene las funciones y obligaciones del personal, en relación con el tratamiento de los datos de carácter personal. 189 6 ÍNDICE El Hospital Universitario Doce de Octubre está comprometido con la puesta a disposición de sus profesionales de la información que la actividad del centro genera, manteniendo el respeto a la confidencialidad de los datos de los pacientes acorde a la normativa de protección de datos. • Concesión y revocación de usuarios para los profesionales del centro, en tiempo real, sincronizado con Recursos Humanos. • Definición de la figura del mediador de acceso, en quien se ha delegado la capacidad de conceder y revocar permisos. Para centros externos autorizados, también se les ha delegado la responsabilidad y capacidad de gestionar los privilegios a sus profesionales. • Creación de un grupo de evaluación continua para analizar la utilización, accesibilidad, confidencialidad y mejoras en el contenido de la información. Para mantener el equilibrio entre seguridad y acceso se han dado los siguientes pasos: • Creación de repositorio único de usuarios con identidad digital, que asegura la autenticidad de la identidad del profesional en todos sus accesos. • Difusión de las obligaciones de los profesionales en los aspectos relacionados con el tratamiento de datos personales, haciéndoles conocedores de su responsabilidad. Ilustración 2: Herramienta web de gestión (repositorio único) de usuarios de Atención Primaria Fuente: Hospital Universitario Doce de Octubre (Madrid) Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Buenas prácticas 6.4 Gestión eficiente y segura del acceso a datos clínicos para profesionales del área y de otros centros sanitarios (Hospital Universitario Doce de Octubre, Madrid) 190 6 ÍNDICE 6.5 El Tercero de confianza (Servicio Andaluz de Salud) El tercero de confianza constituye un procedimiento de emergencia para garantizar la identidad de los usuarios y sus derechos de acceso a la Historia de Salud de Andalucía. El Sistema Sanitario Público de Andalucía dispone de más de 7.000.000 de historias clínicas electrónicas abiertas en su sistema corporativo “Diraya”. Con un uso de tal intensidad, es tan crítico velar por el adecuado acceso de los profesionales a los datos de los pacientes como asegurar que los profesionales puedan abrir una historia clínica cuando es necesario. una alternativa segura que se usa cuando los administradores locales no están disponibles. Se denomina “Tercero de Confianza” ya que se basa en que un profesional adecuadamente logado avale la identidad de quien tiene problemas para acceder. La solicitud se hace a través del Centro de Soporte del Servicio Andaluz de Salud, abierto 24 horas, y se utiliza también una aplicación web. En el último año se han realizado más de 11.000 actuaciones a través de este procedimiento, asegurando la accesibilidad y garantizando el cumplimiento de la normativa vigente en materia de protección de datos. Incidencias como el olvido de contraseñas o altas temporales tienen que resolverse rápidamente. Para ello se ha diseñado Buenas prácticas Ilustración 3: Centro de Soporte del Servicio Andaluz de Salud 191 Fuente: Servicio Andaluz de Salud Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE 6.6 Plan estratégico de comunicación en Protección de Datos para Profesionales Sanitarios y Ciudadanos (Dirección General de Sistemas de Información Sanitaria de la Comunidad de Madrid) En el Servicio Madrileño de Salud se dan cita decenas de aplicaciones informáticas que con la tecnología más innovadora ofrecen soporte a la atención sanitaria de más de 6.000.000 de ciudadanos, siendo la comunicación y coordinación un eje vital de éxito. Ejemplo de ello es el procedimiento que desde las unidades de atención al paciente coordina las actuaciones de más de 38.000 profesionales técnicos y sanitarios, para dar respuesta a los derechos de los ciudadanos en materia de tratamientos de datos personales. Elemento dinamizador de ésta y otras iniciativas es el Área de Seguridad, donde un equipo de cualificados profesionales dan respuesta a las necesidades del SERMAS y desde donde se distribuye la newsletter o el portal de seguridad, herramientas de comunicación de consulta habitual del profesional técnico, que concentran en un único punto alertas, buenas prácticas, casos de éxito, políticas, normativas y toda la información de referencia. Buenas prácticas Ilustración 4: Boletín de Seguridad del Plan de Comunicación en protección de datos para profesionales sanitarios y ciudadanos 192 Fuente: Dirección General de Sistemas de Información Sanitaria de la Comunidad de Madrid Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Objetivos del Plan de Comunicación: • Concienciar a la Dirección respecto a la necesidad de garantizar el cumplimiento de las previsiones establecidas en el marco de la seguridad y la protección de los datos sanitarios. • Promocionar unos niveles elevados de concienciación de los usuarios en materia de protección de datos dentro de la Consejería. • Establecer unos canales de comunicación que hagan llegar la información, eliminando las barreras de tiempo y espacio entre centros y organismos. • Alinear la actuación de la Consejería con una estrategia corporativa de seguridad. • Transmitir una cultura en protección de datos que alcance a la totalidad del personal. Concienciar e implantar las políticas de protección de datos en todo el ámbito de la Consejería. • Garantizar el cumplimiento de la legislación y recomendaciones del sector sanitario en materia de Protección de Datos. • Garantizar la protección de los derechos de los ciudadanos y usuarios, aumentando su confianza en los servicios sanitarios madrileños. • Ofrecer un servicio de comunicación y asesoría continua con respecto a la protección de datos y a la seguridad. • Aumentar la seguridad de la información, garantizando que el uso de los servicios de información minimicen los riesgos y garanticen la confidencialidad de la historia clínica. • Posibilitar la realimentación continua en el sistema gracias a la participación de todos los colectivos implicados en los distintos roles al servicio de la sanidad pública. Buenas prácticas • 193 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE 6.7 Asegurar la utilización adecuada de la información disponible en materia de seguridad y confidencialidad de los datos de carácter personal (Gerencia del Área 10 de atención primaria del Servicio Madrileño de Salud) Para ello se pretenden conseguir los siguientes objetivos específicos: • • Asegurar que los sistemas informáticos del Área cumplan las condiciones de seguridad pertinentes que garanticen la confidencialidad de los datos de carácter personal almacenados. Promover la formación necesaria, tanto ética como técnica, para que la seguridad y confidencialidad de la información sean asumidas de forma práctica por el personal sanitario y no sanitario. Metodología de trabajo: Los grupos trabajan mediante la realización de reuniones que requieren la elaboración de un acta en la que constan conclusiones y orden del día de la siguiente reunión. Los miembros de los grupos trabajan tanto individual como conjuntamente, analizando las necesidades y diseñando, desarrollando e implantando las medidas oportunas para lograr solucionar los problemas técnicos y de información / formación detectados. Fase de desarrollo: La fase de desarrollo consta a su vez de varios procesos que se llevan a cabo de manera simultánea: a. Plan de información / formación de los profesionales del Área 10. a. Registro de ficheros. b. Plan de seguridad del Área. A través de la formación de grupos de trabajo, constituidos por profesionales asistenciales y no asistenciales, sanitarios y no sanitarios, se pretende cumplir los objetivos previstos. Buenas prácticas El objetivo principal del proyecto es asegurar que la información generada a partir de la actividad que se desarrolla en el Área Sanitaria sea utilizada adecuada y confidencialmente, mediante la potenciación de los mecanismos necesarios para preservar el secreto profesional y el tratamiento confidencial de los datos. 194 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE 6.8 Protección online de datos personales (Oficina del Defensor del Paciente de la Consejería de Sanidad y Consumo de la Comunidad de Madrid) El Defensor del Paciente tiene como misión cumplir la normativa reguladora sobre protección de datos personales. Su visión es llegar a ser una institución que proteja los datos personales de acuerdo a las necesidades y expectativas de sus usuarios para alcanzar unos niveles de calidad similares a los de las organizaciones públicas más avanzadas. Para ello, ha establecido una cultura de la protección de los datos personales basada en la mejora continua de la gestión y encaminada a proporcionar utilidad al usuario. La estrategia del Defensor del Paciente consiste en favorecer las demandas de sus usuarios en materia de protección de datos en el menor tiempo y al mejor coste posible facilitando una información única y homogénea, con independencia del modo de acceso (atención presencial, telefónica o por Internet) y del usuario de la misma (clientes externos -los ciudadanos- e internos -los empleados y las organizaciones públicas-). La nueva página web del Defensor del Paciente incorpora el conocimiento de la organización sobre protección de datos personales. En el Área de Atención al Usuario de la Oficina del Defensor del Paciente los ciudadanos tienen a su disposición ejemplares de la Carta de Servicios de la Agencia de Protección de Datos de la Comunidad de Madrid, folletos explicativos sobre el uso y tratamiento de datos personales y el cartel divulgativo de la Agencia. Buenas prácticas Ilustración 5: Web del Defensor del Paciente 195 Fuente: Oficina del Defensor del Paciente de la Consejería de Sanidad y Consumo de la Comunidad de