Día europeo de los derechos de los pacientes. Incidiendo en la protección de datos.
En el año 2002 se elaboró lo que se conoce como la Carta Europea de los Derechos de los Pacientes, basada en la Carta de los Derechos Fundamentales de la Unión Europea del año 2000. El objetivo era proteger los derechos de los pacientes dentro de la disparidad de sistemas nacionales de salud a través de herramientas que consiguieran armonizar y establecer una normativa común.
Aprovechando que desde el año 2006, cada 18 de abril se viene celebrando el Día Europeo de los Derechos de los Pacientes, queremos dedicar este artículo a resaltar la importancia de proteger el derecho a la «privacidad y confidencialidad» sobre su información personal: estado de salud y diagnóstico, exámenes y visitas de especialistas o tratamientos médicos y quirúrgicos en general; para lo que será indispensable contar con un alto grado de ciberseguridad en los sistemas de información. El derecho a la privacidad y confidencialidad es también uno de los 14 derechos de la citada Carta Europea.
Digitalización de historiales clínicos, tratamiento de datos personales en el ámbito sanitario, mensajería a la hora de comunicarse con pacientes, telemedicina o teleasistencia, etc., son sólo alguno de los elementos tecnológicos que forman parte del funcionamiento de este sector, que deben contar con un alto grado de seguridad.
Este tipo de información personal y sensible, ya en la LOPD y ahora en el nuevo Reglamento de Protección de Datos, el RGPD, están considerados como categorías especiales de datos o datos especialmente protegidos. El RGPD será de obligado cumplimiento para todas las empresas que realicen tratamientos de datos personales en la EU o con datos de ciudadanos de la EU, a partir del 25 de mayo de 2018.
En la nueva normativa se incluyen, entre otros, como categorías especiales de datos además de los datos de salud, los que revelen origen étnico o racial, los relativos a vida sexual y orientación sexual, los biométricos para identificar a las personas y los genéticos.
Datos relativos a la salud: datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud.
Datos genéticos: datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de una muestra biológica de tal persona.
Datos biométricos: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.»
La protección de la privacidad de este tipo de datos empieza por informar con claridad y especificidad del tratamiento y por solicitar el consentimiento libre y explícito al paciente, salvo que haya razones de interés general según una ley. Esto quiere decir que no puede ser inferido por el comportamiento del paciente, y ya no sirven las casillas premarcadas ni las condiciones previas ni el silencio o la inacción como métodos válidos para obtener el consentimiento. El derecho al consentimiento es también uno de los citados en la mencionada Carta de Derechos de los Pacientes. Para saber más de cómo informar y obtener el consentimiento consulta la Guía para el cumplimiento del deber de informar de la AEPD.
Medidas como pedir consentimiento a clientes para el tratamiento de datos personales, cumplir el deber de secreto, garantizar su confidencialidad e integridad, no hacer uso particular de los mismos ni transferírselos a terceros serán de obligado cumplimiento por parte del personal que forme parte de la organización, además de ser parte de su código deontológico y ético. Para conocer los requisitos de protección de datos consulta el artículo Primeros pasos para cumplir con el nuevo RGPD.
A nivel tecnológico, se han de:
- evitar accesos no autorizados,
- realizar copias de seguridad,
- seudonimizar y cifrar los datos
- realizar un control del almacenamiento, de los usuarios, de los soportes y del acceso a los datos,
todo ello en base a un análisis de riesgos relativo a la privacidad de los datos.
Para ayudarte a revisar la seguridad de los datos personales de tus pacientes puedes utilizar las políticas, unos checklist de distintos aspectos de la seguridad que incluyen entre otros: clasificación de la información, cifrado, control de acceso, almacenamiento de la información en la nube y en otros dispositivos.
Desde Protege tu Empresa contamos con una formación sectorial en la que a través de una serie de sencillos vídeos, se tratan estos y otros temas relacionados con la ciberseguridad en este sector.
Finalmente queremos destacar que uno de los riesgos más frecuentes en empresas del sector sanitario es la fuga de datos.
Este tipo de incidentes provoca importantes pérdidas de confianza y económicas además de serios daños en la imagen de las empresas que lo sufren, sin importar el sector al que pertenecen. En este vídeo se muestran ocho precauciones básicas que se han de tomar para evitar fuga de información de tu empresa. Por tus pacientes: ¡no dejes que te ocurra!