Deben adoptar medidas correctivas de su política de protección de datos en 6 meses
MADRID, 18 Ene. (EUROPA PRESS) -
Unos 202 centros del catálogo nacional de hospitales deben adoptar "medidas correctivas" en relación con su política de protección de datos del paciente en un plazo de seis meses, después de que la Agencia Española de Protección de Datos (AEPD) detectara deficiencias en el cumplimiento de la Ley de Protección de Datos (LOPD) en el marco de un estudio sobre 600 hospitales públicos y privados.
Así lo ha destacado este martes Jesús Rubí Navarrete, adjunto a la Dirección de la AEPD, durante la jornada sobre el cumplimiento de la LOPD organizada por la Cátedra 'Salud y Excelencia' en Madrid, donde participaron también Mercé Soteras, adjunta a la Dirección General y directora de Calidad de Red Asistencial Juaneda, y el abogado Daniel Craven-Bartle Coll, director jurídico de Proyectos de Áliad.
En concreto, como consecuencia de este análisis --cuyas conclusiones se presentaron el pasado mes de octubre y que incluyó información de 562 de los 654 centros consultados-- 43 hospitales privados que no facilitaron la información requerida tienen "procedimientos abiertos por posible infracción de la LOPD" y también 159 centros públicos, "más del 50 por ciento" de los analizados. Los incumplimientos de la LOPD contemplan sanciones que van de 60.000 a 300.000 euros.
El responsable de la AEPD señala que, entre las irregularidades detectadas, figuran desde la difusión de 11.000 historiales de mujeres que se sometieron a un aborto por culpa de un "mal uso" de las herramientas de trabajo en Internet, hasta el hallazgo de datos de pacientes en contenedores de la vía pública o información que se reveló a un cónyuges para beneficiarle en un proceso de divorcio.
Las conclusiones de este informe revelan "importantes diferencias entre las respuestas de los hospitales públicos y privados", que revela un mayor grado de cumplimiento de la normativa por parte de los centros sanitarios privados frente a los públicos en la mayoría de los conceptos analizados.
UN DOCUMENTO DE SEGURIDAD QUE NO SE CUMPLE
Asimismo, constata la "fuerte externalización" de los servicios que implican el tratamiento de los datos de los pacientes, practicada por el 86 por ciento de estos centros hospitalarios, tanto públicos como privados.
Además, se detecta que, a pesar de que el 98 por ciento de los centros privados y el 83 por ciento de los públicos cuentan con un documento de seguridad (que recoge las políticas de protección de datos), en la práctica estas medidas no están implementadas y se contemplan como un mero requisito formal.
Otro punto débil es que cerca del 40 por ciento de los centros públicos y el 15 por ciento de los privados carecen de un registro de acceso a la información sanitaria y sólo el 55 por ciento de los centros públicos incluye cláusulas informativas en los formularios de recogida de datos, frente al 94 por ciento de los privados.
"El registro de acceso es de capitular importancia, porque recoge quién accede a la información, si acceden o no, cuándo y a qué información están accediendo. Es también vital que estos datos se conserven durante dos años, pues las auditorías son bienales", resalta Rubí.
Por su parte, la adjunta a la Dirección General y directora de Calidad de Red Asistencial Juaneda ha explicado, durante su intervención en esta jornada, su experiencia con la implementación de la LOPD en su red asistencias, con sede en Palma de Mallorca, que cuenta con tres centros hospitalarios y cinco extrahospitararios, donde trabajan más de 800 personas.
LOS PROBLEMAS DE LA LOPD
Según Soteras, entre los problemas que han encontrado para aplicar la ley figuran el gran volumen de datos a manejar, la convivencia aún de los formatos digitales con el papel, el desconocimiento de los pacientes de aspectos "básicos" de esta norma --como las condiciones de acceso de familiares a los datos de un paciente sin su autorización expresa-- y la "terminología compleja" en la que está redactada y que, en muchas ocasiones, induce a la "confusión de conceptos".
A estos problemas se suma que el cumplimiento de esta norma aumenta las reacciones judiciales y extrajudiciales y los costes en la gestión administrativa.
Para adecuarse con éxito a la LOPD, Soteras recomienda pedir ayuda a profesionales cualificados, entender que este proceso "no es sólo cosa de los informáticos" y formar a los profesionales, cada uno en su nivel, sobre los procedimientos a seguir para proteger los datos del paciente. Apuesta también, dice, por informar de que todos esos cambios "no son un capricho de la dirección".
En este sentido, asegura que "le ha funcionado" adherirse al Proyecto Mercurio de Protección de Datos de Áliad, un proyecto que desarrolla el Área Jurídica de Áliad y que se presentará en las próximas semanas para que puedan sumarse al mismo todos los centros sanitarios privados que lo deseen. Según Soteras, de las tres denuncias por incumplir la LOPD que han recibido, ninguna acabó en sanción.