Madrid Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE 6.9 Documentación clínica en Atención Primaria: procedimiento de acceso para uso no asistencial (Osakidetza – Servicio Vasco de Salud) El acceso o uso de la historia clínica o documentación clínica de un paciente plantea varias cuestiones de índole legal que requieren un minucioso análisis, a fin de buscar la confluencia de derechos de todas las partes implicadas y las medidas a establecer para su garantía. Este análisis abarca dos bloques normativos: la legislación sanitaria y la específica en materia de protección de datos de carácter personal. La Instrucción 6/2003, del Director General de Osakidetza (Servicio Vasco de Salud), insta a todo el personal que desarrolla su trabajo en cualquiera de las organizaciones de servicios, a conocer la normativa actual en materia de protección de datos y de confidencialidad de la información, así como a aplicar las medidas adecuadas cuando en el ejercicio de sus funciones manejen cualquier tipo de dato de carácter personal. Buenas prácticas Ilustración 6: Documentación clínica en Atención Primaria: procedimiento de acceso para uso no asistencial 196 Fuente: Osakidetza – Servicio Vasco de Salud Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Con la intención de ayudar a los profesionales en este proceso de adaptación, se elaboró el documento de procedimiento de acceso a documentación clínica en atención primaria, al igual que la publicación en 2003 del procedimiento de acceso a la documentación clínica hospitalaria. Allí se describen aspectos fundamentales relacionados con el circuito a seguir. Su aplicación puede resultar una herramienta muy útil en la gestión diaria de las peticiones de acceso de este tipo. Objetivo El objetivo de este documento es desarrollar un procedimiento de fácil manejo que regule en la práctica diaria el acceso a los datos clínicos del paciente en las Unidades de Atención Primaria, cuando la petición o motivo de acceso es con fines no asistenciales. Las situaciones de uso y acceso desarrolladas en la Ley 41/2002, de derechos y obligaciones en materia de documentación clínica y de autonomía del paciente, se han ordenado en función de quien lo solicita. Dentro de cada apartado se definen los siguientes puntos: • Procedimiento de solicitud. • Requisitos. • Tramitación. • Tipo de documentos a facilitar. • Plazo de entrega. Buenas prácticas Los circuitos propuestos pretenden garantizar el acceso a través de actuaciones homogéneas en los diferentes centros de la red y facilitar a todos los profesionales criterios sobre el manejo o trámites a seguir ante una petición de este tipo, independientemente de que los datos clínicos se encuentren registrados en soporte papel o informático. 197 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE 6.10 Percepciones y realidades de los profesionales sanitarios sobre la Protección de Datos Gestión de Identidad. HUser (Hospitales Universitarios Virgen del Rocío – Servicio Andaluz de Salud) Uno de los retos es asegurar la privacidad de la información existente, para lo cual es preciso que se den los siguientes requisitos: Disponer de un sistema que permita conocer en todo momento los usuarios con autorización para acceder a los distintos sistemas de información y permita su rastreo en las operaciones que realice. Asegurar que toda persona con privilegios de acceso tiene una relación contractual con el Hospital. Gestionar la finalización de contrataciones laborales. • Asegurar que el usuario es pleno conocedor de la importancia de los datos a los que accede, de la necesidad de su privacidad y protección. Ilustración 7: Aplicación HUser Buenas prácticas • • 198 Fuente: Hospitales Universitarios Virgen del Rocío – Servicio Andaluz de Salud Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE • Disponer de un dispositivo ágil de solicitud y de autorización de acceso a los distintos sistemas de información. • Disponer de un único nombre de usuario y contraseña para todos los sistemas de información a los que un usuario accede. Para disponer de la cuenta de usuario ha de realizar una solicitud al Servicio de Tecnologías de la Información. Para ello dispone de un formulario web que, tras ser cumplimentado con sus datos demográficos y laborales, le permite indicar los sistemas de información a los que desea acceder. En el mismo acto imprime un documento donde se le ofrece información referente a la LOPD y se le recuerda su responsabilidad de asegurar la confidencialidad de los datos a los que acceda. Este documento tiene que ser firmado por el solicitante y enviado al Servicio de Tecnologías de la Información, donde queda registrado y archivado. Buenas prácticas Para dar respuesta a lo planteado, el Hospital Universitario Virgen del Rocío dispone de un software de desarrollo propio denominado “HUser” que posibilita que todo profesional que, en función de su actividad, necesite acceder a un determinado sistema de información o servicio disponible (correo electrónico, Internet, biblioteca...) tenga un identificador (usuario/ contraseña) personal que lo autorice e identifique en cada uno de los accesos realizados. 199 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Mejora del tratamiento del fichero de datos de carácter personal de alta seguridad Pacientes CMD, pacientes y deportistas que acuden al Centro (Centro de Medicina Deportiva de la Comunidad de Madrid) La base de datos que hasta estos momentos maneja el fichero Pacientes CMD de historias clínicas del Centro de Medicina Deportiva de la Comunidad de Madrid desde el año 1999, se gestiona con una herramienta ofimática de Base de Datos. Se ha procedido a la sustitución de la misma por una nueva aplicación que cubre todas las facetas exigibles en protección de datos personales, ya que en su momento fueron detectadas deficiencias importantes en cuanto al manejo de esta información por parte de la aplicación ofimática. Las deficiencias más importantes detectadas en la aplicación ofimática se pueden resumir en: • Las contraseñas de acceso al sistema no tienen una caducidad expresa. • Las contraseñas se almacenan en el sistema sin cifrar. • El sistema no establece el período máximo de vigencia de las contraseñas. • En cuanto a la gestión de soportes, no había una autorización expresa para las salidas semanales que se producen para el envío de copias de respaldo y recuperación de contingencias, ni registro de entrada y salida referente al traslado semanal de las copias de respaldo y recuperación de contingencia. • No se indican las acciones concretas que se han de llevar a cabo para el borrado de los datos cuando se pretende la reutilización de la ficha. • No había un registro o archivo de las revisiones y controles que realiza periódicamente el responsable de seguridad. • El sistema no establece un máximo de intentos fallidos de acceso al mismo por parte de los usuarios. • No se podía identificar inequívocamente al personal autorizado a acceder a la sala donde se ubica el fichero Pacientes CMD. • En cuanto el registro de accesos, el sistema no permite establecer un registro de la información exigida relativa a los accesos de los usuarios. Así, se ha estado trabajando durante los dos últimos años en adecuar la nueva aplicación a las necesidades pertinentes para el desempeño de la labor, eminentemente sanitaria y de investigación, con todas las garantías en cuanto a protección de datos personales se refiere. El responsable de seguridad del Centro de Medicina Deportiva se ha encargado de coordinar y controlar las medidas de seguridad definidas en el documento de seguridad, analizar los informes de auditoría y elevar la conclusiones de los mismos al responsable del fichero, controlar directamente los mecanismos de registro de accesos sin que se pueda permitir la desactivación de los mismos, revisar periódicamente la información de control del registro de accesos y elaborar un informe de las revisiones realizadas y los problemas detectados con una periodicidad mensual. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Buenas prácticas 6.11 200 6 ÍNDICE La Comisión de Seguridad en la Información del Hospital Universitario Virgen de la Arrixaca como garante de la Protección de Datos de Carácter Personal (Hospital Virgen de la Arrixaca, Murcia) La Comisión de Seguridad en la Información del Hospital Universitario Virgen de la Arrixaca supone el último paso dado por este centro gestor de asistencia sanitaria en la Región de Murcia a fin de garantizar adecuadamente en el Hospital una política de protección de datos de carácter personal. Como proyecto corporativo en el ámbito de la Consejería de Sanidad y del Servicio Murciano de Salud, se ha decidido aplicar y desarrollar el modelo Europeo de Calidad Total (EFQM) potenciando como principales herramientas los sistemas de información, la tecnología y la gestión por procesos. Alineado con esta realidad, el Hospital Universitario Virgen de la Arrixaca ha diseñado y está implantando la gestión por procesos, en el marco de los Sistemas de Información y Evaluación. Para ello, se ha presentado recientemente el Mapa de procesos de nivel 0 (Macroprocesos), con la diferenciación y especificación de los grandes procesos que constituyen la esencia de su funcionamiento. Desde la Subdirección de Gestión de Sistemas de Información y Evaluación se impulsan y coordinan todas aquellas actuaciones tendentes a asegurar el cumplimiento de la norma- tiva en materia de seguridad y confidencialidad de datos. Por tanto, el Hospital Universitario Virgen de la Arrixaca ya creó en el año 2003 la figura del Coordinador de Seguridad Informática, dependiente del Servicio de Informática, con el propósito de organizar, planificar y adoptar las medidas de seguridad que establece el Reglamento de medidas de seguridad de los ficheros que contengan datos de carácter personal y