Icono del sitio Ocronos – Editorial Científico-Técnica

Nuevos riesgos para la protección de datos en los centros de salud, de la pandemia de COVID-19 en adelante

riesgos-proteccion-datos

Incluido en la revista Ocronos. Vol. IV. Nº 7–Julio 2021. Pág. Inicial: Vol. IV; nº7: 105

Autor principal (primer firmante): Cristina Antonia Estévez García

Fecha recepción: 28 de Junio, 2021

Fecha aceptación: 15 de Julio, 2021

Ref.: Ocronos. 2021;4(7): 105

Autoras:

Cristina Antonia Estévez García, Rosa Gutiérrez Tudela, Juana Maíllo Martín, María Asunción Álvarez Vior, María del Carmen de Frutos Rodríguez, Mónica I. Fernández Monteserín.

Categoría profesional: Auxiliar administrativo.

Resumen

Las restricciones impuestas por la pandemia han provocado cambios en los protocolos de actuación y la incorporación de las nuevas tecnologías a la gestión administrativa, para evitar aglomeraciones en los centros de salud. Los nuevos procedimientos afectan a datos personales y de salud, que han de ser especialmente protegidos de acuerdo a la legislación vigente, y que se ven ahora sometidos a nuevas amenazas, como la dificultad para identificar eficazmente al destinatario de la información o que ésta sea sustraída o desaparezca.

Los centros sanitarios tienen la obligación de adoptar las medidas necesarias para garantizar la seguridad de los datos, manteniendo su confidencialidad, integridad y disponibilidad. La mayoría de estos nuevos métodos de trabajo no serán eliminados con el fin de la pandemia, si no que han llegado para quedarse.

Palabras clave:

Protección de datos, datos relativos a la salud, secreto profesional, consulta telefónica, atención no presencial, confidencialidad, trámites administrativos online.

Resultados

Los datos relativos a la salud están dentro de las categorías especiales de datos reflejadas en la legislación al respecto 1 y solo pueden ser tratados con consentimiento explícito del interesado o en determinados casos con ciertos condicionantes, entre los que se encuentra la asistencia sanitaria, con el requisito de que el tratamiento ha de ser realizado por profesionales sujetos a la obligación de secreto profesional

.

Las circunstancias especiales y las restricciones a las que se ha visto sometida la población por la pandemia de COVID-19, han llevado a implementar nuevos métodos de trabajo y el uso de las nuevas tecnologías en la atención sanitaria.

Concretamente, en la atención primaria se han impuesto distintas formas de atención no presencial, como la consulta telefónica y sistemas telemáticos para la obtención de cita previa y entrega de documentación. Estos nuevos tratamientos implican riesgos adicionales para la seguridad de los datos personales y de salud, añadiendo además que la propia situación de emergencia lleva en ocasiones a que se relajen los controles y requisitos para su protección.

La consulta telefónica presenta el riesgo de que se facilite información sensible a una persona indebida, con la consiguiente pérdida de la confidencialidad de los datos.

La mayoría de los profesionales de los centros de salud conoce a sus pacientes, e incluso a sus familiares directos, pero no ocurre así en todos los casos. Si no existe una certeza absoluta en cuanto a la identidad del interlocutor, se debe proceder a su identificación solicitándole datos personales como nombre y apellidos, DNI, número de tarjeta sanitaria, número de teléfono desde el que llama que coincida con el grabado en la historia, etc… Se debe tener la seguridad de que quien solicita la información es el titular de la misma, una persona a quien haya autorizado expresamente, o alguien con vínculos familiares o de hecho, en la medida que el paciente lo permita de manera expresa o tácita, según se indica en la Ley de autonomía del paciente 2.

