El administrativo ante las brechas en los accesos a datos: causas y sanciones

Incluido en la revista Ocronos. Vol. V. Nº 11–Noviembre 2022. Pág. Inicial: Vol. V; nº11: 84.2

Autor principal (primer firmante): María Eloina Suárez Álvarez

Fecha recepción: 27 de octubre, 2022

Fecha aceptación: 8 de noviembre, 2022

Ref.: Ocronos. 2022;5(11) 84.2

Autora: María Eloina Suárez Álvarez Auxiliar administrativo en bolsa SESPA

Introducción

La historia clínica es un documento privado con carácter confidencial que sólo puede ser conocido por terceros previa autorización del paciente o en los casos previstos por ley.

Los datos relativos a la salud son considerados sensibles y por tanto especialmente protegidos por la Ley de Protección de Datos y Garantías de los Derechos Digitales (LOPDGDD) y por el Reglamento General de Protección de datos (RGPD o reglamento europeo) y son pocas las excepciones que permiten el acceso a la historia clínica del paciente.

publica-TFG-libro-ISBN

Por esta razón los centros e instituciones sanitarias tienen obligación de implantar medidas y sistemas de seguridad en protección de datos que garantizan la confidencialidad de la información relativa a la salud de los pacientes. Estas medidas serán supervisadas por la Agencia Española de Protección de Datos (AEPD) para verificar su buen funcionamiento.

Para acceder a los datos de un paciente ha de existir vinculación profesional y el acceso es proporcional al nivel de responsabilidad de los diferentes agentes. Por ello el administrativo tiene restringido el acceso a determinados datos y desde su lugar de trabajo tiene acceso a información que ha de preservar de injerencias propias y ajenas no justificadas.

Para poder garantizar la confidencialidad y el respeto a la intimidad es necesario conocer la legislación y las normas existentes y disponer de guías y protocolos al respecto.

La responsabilidad del administrativo en cuanto a la confidencialidad, de no ser respetada, supone vulnerar derechos de los pacientes y puede conllevar la aplicación de sanciones administrativas, civiles o penales.

Es considerada infracción muy grave la vulneración del deber de confidencialidad, pero, además, constituye infracción la falta de aplicación de medidas técnicas y organizativas de seguridad relativas al tratamiento de los documentos (historias en papel o electrónicas o documentos digitales…)

Objetivos

  • Determinar las posibles causas de brechas en el acceso a datos personales y responsables implicados. Organismos de control.
  • Revisar la legislación reguladora de los accesos y las posibles sanciones en caso de acceso indebido.
  • Recordar que el deber de confidencialidad necesita responsabilidad y formación para el administrativo al tratarse de un deber profesional.

Metodología

Para la elaboración del presente artículo se ha llevado a cabo una investigación consistente en una revisión bibliográfica sobre literatura existente. Se ha realizado búsqueda de artículos en Google académico seleccionando los procedentes de publicaciones científicas revisadas. También se han revisado leyes y reglamentos publicados en el BOE Y BOPA. Se han utilizado como palabras clave “acceso indebido”, “documentación clínica”, “historia clínica electrónica”, “sanciones accesos”, “confidencialidad”.

Resultados

La Ley 41/2002 de 14 de noviembre, Ley de Autonomía del Paciente, establece que el acceso a la historia clínica es libre por parte de los profesionales sanitarios, pero exclusivamente en lo relativo a los datos que permitan garantizar una asistencia adecuada al paciente, cuando constituyan “un instrumento fundamental para su adecuada asistencia”.

En el caso de los pacientes (o representantes debidamente acreditados) se reconoce el acceso y la posibilidad de obtener una copia, a excepción de los datos referidos a terceras personas En caso de fallecimiento solo se permitirá a los vinculados al paciente por razones familiares o de hecho, salvo prohibición expresa del mismo.

En caso de riesgo para un tercero, se podrá acceder a los datos estrictamente necesarios, no facilitando información que afecte a la intimidad del paciente, las anotaciones personales de profesionales, ni que perjudique a terceros (artículos 18.3 y 18.4 de la Ley de Autonomía del Paciente).

Existen además usos con fines permitidos como los judiciales, epidemiológicos, de salud pública, de investigación y docentes. En todos ha de disociarse la

información personal de la asistencial para preservar el anonimato (excepto orden judicial o autorización del paciente).

También se consideran fines de administración, de inspección, de evaluación, de acreditación y de planificación. Para conseguir algunos de estos fines interviene personal no sanitario, personal de administración y gestión.