que la LOPD exige, colaborando con el Responsable del Fichero. La Comisión tiene como funciones principales, entre otras: a. El análisis actual de la seguridad hospitalaria en materia de protección de datos. b. La elaboración de una reglamentación interna de seguridad. c. La implementación de la normativa de seguridad. d. La formación a los responsables de seguridad y de los ficheros y a todo el personal del hospital. e. La preparación de una auditoría en materia de protección de datos y medidas de seguridad. Buenas prácticas 6.12 201 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Recomendaciones sobre la normativa de Protección de Datos de carácter personal y las Historias Clínicas (Colegio de Médicos de Madrid) El Ilustre Colegio Oficial de Médicos de Madrid, consciente de las dudas y complicaciones que conlleva la aplicación e interpretación de la normativa sobre protección de datos de carácter personal y la legislación sobre sanidad específica en esta materia (principalmente la Ley 41/2002, de derechos y obligaciones en materia de documentación clínica y de autonomía del paciente) decidió elaborar unas recomendaciones que ayuden a orientar a los responsables de centros sanitarios y a los facultativos de ejercicio individual. La finalidad de estas recomendaciones es orientar al médico colegiado, de la manera más práctica posible. Es necesaria o, al menos, conveniente la consulta sobre el caso concreto al experto en la materia, pudiendo dirigirse al efecto a la Asesoría Jurídica del Colegio de Médicos de Madrid. Las recomendaciones, elaboradas conforme a la normativa vigente en enero de 2006, se dedican a cinco aspectos esenciales en materia de confidencialidad, archivo y protección de datos de salud: 1) Recomendación del Ilustre Colegio de Médicos de Madrid (ICOMEM) sobre cómo cumplir las obligaciones formales impuestas por la normativa sobre protección de datos de carácter personal. 2) Recomendación del ICOMEM sobre el tratamiento de los datos de salud de los pacientes. 3) Recomendación del ICOMEM sobre la cesión o revelación de datos de salud. 4) Recomendación del ICOMEM sobre las medidas de seguridad a adoptar respecto a los datos de salud contenidos en las historias clínicas. 5) Recomendación del ICOMEM sobre la jubilación o cese en la actividad profesional y los datos de salud de los pacientes. Buenas prácticas 6.13 202 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Diseño y estrategia de implantación de un sistema integrado de información con datos de seguridad alta en Salud Pública (Instituto de Salud Pública de la Comunidad de Madrid) El análisis efectuado puso en evidencia que la situación de los sistemas de información de la Dirección General de Salud Pública y Alimentación y de su órgano técnico científico el Instituto de Salud Pública es compleja, en cuanto que hay muchos ficheros con datos de especial protección, por ser de salud. Desde comienzos de la década de los noventa se han ido incrementando de manera progresiva los ficheros automatizados que han ido facilitando la gestión de los datos que se generan y son necesarios para desarrollar las funciones de Salud Pública. No obstante, con el paso del tiempo las herramientas informáticas utilizadas se han quedado muy escasas, tanto técnica como funcionalmente, de manera que ya no permitían realizar un control óptimo de los datos introducidos. Ante la situación detectada, se elaboró una estrategia cuya idea esencial era unificar el sistema de información del Instituto de Salud Pública. De esta forma de múltiples ficheros conteniendo estructuralmente la misma información, se pasó a un sistema integrado que contempla cada una de las especificidades pero dentro de una estructura de base de datos común. Ninguna de las especificidades hace cambiar la clasificación de seguridad del fichero que en todos los casos maneja información de seguridad alta. Los objetivos estratégicos son los siguientes: 1) Cumplir de manera estricta la legislación sobre protección de datos de carácter personal al aplicar a todos los ficheros incorporados a la base de datos el nivel de seguridad alto. 2) Adaptación de los procedimientos de comunicación de los ficheros con datos de carácter personal a los requisitos legales. 3) Aplicar el principio de calidad a los datos de los ficheros, agilizando la actualización e incorporación de la información, así como la depuración de la información, mediante el cruce de los datos de distintos ficheros. 4) Facilitar el derecho de información a los ciudadanos, simplificando el ejercicio de acceso, rectificación, cancelación y oposición a los datos personales así como impugnación de valoraciones. 5) Establecimiento de garantías de cumplimiento de la obligación de secreto por todas aquellas personas que manejen datos de carácter personal en el ejercicio de sus funciones. 6) Agilizar la gestión de la información en el Instituto de Salud Pública. 7) Propuesta de controles a establecer en el acceso a los datos por cuenta de terceros. 8) Simplificar la tramitación administrativa en cuanto a creación, modificación o supresión de ficheros, que dado el dinamismo en la información de la salud pública, se prevén numerosos. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Buenas prácticas 6.14 203 6 ÍNDICE Seguridad en el desarrollo y preproducción con datos reales en un sistema de información centralizado de gestión de Historias Clínicas (Dirección General de Informática, Comunicaciones e Innovación Tecnológica, Consejería de Sanidad y Consumo de la Comunidad de Madrid) El nuevo sistema de información centralizado de Atención Primaria es un elemento fundamental de la plataforma informática que da soporte a los profesionales sanitarios que prestan sus servicios en las gerencias de Atención Primaria del Servicio Madrileño de Salud. Este sistema incorpora la informatización de las historias clínicas de los pacientes, realiza la programación de las consultas, se utiliza para la generación de prescripciones, recetas y partes de incapacidad, gestión de vacunaciones, y ejecuta otras funciones básicas para facilitar los diferentes servicios que estas áreas deben ofrecer a los usuarios del Servicio Madrileño de Salud. El informe presenta las acciones realizadas en el marco del desarrollo del nuevo sistema de información centralizado de Atención Primaria, con objeto de garantizar la seguridad del sistema, así como asegurar el cumplimiento de los requisitos legalmente exigibles en cuanto a la protección de datos de carácter personal, y muy especialmente, de los datos relativos a la salud de los ciudadanos. Muchos son los beneficios para el ciudadano, ya que permite: • Optimizar la atención recibida, al mejorar la gestión de los procesos y aumentar el tiempo de dedicación a los problemas de salud. • Facilitar por distintos canales los derechos de acceso, rectificación, cancelación y oposición. • Aumentar los niveles de garantía de protección de su derecho a la confidencialidad, disponibilidad e integridad de sus datos sanitarios. • Garantizar la disponibilidad de acceso a la historia clínica por parte de los facultativos de toda la información del paciente en el momento de la atención, independientemente del Centro donde se haya generado. • Facilitar la accesibilidad a los servicios ofertados y garantizar la conservación de la documentación clínica. Un aspecto fundamental en el diseño del nuevo entorno ha sido la seguridad, tanto en relación con la infraestructura (equipos, comunicaciones, etc.), como de las características y funcionalidades del Sistema de Información, así como en lo relativo a la documentación y definición de procedimientos organizativos y de buenas prácticas. En este sentido, se ha desarrollado un proyecto paralelo al propio desarrollo del sistema, para garantizar el cumplimiento de los criterios de seguridad establecidos en la LOPD, así como en su normativa de desarrollo, y también de la normativa vigente en el sector sanitario y en la propia Organización. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Buenas prácticas 6.15 204 6 ÍNDICE Proyecto de Historia clínica compartida (Generalitat Catalunya, Department de Salut) El objetivo principal de la Historia clínica compartida es la mejora de la atención de la salud de los ciudadanos mediante una herramienta que mejore y facilite el trabajo de los profesionales sanitarios al permitir el uso compartido de la información disponible sobre los pacientes entre los centros asistenciales de Cataluña. La Historia clínica compartida de Cataluña tiene que facilitar y potenciar la continuidad asistencial, para mejorar el uso de los recursos informativos y posibilitar que pacientes atendidos en diversos centros no se tengan que someter a exploraciones y procedimientos repetidos. Es necesario ir hacia un modelo único (o común) de accesos a registros informativos de los diversos sistemas de información. La Historia clínica compartida de Cataluña no es la suma de las historias clínicas de los centros sanitarios, sino que tiene que permitir el acceso de forma organizada a la información relevante, respetando los diferentes modelos de historia clínica. confidencialidad, de médicos y pacientes. Es clave que el sistema de identificación del ciudadano sea unívoco. El sistema incluirá requisitos de seguridad y garantizará la trazabilidad de todos los accesos a la Historia clínica compartida. La Historia clínica compartida de Cataluña tendrá como núcleo central a todos los pacientes del sistema sanitario de Cataluña. Inicialmente, dará cobertura a los pacientes de la red sanitaria de utilización pública. El objetivo en una fase posterior es dar soporte a los pacientes del sistema sanitario privado. El ciudadano es el titular de los datos que constan en la historia clínica, y, tendrá que tener acceso a la información disponible sobre su propia salud y la posibilidad de