ap_1
LOPD y más
Tratamiento de la información | no sólo cumplir la LOPD

En CIPDI apostamos por abordar el tratamiento de la información desde una perspectiva mucho más amplia que la protección de datos en sí.

Algunas cuestiones importantes.

¿Qué es la protección de datos de carácter personal?

La Ley Orgánica de Protección de Datos (LOPD), en su artículo 3, define el término “datos de carácter personal” como cualquier información concerniente a personas físicas identificadas o identificables.

En el caso del ámbito sanitario, estaríamos hablando de cualquier información relativa a los pacientes y sus familiares, los trabajadores del centro, los alumnos en prácticas, etcétera.

La citada LOPD tiene por objeto garantizar y proteger, en lo relativo al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, de su honor e intimidad personal y familiar.

¿Qué pasos hay que seguir para adaptarse a la legislación?
  1. Dar de alta el fichero en la Agencia Española de Protección de Datos.
  2. Elaboración del Documento de Seguridad.
  3. Cumplir con los protocolos siguientes:
  •  Consentimiento para tratar datos personales.
  •  Listado de accesos.
  • Listado de copias de respaldo y de seguridad.
  • Libro de incidencias.
  • Contratos perimetrales.
  • Implantación de medidas de seguridad adecuadas según el tipo de datos y el tipo de soporte utilizado..
¿Qué es el documento de seguridad?

El Documento de Seguridad es una obligación legal (artículo 88 R.D. 1720/2007).

Se trata de un documento interno del centro en el que se regulan las medidas de seguridad aplicables a toda la información en cualquiera de sus soportes (manual, informático y audiovisual). La falta de documento de seguridad es una infracción grave, tal y como prevé el artículo 44.3 de la LOPD.

El documento de seguridad se ha de mantener siempre actualizado.

¿Qué son los niveles de seguridad?

La ley establece 3 niveles de seguridad:

  • Bajo: nombre, apellidos, dirección, teléfono.
  • Medio: además de los anteriores, se incluyen:
    1. Los relativos a la comisión de infracciones administrativas o penales.
    2. Aquellos cuyo funcionamiento se rija por el artículo 29 de LOPD (solvencia patrimonial).
    3. Aquellos de los que sean responsables administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
    4. Aquellos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
    5. Aquellos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
    6. Aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permita evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
  • Alto:
    1. Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual..
    2. Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas.
    3. Aquellos que contengan datos derivados de actos de violencia de género.

A partir del nivel medio, es obligatorio realizar una auditoría bienal (cada 2 años). Este es el caso de, por ejemplo, los centros sanitarios y los centros docentes).

¿Qué es el registro de Ficheros?

Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento , organización y acceso. Se incluyen los datos contenidos en soporte papel(listados, fichas, historias clínicas no informatizadas…).

Es obligatorio inscribir en el Registro General de ficheros de la Agencia de Protección de Datos los ficheros que contengan datos de carácter personal, independientemente de cuando fueron creados.

En CIPDI apostamos por simplificar los procesos y los costes, cumpliendo siempre con la normativa vigente. Por eso somos partidarios de declarar un único fichero denominado Base de Datos General de Administración (BDGA).

¿Cómo se declaran los ficheros en la Agencia de Protección de Datos?

Los ficheros deben ser inscritos en el Registro General de Protección de Datos a nombre de cada uno de los responsables. Para ello, se deberá cumplimentar el formulario electrónico de Notificaciones Telemáticas a la Agencia Española de Protección de Datos (NOTA). Esta opción del formulario electrónico permite notificar de forma simplificada una serie de ficheros de titularidad privada relacionados con la gestión de clientes, libro recetario de las oficinas de farmacia, historial clínico, nóminas y recursos humanos, etcétera.

Cualquier modificación posterior en el contenido de la inscripción de un fichero en el RGPD, deberá comunicarse a la Agencia Española de Protección de Datos, mediante la solicitud de modificación o de supresión de la inscripción, según corresponda.

La notificación de un nuevo fichero o tratamiento nunca invalida o sustituye a una inscripción previa. Si no se notifica una solicitud de supresión de la inscripción anterior se produciría un duplicado de la inscripción.

¿Cuáles son las consecuencias del incumplimiento de la legislación?

Principalmente las sanciones económicas, que van de los 900 a los 600.000 euros. (Artículo 45 LOPD).

¿Qué es la historia clínica de los pacientes y cuánto tiempo hay que conservarla?

La historia clínica es un conjunto de información relacionada con la salud de una persona física identificada, en un momento dado, en un lugar determinado y en unas circunstancias concretas.

Por lo general, el consultorio o despacho de un profesional (ya sea centro de fisioterapia, consultorio dental, clínica, hospital…) es el lugar apropiado para contener y conservar, de una forma objetiva y segura, la información sanitaria o de salud de una persona.

En cuanto al tiempo de conservación de la historia clínica, debemos tener en cuenta la legislación autonómica que exista en cada Comunidad Autónoma. En caso de no existir, se aplica la ley estatal

La legislación catalana dice que :

De la historia clínica debe conservarse, junto con los datos de identificación de cada paciente, como mínimo durante quince años desde la fecha de alta de cada proceso asistencial, la siguiente documentación:

  • Las hojas de consentimiento informado
  • Los informes de alta
  • Los informes quirúrgicos y el registro de parto.
  • Los datos relativos a la anestesia.
  • Los informes de exploraciones complementarias.
  • Los informes de necropsia.
  • Los informes de anatomía patológica