En cualquier caso, toda persona que acceda a esta información, queda obligada al secreto profesional.

En la sede electrónica del Principado de Asturias, apartado de servicios y trámites, encontramos la petición de historia clínica donde se indica al usuario la finalidad, quién lo puede presentar, lugares de presentación (servicios de atención al usuario, SAC, de Hospitales y Centros de Salud), información de utilidad y el acceso para descargar el documento de solicitud.

Presencialmente podrá realizarse la solicitud en los puntos SAC, donde se les facilitará información y el impreso de solicitud.

Según la revisión de la AEPD (Agencia Española de Protección de Datos), con fecha de mayo de 2022, existen brechas de datos personales en el sector de la salud con más frecuencia de la deseada y tienen impacto personal y social

Una brecha de datos personales va más allá del acceso por terceros ajenos a la organización. “Se considera brecha el acceso no autorizado realizado por personas de la organización; el acceso autorizado que suponga un tratamiento adicional o exceso en sus funciones, además de la destrucción, pérdida o alteración accidental o ilícita de datos personales, si afecta a los derechos y libertades de los interesados en relación a la protección de sus datos de carácter personal.”

Según los datos del segundo semestre de 2021 el 15% de notificaciones de brechas recibidas en la AEPD la realizaron responsables del tratamiento cuyo principal sector de actividad es la asistencial en el ámbito de la salud.

Mensualmente se recibe de media al menos una brecha que afecta a más de personas en este sector. Porcentaje que alcanza el 25% si se tienen en cuenta las brechas generadas en el sector de los seguros sanitarios.

Para dar cumplimiento al Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo del 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de esos datos se incorpora un modelo de mayor responsabilidad y se exigen medidas como el registro de actividades de tratamiento, el análisis de riesgo y evaluaciones de impacto, así como las modificaciones de violaciones de seguridad y la incorporación de la figura del Delegado de Protección de Datos (DPD) en organizaciones como las administraciones Públicas.

Por otra parte, la Ley 39/2015 de 1 de octubre de Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13, sobre los derechos de las personas en sus relaciones con las administraciones públicas,

lo relativo a la protección de datos de carácter personal y en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de la Administraciones Públicas, para dar cumplimiento a lo dispuesto en la Ley y en particular en el Reglamento, se crea el Comité de Seguridad de Sistemas de Información de Salud del Principado de Asturias (COSSISPA). Se crea como grupo de trabajo en el que se integran los responsables en el tratamiento de datos personales y los Delegados de Protección de Datos del Servicio de Salud y de la Consejería competente en materia de sanidad. En el mismo sentido como grupos de trabajo con funciones de asesoramiento y apoyo, se recoge la creación de Comités de Seguridad de Sistemas de Información de Salud en las áreas Sanitarias.

En el decreto se establece la finalidad de COSSISPA: “adoptar las medidas necesarias para garantizar la confidencialidad, integridad, autenticidad, trazabilidad y disponibilidad de los datos, cualquiera que sea su soporte”.

Y entre sus funciones:” proponer el establecimiento de mecanismos para identificar la existencia de violaciones de seguridad de los datos y reaccionar ante ellas, en particular evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados y para notificar esas violaciones de seguridad a las autoridades de protección de datos y si fuera necesario, a los interesados”.

La misma función realizan los Comités de Área y notificarán las violaciones de seguridad a COSSISPA.

En cuanto a las consecuencias por accesos indebidos se pueden contemplar tres niveles:

Un primer escalón es el de responsabilidad administrativa. Cómo sabemos la historia clínica electrónica tiene un sistema de traza que registra qué persona, desde qué ordenador y en qué momento ha accedido a la historia. Además, los accesos están limitados por categorías profesionales.

Un segundo escalón es el de la responsabilidad civil. La entrada en la historia de una persona es una intromisión que puede ocasionar daños de los que habría que resarcir.

El tercer escalón es el penal. Acceder a los datos personales puede ser considerado un delito de revelación de secretos con graves penas. El código penal, en el artículo 197, tipifica varias conductas punibles bajo el título de» delito de descubrimiento y revelación de secretos» y es muy fácil incurrir en una de estas conductas por el mero acceso, sin estar autorizado.