decidir sobre el acceso a esta información por parte de los profesionales que lo atienden. Es importante normalizar la información que se intercambia, para lo cual el sistema presenta unas necesidades de utilización de estándares de integración tecnológica que permiten la comunicación y estándares funcionales. En el modelo de accesos que se desarrolle es indispensable mantener la confianza en aspectos de seguridad y Buenas prácticas 6.16 205 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE 6.17 Adecuación a la LOPD de SaCyL: El reto hacia la seguridad (Gerencia Regional de Salud de Castilla y León) En el año 2003, la Gerencia Regional de Salud de Castilla y León tomó la determinación de acometer este problema desarrollando el Plan de Seguridad Integral del Sistema de Información de la Gerencia Regional de Salud de la Junta de Castilla y León. En él, de forma conjunta para sus Gerencias de Atención Especializada, Gerencias de Atención Primaria, Gerencias de Salud de Área y Servicios Centrales, se realizó un completo análisis de riesgos de activos informáticos y se elaboró un Plan Director de Seguridad que estableció las bases y medidas de seguridad a implantar para garantizar la seguridad de sus sistemas. Desde el primer momento la Gerencia Regional de Salud tomó la determinación de dotar al Sistema Sanitario de Castilla y León de la seguridad y confidencialidad que los pacien- tes demandan, motivo por el cual fue creada la Oficina de Seguridad de la Información cuyo cometido es implantar los procedimientos y medidas de seguridad que se derivaron del Plan Director de Seguridad, siendo prioritario el proceso de adecuación a la LOPD del Servicio Regional de Salud. Desde entonces, la Oficina de Seguridad de la Información ha venido realizando un extenso trabajo en materia de seguridad y de protección de datos de carácter personal, implantando las actuales Políticas de Seguridad de la Gerencia Regional de Salud de Castilla y León, desarrollando un sólido procedimiento de adaptación a la LOPD de Centros Sanitarios y, sobre todo, concienciando a los responsables de los centros de la necesidad de garantizar la confidencialidad de la información sanitaria. Buenas prácticas Ilustración 8: Imagen de campaña “El reto hacia la seguridad” 206 Fuente: Gerencia Regional de Salud de Castilla y León Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Al iniciar el proceso de adecuación a la LOPD se identificó la primera incógnita que debía ser resuelta: ¿quién debía ser el encargado de llevar toda la responsabilidad de implantar y mantener la protección de datos de carácter personal en cada Gerencia? Dentro del proceso de adecuación a la LOPD de cualquier organismo público, se distinguieron cuatro fases claramente diferenciadas: 1) Fase teórico-normativa, cuyas implicaciones son puramente administrativas y que se realiza de forma transparente para los usuarios de los ficheros, en la cual se identifican todos los ficheros de carácter personal de la Gerencia. 3) Fase de formación, en la que se informa a los usuarios de los ficheros de carácter personal del trabajo realizado, de la necesidad de garantizar la confidencialidad en el uso de la información confidencial, y de cómo los trabajadores de la Gerencia pueden y deben colaborar en el cumplimiento de la normativa de protección de datos de carácter personal. 4) Fase de seguimiento, una vez finalizada la adecuación a la LOPD de la Gerencia, debe realizarse para garantizar que se han implantado las medidas de seguridad identificadas, no han aparecido posibles nuevos ficheros, etc. Buenas prácticas 2) Fase de adecuación, en la que se definen las características de cada fichero, se elabora el Documento de Seguridad, se identifican las deficiencias respecto a los requerimientos de la LOPD y se proponen las medidas de seguridad a implantar para su subsanación. 207 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Procedimiento de anonimización de pacientes al ingreso (Hospital Virgen del Camino, Pamplona) El Hospital Virgen del Camino de Pamplona, tras informatizar en el año 1992 la gestión administrativa de los pacientes, decidió implantar, como medida de mejora, la supresión temporal de los datos nominales de aquellos pacientes ingresados que así lo solicitasen. La decisión se adoptó en base al artículo 10.3 de la Ley General de Sanidad. Cuando un/a ciudadano/a ingresa en el Hospital Virgen del Camino puede solicitar ser “anónimo”, por lo que el Servicio de Admisión sustituye temporalmente en el programa informático de gestión administrativa (Host) el nombre y apellidos del titular por “paciente sin identificar” (conservando, sin embargo, para su identificación inequívoca el número de historial, el número de la seguridad social, el número de tarjeta sanitaria individual, etc.). Con ello se garantiza la identificación del titular, pero ésta se realiza con datos que no comprometen su anonimato ante terceros. Desde este momento, aparecerá como “paciente sin identificar” (sin sus datos nominales) en los puntos de información, en su Historia Clínica Informatizada, control de enfermería, peticiones al laboratorio, partes quirúrgicos... Como medida de seguridad se le coloca al paciente una pulsera identificativa con su número de historia clínica. Al ser dado de alta, el programa informático de admisión y, a través de él, su Historia Clínica Informatizada recupera el nombre y apellidos del titular. Cualquier ciudadano adulto puede solicitar esta medida directamente en el Servicio de Admisión del Hospital (o a través del Servicio de Atención al Paciente, de Trabajo Social, etc.) y éste la ejecutará en el momento sin preguntar al solicitante el motivo de la petición ni registrar ésta en lugar alguno. Implantación Esta medida fue implantada en el año 1993. Posteriormente, en el año 2000, con la progresiva implantación de la Historia Clínica Informatizada como herramienta de trabajo clínico para los facultativos del hospital, esta actuación se ha hecho más eficaz, ya que permite el anonimato no sólo en los puntos de información, sino también en todo el proceso asistencial. Estado actual El Servicio de Admisión no pide explicaciones al peticionario, pero se sabe que la mayor parte de las solicitudes las realizan pacientes ingresadas en el Servicio de Obstetricia con medidas especiales de custodia de la intimidad por ser víctimas de violaciones, madres dispuestas a dar a su hijo recién nacido en adopción, madres adolescentes, o son peticiones tramitadas por Trabajo Social por problemas de agresiones, conflictividad social, etc. En otros casos, las motivaciones son de carácter personal y no trascienden al personal administrativo que ejecuta la acción. Buenas prácticas 6.18 208 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Reglamento de uso de la Historia Clínica en el Hospital (Hospital de Cruces, Bilbao) El reglamento tiene como objetivo regular todos aquellos aspectos concernientes al uso de la Historia y que pueden incidir en las distintas misiones que ésta puede cumplir. Quedan obligados al cumplimiento de las normas todas las personas que de una manera u otra, con un objetivo u otro, utilicen los soportes de información clínica aludidos y sea cual fuere su categoría profesional o su relación contractual con el Hospital. Confidencialidad de la Historia Clínica y responsabilidades • • • La información de la Historia Clínica es de carácter confidencial y cada profesional de forma individualizada, así como la institución de forma global tienen la obligación de garantizar el derecho fundamental del enfermo a su intimidad personal y familiar. A su vez, los profesionales u órganos que trabajan recopilando y procesando datos personales e información clínica contenida en la Historia Clínica, o de manera directa e indirecta tengan acceso a ésta, están sujetos al mismo deber de secreto que los profesionales sanitarios. Las normas de confidencialidad son independientes del tipo documental que recoge la información clínica; es decir, soporte papel, magnético u otras tecnologías futuras. • La obligación de secreto subsiste aun después de finalizar la relación con el enfermo, con el servicio o con la institución correspondiente. • Se tendrán en cuenta medidas de seguridad específicas para garantizar la confidencialidad, seguridad e integridad de los datos siempre que se utilicen ficheros de Historia Clínica o se pongan en marcha programas de recogida de información, almacenamiento y recuperación de datos clínicos. • La Dirección del centro sanitario es la responsable de velar para que las medidas de confidencialidad y deber de secreto se cumplan. • Los profesionales en el ejercicio de la práctica clínica tienen la obligación de denunciar la falta de medidas de seguridad o uso indebido de la información clínica cuando conozcan prácticas que atenten contra el deber de confidencialidad en el uso y manejo de la Historia Clínica. • Todos estos conceptos están amparados por la normativa actual (Ley Orgánica 10/1995 del Código Penal). Cuando se detecte una violación de la confidencialidad y seguridad de la información clínica, la Dirección del centro procederá a esclarecer las circunstancias a fin de que se depuren las posibles responsabilidades de acuerdo con la legislación vigente. Buenas prácticas 6.19 209 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Protocolo de destrucción de documentos en soporte papel (Hospital Central de la Cruz Roja San José y Santa Adela, Madrid) El Hospital, de acuerdo con la normativa vigente y en su empeño de llevar a cabo un código de buenas prácticas, ha establecido un protocolo para asegurar que la documentación generada en el Centro, cuando ya no sea necesaria, quede destruida y no tenga acceso a ella personal no autorizado. Este protocolo será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de esos datos por los sectores público y privado. Objetivo El fin es garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, de su honor e intimidad personal y familiar. Para ello se plantea: • Definir los responsables de resolver las dudas sobre la documentación que puede ser confidencial. • Establecer un mecanismo para la destrucción de la documentación que se considera confidencial. • Fijar la localización de los contenedores de destrucción confidencial de documentos. Responsabilidades • Jefes de Servicio/Sección/Responsables de Unidades/Supervisores/as: Garantizar la correcta destrucción o eliminación de la documentación confidencial, supervisar las retiradas de documentos confidenciales. • Consultor de documentación confidencial: Atender y resolver las dudas que se planteen sobre el carácter confidencial de los documentos. • Consultor de documentación administrativa: responsable de informática. • Consultor de documentación clínica: responsable de admisión. • Dirección del Hospital: Poner los medios necesarios para poder desarrollar adecuadamente el procedimiento de destrucción de documentación; revisar anualmente la implantación del mismo y favorecer el despliegue de las acciones de mejora que se deriven de su evaluación; estudiar las propuestas del grupo de trabajo. Buenas prácticas 6.20 210 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 6 ÍNDICE Sistema de actuación a seguir en el Hospital ante la solicitud de documentación clínica por parte de los ciudadanos y responsabilidades del Hospital (Hospital Clínico San Carlos, Madrid) misma haga constar el tipo de documento clínico requerido, especificando los datos que recuerde de la asistencia sanitaria (fecha, servicio, asistencia prestada en consulta externa, urgencias, ingreso, etc.) El procedimiento tiene como objeto establecer el sistema de actuación a seguir en el Hospital Clínico San Carlos ante la solicitud escrita de documentación clínica por parte del paciente, familiar o representante legal, y definir las responsabilidades de los profesionales y ciudadanos en esta materia. El procedimiento alcanza desde la solicitud escrita de la documentación clínica por parte del paciente, familiar o representante legal hasta la entrega de la documentación al solicitante y/o, en su caso, archivo del expediente. Si un paciente o usuario desea solicitar Documentación Clínica deberá tener presente las siguientes recomendaciones: • • El Servicio de Atención al Usuario del Hospital Clínico San Carlos le facilitará una solicitud normalizada para su debida cumplimentación. En este Servicio le informarán y asesorarán de los trámites precisos, documentación necesaria, etc. • La tramitación de su solicitud y por consiguiente la entrega de la documentación clínica requerida se encuentra sometida a un procedimiento administrativo, por lo que no se le podrá entregar en el mismo día. Cuando formule la solicitud le informarán del plazo aproximado de tramitación. • Si su médico le entrega en consulta algún documento, guárdelo, no lo extravíe, pues pudiera serle de gran utilidad en el futuro. • Recuerde que en ocasiones es mucho más útil y de mayor valor clínico por ejemplo el Informe radiológico que la propia imagen o placa de RX. Con motivo de agilizar y facilitar la adecuada tramitación de su solicitud resulta conveniente que en la Buenas prácticas 6.21 211 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Conclusiones y reflexiones finales Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 7 7 ÍNDICE Las sustanciales diferencias entre los modelos de gestión existentes en el ámbito de la atención primaria y especializada se evidencian por las claras discrepancias en los resultados de las encuestas realizadas, cuando se analizan por separado los resultados obtenidos en el ámbito de los hospitales y los correspondientes a los centros de salud y consultorios, especialmente en el ámbito de los centros de titularidad pública. Mientras que la media de resultados satisfactorios obtenidos en las contestaciones a las preguntas planteadas en las encuestas se eleva a un 79,90% en el ámbito hospitalario, este porcentaje desciende a un 55,88% en los centros de salud y a un 48,12% en los consultorios. La asunción centralizada de las obligaciones que impone la normativa de protección de datos por parte de las gerencias de atención primaria (por ejemplo en el ámbito de la Comunidad de Madrid), evidencia que en muchos casos se ha contestado de forma desfavorable a determinadas cuestiones planteadas en la encuesta, cuando el interlocutor ha sido directamente el centro de salud o un consultorio, dado que desconocen que esa obligación analizada se cumple de forma centralizada para todos los centros, desde el órgano superior encargado de su coordinación. Esa misma situación es trasladable a muchos otros ámbitos geográficos del territorio español. Una de las primeras reflexiones que deberíamos plantear, como consecuencia de los resultados obtenidos y de la si- tuación organizativa comentada anteriormente, es que la centralización del cumplimiento de las obligaciones, aunque asegura un mayor respeto al derecho fundamental a la protección de datos por parte de los centros del ámbito de la atención primaria del que se refleja en el análisis estadístico, produce un marcado desconocimiento de la situación real por parte de los profesionales que prestan servicios en esos centros. No obstante, debemos considerar de manera global el nivel de cumplimiento y respeto al derecho fundamental a la protección de datos más cercano al 80%, obtenido como reflejo de las encuestas en el ámbito de la atención hospitalizada, que al aprobado raspado que se obtiene en el ámbito de la atención primaria. La apuesta por un modelo de cumplimiento de la normativa de protección de datos de forma centralizada, aunque produce claros beneficios en materia de economías de escala, produce un distanciamiento importante del conocimiento del derecho fundamental a la protección de datos por parte de los profesionales sanitarios que se encuentran en la primera línea de la actividad asistencial. Como segunda reflexión, aunque los resultados de las encuestas manifiestan que existe un importante nivel de conocimiento en la materia, debería reforzarse este aspecto. Sólo a través del conocimiento por parte de los profesionales sanitarios de la existencia del derecho fundamental a la protección de datos es posible conseguir y asegurar su respeto y el cumplimiento de las obligaciones que nos impone. También desde un punto de vista general debe considerarse la relevancia de los tratamientos de datos realizados en el ámbito sanitario, afectando con carácter general a datos considerados como especialmente protegidos, lo que supone un nivel de exigencia mayor para el respeto al derecho fundamental a la protección datos. El tratamiento de datos Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Conclusiones y reflexiones finales Del análisis global de los datos obtenidos como resultado de las encuestas realizadas y, con carácter previo a la obtención de reflexiones específicas sobre cada uno de los apartados objeto de estudio, tenemos que considerar la asunción de responsabilidades en materia de protección de datos en el ámbito sanitario español. 213 7 ÍNDICE En el escenario en que se desarrollan los tratamientos de datos especialmente protegidos en el ámbito sanitario, alcanzar un nivel de cumplimiento cercano al 80% en el ámbito de la atención especializada demuestra una clara implicación por parte de los responsables de los tratamientos, que han asumido la necesidad de cumplir los mandatos establecidos por la normativa de protección de datos. Esta actitud, volviendo a la comparación entre los datos obtenidos en el ámbito de la atención especializada y primaria, demuestra que no obstante, en determinados aspectos, los profesionales asistenciales están centrados en el ejercicio de la atención al paciente y usuario, decayendo en ocasiones la consideración de otros aspectos en el tratamiento de los datos personales, como son el poder de control sobre los mismos en que se concreta el derecho fundamental a la protección de datos. Esta especial dificultad en la implantación de las obligaciones impuestas por la normativa de protección de datos ha llevado, en determinados momentos y desde determinados sectores, a plantear la necesidad de la existencia de una norma específica para regular los tratamientos de datos de carácter personal en el ámbito sanitario, tratando de armonizar el respeto a los derechos de los pacientes o usuarios con determinadas actuaciones que se desarrollan en la práctica sanitaria. Es necesario reconocer que el cumplimiento de la normativa de protección de datos (y muchos derechos reconocidos en la normativa sectorial sanitaria posterior a la entrada en vigor de la LOPD) en el ámbito sanitario supone el cambio radical de determinados tratamientos de datos que se han venido realizando de forma tradicional pero, aún siendo conscientes de esta complejidad, no parece un argumento suficiente para promover un desarrollo normativo específico sobre la materia. En la labor de implantación de las obligaciones impuestas por la normativa de protección de datos en el sector sanitario, vistos los resultados obtenidos de las encuestas realizadas, es destacable el alto nivel de establecimiento de procedimientos específicos para determinadas acciones a realizar. El 69,3 % de los centros encuestados manifiestan que poseen un procedimiento para facilitar la revocación del consentimiento prestado por el interesado, cuando éste es necesario, para el tratamiento de sus datos. Más de un 80% como media de los centros de atención especializada cuentan con un procedimiento para facilitar y agilizar el ejercicio de derechos por parte del interesado en materia de acceso a sus datos. Desde una perspectiva objetiva del análisis del cumplimiento de la