En los artículos 197 y 199 del código penal que pueden ser de aplicación establecen penas de prisión de 1 a 4 años e inhabilitación de 6 a 12 meses (lo que podría suponer la pérdida de condición de personal estatutario) además de multa de 12 a 24 meses. Existen circunstancias agravantes y de los supuestos uno se refiere a «cuando el delito se comete por persona que puede acceder a los ficheros, soportes informáticos, archivos o registros de la víctima en función

de su cargo. En estos casos la sanción será de 3 a 5 años de prisión y podría añadirse inhabilitación para la profesión que desempeñaba el autor del delito. Sería el caso, por ejemplo, de los trabajadores de entidades financieras, funcionarios con acceso a datos personales o profesionales sanitarios “.

Para la aplicación de estas penas existen dos requisitos: no disponer de autorización y tener intención de ocasionar perjuicio, no se trataría pues de casos de negligencia o imprudencia.

Las sanciones más habituales son las administrativas conforme a los artículos 70 y siguientes de la LOPDGDD, aplicando como infracción muy grave la vulneración del deber de confidencialidad, entre otros.

La cuantía de las sanciones por vulneración, que tanto el RGPD como la LOPDGDD imponen, se valora según los derechos personales afectados, los beneficios obtenidos, la posible reincidencia, la intencionalidad y cualquier circunstancia que sea relevante para determinar la culpabilidad.

Las cuantías económicas en el caso de sanciones muy graves van de 300.001€ (trescientos mil un euros) a 20.000.000€ (veinte millones de euros).

Las graves desde 40.001€ (cuarenta mil un euros) hasta 300.000€ (trescientos mil euros). Las leves hasta 40.000€.

Algunas sentencias han sido poco tajantes por no considerar probado el acceso a la historia clínica. Existen sentencias del TSJ de Navarra en un procedimiento por un delito de injurias, en el que un profesional de la sanidad accede a los datos administrativos pero no a la historia clínica, hecho que los magistrados entendieron que se daba en todos los accesos indebidos y que le eximió del delito de descubrimiento y revelación de secretos.

En el caso de una auxiliar administrativo de un Centro de Salud, también resulta absuelta en 2018 por acceder a las historias clínicas de cuatro familiares (hermano, cuñada y dos sobrinas); según la sentencia, la conducta fue ilícita desde el punto de vista administrativo, pero no penal, al no haberse demostrado a qué datos tuvo acceso y además no haber hecho uso de la información.

Además de las sanciones administrativas o penales “las Administraciones Públicas corregirán disciplinariamente las infracciones del personal a su servicio cometidas en el ejercicio de sus funciones y cargos», tal como está previsto en el artículo. 94 de la Ley del Estatuto Básico del Empleado Público aprobado por Real Decreto Legislativo 5/2015 de 30 de octubre (en adelante TREBEP).

“La potestad disciplinaria se ejercerá conforme a los principios de legalidad y tipicidad de las faltas y sanciones, principio de irretroactividad de las disposiciones sancionadoras no favorables, principio de proporcionalidad tanto en la clasificación de infracciones como aplicación de sanciones, principio de culpabilidad y presunción de inocencia”.

En su artículo 95 establece el tipo de faltas y dentro de las muy graves encontramos “ la publicación o utilización indebida de documentación o información a que tengan o hayan tenido acceso por razón de su cargo o función”.

Artículo 96 – Sanciones

  1. Separación del Servicio de los funcionarios.
  2. Despido disciplinario del personal laboral, sólo para faltas muy graves y comportará la inhabilitación para ser titular de un nuevo contrato de trabajo con funciones similares a las que desempeñaban
  3. Suspensión firme de funciones, o de empleo y sueldo en el caso de personal laboral, con duración máxima de 6 años.
  4. Traslado forzoso.
  5. Demérito.
  6. Apercibimiento.

El alcance de la sanción tendrá en cuenta la intencionalidad, descuido o negligencia que se revele en la conducta, el daño, la reiteración y el grado de participación.

El procedimiento disciplinario a funcionarios se inicia siempre de oficio, mediante acuerdo del órgano competente, bien por iniciativa propia o como consecuencia de una orden de un superior, moción razonada de los subordinados o mediante denuncia.

El decreto 50/2022, de 20 de julio, por el que se establece la estructura básica de los órganos de dirección y gestión del Servicio de Salud del Principado de Asturias, en respuesta a la evolución de la realidad asturiana, las nuevas demandas sanitarias y la aparición de las nuevas formas de gestión. En el Capítulo II, Sección 2.- La Secretaría General, en su artículo 7 relativo a las funciones, dice » la instrucción de los procedimientos disciplinarios del personal adscrito a los servicios centrales, así como la tramitación de la resolución de los procedimientos disciplinarios instruidos al personal de centros y establecimientos sanitarios públicos”, a través del Servicio jurídico.