LOPD, debe considerarse que el ejercicio de derechos supone la vía directa en que se concreta el poder de control del interesado sobre los tratamientos de sus datos personales en que consiste el derecho fundamental a la protección de datos. En relación con el respeto a la confidencialidad de los datos que en muchas ocasiones se confunde con el contenido del derecho a la protección de datos, cuando éste es sólo uno de los muchos aspectos en que se manifiesta, destaca el alto grado de implantación de los sistemas de limitación de acceso a la información, tanto a través de sistemas de gestión de contraseñas así como con la implantación de medidas de control de acceso físico a los datos. En este aspecto también destaca la existencia de un 75% de centros en los Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Conclusiones y reflexiones finales sensibles supone una mayor complejidad para su legitimación a través de la necesidad de recabar el consentimiento del interesado, de forma expresa y preferentemente con constancia por escrito (al objeto de poder acreditarlo cuando sea requerido) en aquellos supuestos en que sea necesario. A este respecto, hay que considerar que, con carácter general y salvo casos específicos, para el tratamiento de datos personales para la prestación de asistencia sanitaria existe, en la propia legislación de protección de datos y en las regulaciones sanitarias una habilitación especial que exime de la necesidad de obtener el consentimiento. 214 7 ÍNDICE La implantación de procedimientos, no solo en aspectos relacionados con la seguridad de los datos, constituye la mejor vía para garantizar el tratamiento adecuado de los datos de carácter personal. Analizando los datos según la distribución geográfica de los centros encuestados, se observa un mejor cumplimiento, con carácter general, en aquellas zonas en que existe una autoridad de control en el ámbito autonómico. Esta situación es posible se produzca por la proximidad del órgano de control a los centros sanitarios y sus órganos de responsabilidad, así como por las actuaciones en materia de divulgación y asesoramiento que realizan las Agencias autonómicas de protección de datos. Como contrapunto a esta reflexión, la encuesta también manifiesta un mayor grado de cumplimiento en el ámbito privado que en los centros dependientes del sector público. La razón de esta última diferencia puede fundamentarse, en determinados casos, en la diferencia de volumen de muchos de los centros sanitarios públicos y privados, así como el mayor poder coercitivo del régimen sancionador previsto en la LOPD, mediante sanciones económicas a los responsables de carácter privado. Un aspecto analizado en la encuesta realizada y que ha descubierto un menor nivel de implantación en los centros asistenciales, es la no existencia de un Sistema de Gestión de la Seguridad de la Información, así como de un Plan de Continuidad para la actividad. Aunque los datos obtenidos al analizar de forma individualizada algunas de las medidas de seguridad que impone el Reglamento de Desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21 de diciembre, revelan un considerable nivel de cumplimiento de implantación de las mismas, se evidencia una falta de consideración de la adopción de medidas de seguridad de una forma más completa y coordinada que garanticen un normal funcionamiento de los tratamientos de datos en caso de incidencias. Conclusiones y reflexiones finales que existe un procedimiento específico para la destrucción de documentos, alcanzándose un porcentaje del 92,2% en los centros de atención especializada. 215 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Recomendaciones Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español 8 8 ÍNDICE 8.1 Recomendaciones a usuarios pacientes • • Promoción del ejercicio de los derechos que les reconoce la legislación vigente en materia de protección de datos, así como la legislación sanitaria en materia de derechos y obligaciones en relación a la documentación clínica y su capacidad de autonomía. de los mismos a través del ejercicio del derecho de acceso. • Confianza en los tratamientos de datos realizados por los centros e instituciones sanitarias y control Confianza en los tratamientos de datos realizados con fines no estrictamente asistenciales (docencia, investigación, etc.), al ser herramientas imprescindibles para el desarrollo de las ciencias de la salud y la continua mejora de la asistencia. 8.2 Recomendaciones a profesionales de la salud • Concienciación del nuevo rol asumido por los pacientes, titulares de derechos que deben ser respetados y sujetos activos en la relación asistencial, con capacidad de autonomía para la toma de decisiones que afectan a su salud. de diferentes profesionales, instituciones o centros sanitarios. Rechazo de actitudes de aislamiento y ocultación de información. • Formación específica en la materia de la protección de datos de carácter personal, en particular, en los aspectos específicos que se deben considerar al tratar datos especialmente protegidos. Asunción de la consideración de la actividad asistencial como un todo integrado por las actuaciones 8.3 Recomendaciones a centros sanitarios • Generación de confianza del usuario en el sistema sanitario a través del respeto de los derechos de los pacientes y usuarios. • Implantación de procedimientos que faciliten a los usuarios y pacientes el conocimiento y ejercicio de sus derechos. • Definición y establecimiento de procedimientos que definan funciones y responsabilidades del personal que intervenga en el tratamiento de datos de carácter personal. • Asunción de la protección de datos como un elemento indispensable que se debe integrar en el ejercicio de las funciones que se desarrollan en los centros y servicios sanitarios y como un parámetro de calidad en los servicios prestados. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Recomendaciones • 217 8 ÍNDICE • Creación de una infraestructura material, dentro de su organización, encaminada al proceso continuo de implantación y verificación del cumplimiento de la normativa de protección de datos. • Puesta en marcha de acciones sistemáticas de formación y concienciación de todos los profesionales de la sanidad y del personal administrativo y de servicios que desarrollan su actividad en los centros sanitarios sobre sus obligaciones en relación con la privacidad de los pacientes y los derechos de los mismos. 8.4 Recomendaciones a Administraciones Públicas • Análisis de las situaciones que se plantean en el desarrollo de la actividad sanitaria, promoviendo la elaboración y aprobación de normas generales que faciliten la implantación de procedimientos respetuosos y garantistas con los derechos de los pacientes. • Consideración de la materia de la protección de datos como un parámetro esencial en el diseño de sistemas o circuitos de información que traten datos personales. • Asistencia directa a los interesados que planteen cualquier consulta, denuncia o solicitud de tutela de sus derechos, tratando de dar la máxima difusión a sus actuaciones, para un mejor conocimiento por toda la población de sus derechos y obligaciones. • Colaboración con las administraciones e instituciones sanitarias para analizar su problemática específica en el tratamiento de datos personales, proponiendo soluciones equilibradas que garanticen tanto el derecho a una asistencia sanitaria de calidad como el respeto al derecho fundamental a la protección de datos personales. • Asesoramiento continuo a los centros e instituciones sanitarias y sus profesionales, al objeto de concienciarles de la necesidad del cumplimiento de la legislación como garantía para la mejora de la confianza de los usuarios en el sistema sanitario. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Recomendaciones 8.5 Recomendaciones a organismos reguladores 218 ÍNDICE Anexo I: Bibliografía Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Agencia de Protección de Datos de la Comunidad de Madrid (2008). Protección de datos personales para Servicios Sanitarios Públicos. Sociedad Española de Informática de la Salud (2008). Seguridad de la Información en Entornos Sanitarios. • Directiva 1995/46/CE, de 24 de octubre, del Parlamento y del Consejo, sobre Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. • Ley 41/2002, de 14 noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. • Ley 16/2003, de 28 mayo, de cohesión y calidad del Sistema Nacional de Salud. • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13/12/1999, de protección de datos de carácter personal. • Ley 14/2007, de 3 julio, Regula la investigación biomédica. • Ley 29/2006, de 26 julio, Garantías y uso racional de los medicamentos y productos sanitarios. • Ley 44/2003, de 21 noviembre, Ordenación de las profesiones sanitarias. • Ley 14/1986, de 25 abril, General de Sanidad. • Convenio para la protección de los derechos humanos y la dignidad del ser humano con respecto a las aplicaciones de la Biología y la Medicina. Anexo I / Bibliografía Legislación: 220 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Anexo II: Índices Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Gráfico 14: Formación sobre protección de datos del personal de atención al público, segmentación geográfica (suma de Conoce de forma general los derechos de las personas cuyos datos se recaban y Dispone de un conocimiento profundo de la normativa sobre protección de datos) (%)...............................................55 Gráfico 1: Soporte de los ficheros con datos personales (%)............................................42 Gráfico 2: Soporte de los ficheros con datos personales, segmentación por tipo de centro (%)...............................................43 Gráfico 3: Soporte de los ficheros con datos personales, segmentación por dependencia patrimonial (%)....................... 