En la Sección 6.-Dirección de Coordinación, Resultados en Salud y Comunicación, artículo 45.- Servicio de Inspección, entre sus funciones, “la instrucción del procedimiento disciplinario al personal de las instituciones y centros sanitarios públicos dependientes del SESPA”.

Estos dos organismos son los dos organismos responsables de la incoación instrucción y tramitación de la resolución en el procedimiento sancionador del personal del SESPA.

Conclusiones

La intimidad y confidencialidad son dos conceptos muy próximos y no siempre bien diferenciables; conviene distinguir los datos públicos (se pueden dar a conocer), lo privado (sólo se puede dar a conocer si la persona acepta o lo cree conveniente) y lo íntimo (lo más reservado de lo privado).

En el ámbito de la salud y en el entorno sanitario, la confidencialidad ha de entenderse como garantía del tratamiento adecuado de toda la información conocida acerca de los pacientes El acceso a la información y a los datos de los pacientes sólo está justificado con motivo de la adecuada asistencia y éste es proporcional al nivel de responsabilidad de los profesionales implicados. La información y datos sobre los usuarios, sólo pueden ser utilizados para otras finalidades con el consentimiento paciente y en los casos tasados por ley.

El derecho a la confidencialidad y a la intimidad están recogidos en la LOPDGDD, Ley básica reguladora de autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica y en la Ley de cohesión y calidad de Sistema Nacional de Salud (Ley 16/2003 de 28 de mayo). Requiere como derecho del paciente y deber de la organización un compromiso de todos los profesionales, por un lado, de los profesionales sanitarios y por otro el de los profesionales “no sanitarios” como corresponsables al formar parte del proceso.

Sólo se pueden facilitar datos al propio paciente, a la persona que haya autorizado, sus representantes legales o por imperativo legal. El administrativo ha de considerar muy importante este aspecto y guardar el deber de sigilo. Un ejemplo lo encontramos en los administrativos que prestan servicio en núcleos pequeños de población, donde todos conocen a todos y es en este caso donde resulta especialmente fundamental el respeto a la confidencialidad y la intimidad.

Existen muchas situaciones de riesgo y conflicto como son:

  • El entorno físico: mostradores, situación de los teléfonos, salas de espera y pasillos.
  • Las nuevas tecnologías: historia clínica informatizada, móviles, correos electrónicos y otros medios similares.
  • La documentación clínica escrita, cada vez menos presente.
  • Riesgos ligados a los propios profesionales: conversaciones a la hora del café, comentarios de pasillo, sesiones, falta de formación y la desmotivación, la rotación de personal o las sustituciones.

La responsabilidad del personal administrativo en el caso de no respeto a la confidencialidad y por tanto, si se vulneran derechos del ciudadano, puede implicar sanciones administrativas, civiles o penales; es por ello un deber profesional el respeto a la confidencialidad.

En el contexto de brechas personales en el ámbito de la salud según el informe de la AEPD, se están produciendo brechas de confidencialidad ocasionadas por accesos indebidos de miembros de la organización a datos de la historia clínica de los pacientes, el envío de documentación con datos de

salud o genéticos a destinatarios incorrectos, la destrucción incorrecta de datos en formato papel o incluso el extravío de muestras biológicas.

Entre las recomendaciones, insiste en la obligación del responsable de tratamiento de datos de conocer las brechas, en implicar a un DPD con recursos y conocimientos adecuados, en la necesidad de implantar medidas técnicas y organizativas apropiadas al nivel de riesgo de los tratamientos encaminadas a evitar y/o minimizar el impacto de dichas brechas y definir e implantar planes de contingencia para eliminar o reducir el impacto de las mismas sobre los derechos y libertades de las personas.

Por ello para dar cumplimiento a la Ley 39/2015 de Procedimiento Común Administrativo y al RE en cuanto a protección de datos, se crea el COSSISPA como grupo de trabajo en el que se integran los responsables del tratamiento de datos personales, los DPD del Servicio de Salud y de la Consejería competente en materia de sanidad y en el mismo sentido, como asesoramiento y apoyo, se crean los Comités de Seguridad de Sistemas de Información de Salud en las Áreas Sanitarias con reporte de violaciones de seguridad al COSSISPA.