44 Gráfico 4: Declaración de ficheros en la Agencia de Protección de Datos (%)........................ 45 Gráfico 5: Declaración de ficheros en la Agencia de Protección de Datos, segmentación por tipo de centro (%)..................................46 Gráfico 6: Declaración de ficheros en la Agencia de Protección de Datos, segmentación geográfica (suma de Sí, en la Agencia Estatal y Sí, en la Agencia autonómica) (%).. 47 Gráfico 7: Centros sanitarios con ficheros inventariados (%)........................................48 Gráfico 18: Existencia de la figura de coordinador o responsable de protección de datos, segmentación geográfica (%)...................... 59 Gráfico 8: Centros sanitarios con ficheros inventariados, segmentación por tipo de centro (%)...............................................49 Gráfico 19: Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes (%)....................................61 Gráfico 9: Centros sanitarios con ficheros inventariados, segmentación por dependencia patrimonial (%)....................... 50 Gráfico 20: Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes, segmentación por tipo de centro (%)........................................62 Gráfico 21: Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes, segmentación por dependencia patrimonial (%)....................... 63 Gráfico 22: Existencia de cláusulas informativas en los impresos de recogida de datos de los pacientes, segmentación geográfica (%).............................................64 Gráfico 11: Formación sobre protección de datos del personal de atención al público (%)...... 52 Gráfico 12: Formación sobre protección de datos del personal de atención al público, segmentación por tipo de centro (%).......... 53 Gráfico 13: Formación sobre protección de datos del personal de atención al público, segmentación por dependencia patrimonial (%)............................................54 Gráfico 16: Existencia de la figura de coordinador o responsable de protección de datos, segmentación por tipo de centro (%).......... 57 Gráfico 17: Existencia de la figura de coordinador o responsable de protección de datos, segmentación por dependencia patrimonial (%)............................................58 Gráfico 23: Modo de información sobre el sistema de videovigilancia (%).................................65 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Anexo II / Índice de gráficos Gráfico 10: Centros sanitarios con ficheros inventariados, segmentación geográfica (%)... 51 Gráfico 15: Existencia de la figura de coordinador o responsable de protección de datos (%)... 56 222 Gráfico 24: Modo de información sobre el sistema de videovigilancia, segmentación por tipo de centro (%)........................................66 Gráfico 38: Existencia de procedimiento para la solicitud de consentimiento en casos de investigaciones clínicas (%)................... 82 Gráfico 25: Modo de información sobre el sistema de videovigilancia, segmentación por dependencia patrimonial (%)....................... 67 Gráfico 39: Existencia de procedimiento para la solicitud de consentimiento en casos de investigaciones clínicas, segmentación por tipo de centro (%)..................................83 Gráfico 40: Existencia de procedimiento para l a solicitud de consentimiento en casos de investigaciones clínicas, segmentación por dependencia patrimonial (%)................ 84 Gráfico 41: Existencia de procedimiento para la solicitud de consentimiento en casos de investigaciones clínicas, segmentación geográfica (%).............................................85 Gráfico 26: Existencia de carteles informativos (%)...... 68 Gráfico 27: Existencia de carteles informativos, segmentación por tipo de centro (%).......... 69 Gráfico 28: Existencia de carteles informativos, segmentación por dependencia patrimonial (%)............................................70 Gráfico 29: Existencia de carteles informativos, segmentación geográfica (%)...................... 71 Gráfico 30: Solicitud de consentimiento (%).................. 74 Gráfico 31: Solicitud de consentimiento, segmentación por tipo de centro (%).......... 75 Gráfico 32: Solicitud de consentimiento, segmentación por dependencia patrimonial (%)............................................76 Gráfico 33: Solicitud de consentimiento, segmentación geográfica (suma de Siempre y A menudo) (%)...........................77 Gráfico 34: Existencia de procedimiento para la revocación del consentimiento (%).......... 78 Gráfico 35: Existencia de procedimiento para la revocación del consentimiento, segmentación por tipo de centro (%).......... 79 Gráfico 36: Existencia de procedimiento para la revocación del consentimiento, segmentación por dependencia patrimonial (%)............................................80 Gráfico 37: Existencia de procedimiento para la revocación del consentimiento, segmentación geográfica (%)...................... 81 Gráfico 42: Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones (%)...................... 86 Gráfico 43: Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones, segmentación por tipo de centro (%)..................................87 Gráfico 44: Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones, segmentación por dependencia patrimonial (%)................ 88 Gráfico 45: Existencia de controles en la recogida de datos de la Historia Clínica en los casos de investigaciones, segmentación geográfica (suma de Siempre y A menudo) (%)..........................................89 Gráfico 46: Existencia de herramientas o procedimientos de anonimización de datos (%)................................................90 Gráfico 47: Existencia de herramientas o procedimientos de anonimización de datos, segmentación por tipo de centro (%)...............................................91 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Anexo II / Índice de gráficos ÍNDICE 223 ÍNDICE Existencia de herramientas o procedimientos de anonimización de datos, segmentación por dependencia patrimonial (%)............................................92 Gráfico 59: Procedimiento para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos, segmentación por tipo de centro (%)........ 106 Gráfico 49: Existencia de herramientas o procedimientos de anonimización de datos, segmentación geográfica (%)...... 93 Gráfico 60: Procedimiento para el ejercicio de los derechos ARCO, segmentación por dependencia patrimonial (%).............. 107 Gráfico 50: Recogida de datos estrictamente necesarios para la finalidad de uso (%)...... 95 Gráfico 61: Procedimiento para el ejercicio de los derechos ARCO, segmentación geográfica (%)...........................................108 Gráfico 51: Recogida de datos estrictamente necesarios para la finalidad de uso, segmentación por tipo de centro (%).......... 96 Gráfico 52: Recogida de datos estrictamente necesarios para la finalidad de uso, segmentación por dependencia patrimonial (%)............................................97 Gráfico 53: Recogida de datos estrictamente necesarios para la finalidad de uso, segmentación geográfica (%)...................... 98 Gráfico 54: Verificación de la corrección y actualización de los datos (%).................. 99 Gráfico 55: Verificación de la corrección y actualización de los datos, segmentación por tipo de centro (%)........ 100 Gráfico 62: Procedimiento de regulación del acceso a los datos del historial clínico por el titular (%)..............................109 Gráfico 63: Procedimiento de regulación del acceso a los datos del historial clínico por el titular, segmentación por tipo de centro (%)................................ 110 Gráfico 64: Procedimiento de regulación del acceso a los datos del historial clínico por el titular, segmentación por dependencia patrimonial (%).............. 111 Gráfico 65: Procedimiento de regulación del acceso a los datos del historial clínico por el titular, segmentación geográfica (%)........................................... 112 Gráfico 56: Verificación de la corrección y actualización de los datos, segmentación por dependencia patrimonial (%)..........................................101 Gráfico 57: Verificación de la corrección y actualización de los datos, segmentación geográfica (Sí, existe un procedimiento específico) (%).............. 102 Gráfico 67: Anotaciones subjetivas de los médicos en las historias clínicas que entrega a los pacientes, segmentación por tipo de centro (%)............................................. 115 Gráfico 58: Procedimiento para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos (derechos ARCO) (%)........... 105 Gráfico 68: Anotaciones subjetivas de los médicos en las historias clínicas que entrega a los pacientes, segmentación por dependencia patrimonial (%)..................... 116 Gráfico 66: Anotaciones subjetivas de los médicos en las historias clínicas que entrega a los pacientes (%).................................... 114 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Anexo II / Índice de gráficos Gráfico 48: 224 ÍNDICE Anotaciones subjetivas de los médicos en las historias clínicas que entrega a los pacientes, segmentación geográfica (suma de Siempre y A menudo) (%)......... 117 Gráfico 82: Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE), segmentación por tipo de centro (%)................................132 Gráfico 70: Conocimiento del deber de secreto sobre los datos personales (%)................. 118 Gráfico 83: Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE), segmentación por dependencia patrimonial (%).............. 133 Gráfico 84: Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE), segmentación por geográfica (Cada profesional accede a la HC de los pacientes con los que tiene relación asistencial) (%)..........................................134 Gráfico 71: Conocimiento del deber de secreto sobre los datos personales, segmentación por tipo de centro (%)........ 119 Gráfico 72: Conocimiento del deber de secreto sobre los datos personales, segmentación por dependencia patrimonial (%).............. 120 Gráfico 73: Limitación de accesos (%)........................ 122 Gráfico 74: Limitación de accesos, segmentación por tipo de centro (%)...............................123 Gráfico 75: Limitación de accesos, segmentación por dependencia patrimonial (%).............. 124 Gráfico 76: Limitación de accesos, segmentación geográfica (Sí, y además existen controles para evitar accesos no autorizados) (%)...................................125 Gráfico 77: Procedimiento de gestión de contraseñas (%)...................................126 Gráfico 78: Procedimiento de gestión de contraseñas, segmentación por tipo de centro (%)................................127 Gráfico 79: Procedimiento de gestión de contraseñas, segmentación por dependencia patrimonial (%).............. 128 Gráfico 80: Procedimiento de gestión de contraseñas, segmentación geográfica (%)...........................................129 Gráfico 81: Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE) (%)...............................131 Gráfico 85: Control de acceso físico a las instalaciones donde se encuentran los sistemas de información (%)............... 135 Gráfico 86: Control de acceso físico a las instalaciones donde se encuentran los sistemas de información, segmentación por tipo de centro (%)........ 136 Gráfico 87: Control de acceso físico a las instalaciones donde se encuentran los sistemas de información, segmentación por dependencia patrimonial (%)..........................................137 Gráfico 88: Control de acceso físico a las instalaciones donde se encuentran los sistemas de información, segmentación geográfica (Suma de El acceso está restringido y El acceso está restringido y existen herramientas de control de accesos) (%)........................ 138 Gráfico 89: Existencia de Documento de Seguridad (%)...........................................139 Gráfico 90: Existencia de Documento de Seguridad, segmentación por tipo de centro (%).............................................140 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Anexo II / Índice de gráficos Gráfico 69: 225 ÍNDICE Gráfico 92: Existencia de Documento de Seguridad, segmentación geográfica (%)...........................................142 Gráfico 93: Existencia de Responsable de Seguridad (%)......................................143 Gráfico 94: Existencia de Responsable de Seguridad, segmentación por tipo de centro (%)......................................144 Gráfico 95: Existencia de Responsable de Seguridad, segmentación por dependencia patrimonial (%)..................... 145 Gráfico 96: Existencia de Responsable de Seguridad, segmentación geográfica (%)...........................................146 Gráfico 103: Existencia de un procedimiento para la destrucción de documentos con datos de carácter personal, segmentación por dependencia patrimonial (%)..........................................154 Gráfico 104: Existencia de un procedimiento para la destrucción de documentos con datos de carácter personal, segmentación geográfica (%).................... 155 Gráfico 105: Procedimiento de notificación, gestión y respuesta a incidencias (%)....... 156 Gráfico 106: Procedimiento de notificación, gestión y respuesta a incidencias, segmentación por tipo de centro (%)........ 157 Gráfico 107: Procedimiento de notificación, gestión y respuesta a incidencias, segmentación por dependencia patrimonial (%)..........................................158 Gráfico 97: Procedimiento de realización de copias de respaldo y recuperación (%)..... 147 Gráfico 108: Procedimiento de notificación, gestión y respuesta a incidencias, segmentación geográfica (%).................... 159 Gráfico 98: Procedimiento de realización de copias de respaldo y recuperación, segmentación por tipo de centro (%)........ 148 Gráfico 109: Existencia de un Sistema de Gestión de la Seguridad de la Información (%)...... 160 Gráfico 99: Procedimiento de realización de copias de respaldo y recuperación, segmentación por dependencia patrimonial (%)..........................................149 Gráfico 100: Procedimiento de realización de copias de respaldo y recuperación, segmentación geográfica (%).................... 150 Gráfico 101: Existencia de un procedimiento para la destrucción de documentos con datos de carácter personal (%).......... 152 Gráfico 102: Existencia de un procedimiento para la destrucción de documentos con datos de carácter personal, segmentación por tipo de centro (%)........ 153 Gráfico 110: Existencia de un Sistema de Gestión de la Seguridad de la Información, segmentación por tipo de centro (%)........ 161 Gráfico 111: Existencia de un Sistema de Gestión de la Seguridad de la Información, segmentación por dependencia patrimonial (%)..........................................162 Gráfico 112: Existencia de un Sistema de Gestión de la Seguridad de la Información, segmentación geográfica (%).................... 163 Gráfico 113: Existencia de un Plan de Continuidad de Negocio (%)..........................................164 Gráfico 114: Existencia de un Plan de Continuidad de Negocio, segmentación por tipo de centro (%).............................................165 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Anexo II / Índice de gráficos Gráfico 91: Existencia de Documento de Seguridad, segmentación por dependencia patrimonial (%)..................... 141 226 ÍNDICE Gráfico 115: Existencia de un Plan de Continuidad de Negocio, segmentación por dependencia patrimonial (%)..................... 166 Gráfico 125: Entidades que han sufrido inspección por parte de la Agencia de Protección de Datos (%)...................... 178 Gráfico 116: Existencia de un Plan de Continuidad de Negocio, segmentación geográfica (%)...........................................167 Gráfico 126: Entidades que han sufrido inspección por parte de la Agencia de Protección de Datos, segmentación por tipo de centro (%)................................179 Gráfico 118: Realización de auditorías de seguridad, segmentación por tipo de centro (%)........ 169 Gráfico 119: Realización de auditorías de seguridad, segmentación por dependencia patrimonial (%)..........................................170 Gráfico 120: Realización de auditorías de seguridad, segmentación geográfica (Suma de Sí, al menos cada año, Sí, al menos cada 2 años y Sí, con mayor frecuencia) (%)..........................................171 Gráfico 121: Existencia de un sistema de control de los envíos de datos de pacientes a terceros (%)............................................173 Gráfico 122: Existencia de un sistema de control de los envíos de datos de pacientes a terceros, segmentación por tipo de centro (%).............................................174 Gráfico 123: Existencia de un sistema de control de los envíos de datos de pacientes a terceros, segmentación por dependencia patrimonial (%)..................... 175 Gráfico 127: Entidades que han sufrido inspección por parte de la Agencia de Protección de Datos, segmentación por dependencia patrimonial (%).............. 180 Gráfico 128: Entidades que han sufrido inspección por parte de la Agencia de Protección de Datos, segmentación geográfica (%)...........................................181 Gráfico 129: Entidades que han sido objeto de expediente sancionador por parte de la Agencia de Protección de Datos (%)..............................................182 Gráfico 130: Entidades que han sido objeto de expediente sancionador por parte de la Agencia de Protección de Datos, segmentación por tipo de centro (%)........ 183 Gráfico 131: Entidades que han sido objeto de expediente sancionador por parte de la Agencia de Protección de Datos, segmentación por dependencia patrimonial (%)..........................................184 Gráfico 124: Existencia de un sistema de control de los envíos de datos de pacientes a terceros, segmentación geográfica (%)...........................................176 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español Anexo II / Índice de gráficos Gráfico 117: Realización de auditorías de seguridad (%).......................................168 227 ÍNDICE Tabla 1: Tipos y volumen de los Centros Sanitarios españoles.........................................................25 Tabla 3: Distribución de la muestra y error muestral..... 27 Anexo II / Índice de tablas Tabla 2: Tipos y volumen de centros de atención primaria por CCAA...........................................26 228 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE Ilustración 1: Folletos informativos del proyecto denominado “Adecuación del Hospital General Universitario Reina Sofía a la LOPD”...............................................186 Ilustración 2: Herramienta web de gestión (repositorio único) de usuarios de Atención Primaria....................................190 Ilustración 3: Centro de Soporte del Servicio Andaluz de Salud.....................................191 Ilustración 6: Documentación clínica en Atención Primaria: procedimiento de acceso para uso no asistencial............................196 Ilustración 7: Aplicación HUser.....................................198 Ilustración 8: Imagen de campaña “El reto hacia la seguridad”............................................206 Boletín de Seguridad del Plan de Comunicación en protección de datos para profesionales sanitarios y ciudadanos............................................192 Anexo II / Índice de ilustraciones Ilustración 4: Ilustración 5: Web del Defensor del Paciente............... 195 229 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español ÍNDICE www.inteco.es www.apdcm.es