Los accesos no autorizados pueden ser castigados como delito de divulgación de secretos, recogido en el código penal en el artículo 197 y como delito contra la intimidad. Dependiendo de la gravedad, estos delitos conllevan penas de prisión y multas. Las sanciones más frecuentes son las administrativas conforme al artículo 70 y siguientes de la ley LOPDGDD que establece como infracción muy grave la vulneración del deber de confidencialidad y aplica sanciones económicas que van dese los 40.000 euros en la infracción leve,

40.001 a 300.000 euros en infracción grave y desde 300.001 a 20.000.000 euros en el caso de las muy graves.

Además, nos podremos encontrar ante un expediente disciplinario conforme a lo previsto por el TREBEP que la tipifica como falta muy grave, que puede conllevar a la separación del servicio, el despido disciplinario para los profesionales laborales, la suspensión firme de funciones o de empleo y sueldo en el caso de personal laboral durante más de 6 años.

Bibliografía

  1. “Salud Informa-documentación clínica» https://www.saludinforma.es/ portalsi/bioetica-salud/ documentacion-clinica
  2. “ACCESO A LA HISTORIA Y DOCUMENTACIÓN CLÍNICA POR PARTE DEL PACIENTE Y OTRAS PERSONAS O IDENTIDADES-Prodat»
    Autor: Arimas Pérez
    https://www.prodat.es/blog/ acceso-a-la-historia-y-documentacion- clinica-por- parte-del-paciente-y-otras-personas-o-entidades/
  3. “Historia clínica: posibles sanciones de acceso no autorizados al historial médico de un paciente-INVOX Medical blog»
    https://invoxmedical.com/ historia-clinica-posibles-sanciones-de-accesos-no- autorizados-al-historial-medico-de-un-paciente/
  4. “Brechas de datos personales en el sector de la salud/AEPD» https://www.aepd.es/ es/areas-de-actuacion/salud/brechas-de-datos- personales-en-el-sector-de-la-salud
  5. Acceso a la historia clinica/Ayuda Ley Protección Datos»
    https://ayudaleyproteccion datos.es/2018/10/24/acceso-historia-clinica/amp/
  6. “Resolución 14 de Noviembre de 2018, de la Consejería de Sanidad, por la que se crean el comité de Seguridad de Sistemas de Información de Salud del Principado de Asturias (COSSISPA) y los Comités de Seguridad de Sistemas de Información de Salud de las Áreas Sanitarias (Cód.2018-11632)/Iberley”.
    https://www.iberley.es/ legislacion/resolucion-14-noviembre-2018-consejeria- sanidad-crean-comite-seguridad-sistemas -informacion-salud-principado- asturias-cossispa-comites-seguridad-sistemas-informacion-salud-areas- sanitarias-cod-2018-11632-26115064
  7. «BOPA: Disposiciones- Sede Electrónica “ https://sede.asturias.es/bopa-disposiciones?p_p_id =pa_sede_bopa_web_ portlet_SedeBopaDispositionWeb&
    p_p_lifecycle=0&_pa_sede_bopa_ web_portlet_SedeBopa DispositionWeb_mvc RenderCommandName=%2F disposition%2Fdetail &p_r_p_dispositionText=202 2-05886&p_r_p_ dispositionReference= 2022- 05886&p_r_p_disposition Date=28%2F07%2F2022
  8. “BOE.es-BOE-A-2015-11719Real Decreto Legislativo 5/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto Básico del Empleado Público “. https://www.boe.es/ buscar/act.php?id =BOE-A-2015-11719
  9. Delito de revelación de secretos. Concepto, normativa y sanciones Autores. Grupo Ático 34
    https://protecciondatos-lopd. com/empresas/delito-revelacion-secretos/
  10. Las graves consecuencias de los accesos indebidos a las historias clínicas Autores: Juan Medrano y Luis Pacheco accesosdHC.pdf
  11. SEAUS-El administrativo_de_la_ salud_pdf http://bit.ly/PDFReader _alldocumentreader
close

BOLETÍN DE NOVEDADES

Datos opcionales:

(En ocasiones enviamos información específica para una zona o categoría concreta)

He leído y acepto la Política de Privacidad *

Ver Política de Privacidad y Aviso legal

Su dirección de e-mail solo se utilizará para enviarle nuestra newsletter, así como información sobre las novedades de la revista y Editorial Ocronos. Puede utilizar el enlace integrado en la newsletter para cancelar la suscripción en cualquier momento.