Las nuevas tecnologías han aportado soluciones novedosas para la realización a distancia de trámites administrativos. Evitar el desplazamiento a los centros sanitarios, y la consiguiente aglomeración de personas en los mismos, sería la razón por la que su uso fue idóneo en tiempos de pandemia, pero esta modalidad de tramitación ya se ha generalizado en todos los ámbitos y no cabe la vuelta atrás. El desarrollo apresurado de apps, webs o chatbots para resolver “sobre la marcha” problemas o procesos que iban surgiendo (test PCR, vacunación, información sobre la COVID-19), provocaron nuevas dificultades de gestión que se han tenido que ir corrigiendo a la par. En ese camino también se ha podido dejar a un lado la precaución para proteger la privacidad de los datos personales y de salud.

El

tratamiento de datos personales por parte de los Servicios de Salud entraña en si mismo un gran riesgo debido al volumen y sensibilidad de los datos recogidos y al enorme número de personas afectadas, Los trámites online implican un intercambio de datos, información y documentos digitales a través de redes y servidores. Los riesgos a los que se ven expuestos los datos son múltiples: accesos indebidos, ciberataques, fallos en los programas, caídas del sistema, errores humanos, etc., poniendo en peligro la disponibilidad, la integridad o la confidencialidad de los datos personales.

Como en el caso de la atención telefónica, un riesgo importante de la tramitación telemática es que la información confidencial vaya a parar a un destinatario erróneo. Para evitarlo, los formularios de solicitud deberían incluir sistemas de autenticación de la identidad que no se basen únicamente en la recogida de datos, sino que incluyan, por ejemplo, claves personales de acceso, firma electrónica, códigos enviados por SMS u otros.

Una vez recibida la solicitud de información, en muchos casos la respuesta será el envío de algún archivo al correo electrónico de la persona solicitante. Para evitar que, por error, fraude o robo, la documentación llegue a una persona diferente, la información debería enviarse siempre encriptada y facilitar la contraseña para su desbloqueo por otro medio, como SMS o llamada telefónica.

Conclusiones

Los nuevos protocolos de trabajo en los centros de salud, aunque han sido instaurados en época de pandemia, no tendrán su fin aparejado a la misma. El ensayo ha mostrado sus ventajas e inconvenientes y solo queda avanzar en su desarrollo para modificar los aspectos negativos y, en el caso de la protección de datos, adoptar todas las medidas necesarias para eliminar o minimizar los riesgos que el avance de la tecnología vaya haciendo surgir.

Notas:

1 Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y libre circulación de estos datos. (RGPD). / Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

2 Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Bibliografía

  1. AEPD. Agencia Española de Protección de Datos
    [Internet] Madrid: Agencia Española de Protección de Datos; mayo 2020. El uso de las tecnologías en la lucha contra el COVID-19. Un análisis de costes y beneficios. Guía para pacientes y usuarios de la sanidad; [13 p.]. Disponible en: https://www.aepd.es/es/ guias-y-herramientas/guias
  2. AEPD. Agencia Española de Protección de Datos[Internet] Madrid: Agencia Española de Protección de Datos; noviembre 2019. Guía para pacientes y usuarios de la sanidad; [15 p.]. Disponible en: https://www.aepd.es/es/ guias-y-herramientas/guias
  3. Grupo Ático 34. [Internet] Madrid: Grupo Ático34; agosto 2017. Ley de Protección de Datos sanitarios 2021: Tratamiento y confidencialidad de los datos médicos; [1 p.]. Disponible en: https://proteccion datos-lopd.com/empresas/ guia-centros-sanitarios/
  4. Ayuda ley protección de datos. [Internet] Medidas de seguridad en el RGPD. Disponible en: https://ayudaleyproteccion datos.es/2018/12/17/medidas- seguridad-rgpd/
  5. PSN Sercon Blog. [Internet] Madrid: PSN Sercon, Julio Velázquez Estrada; julio 2019. El cifrado de correos electrónicos con datos sanitarios. Disponible en: https://blog.psnsercon. com/el-cifrado-de-correos- electronicos-con- datos-sanitarios/
  6. Gencat. Autoridad Catalana de Protección de Datos. [Internet] Barcelona: APDCAT. Autoritat Catalana de protecció de dades; junio 2020. Guía de protección de datos para pacientes y personas usuarias de los servicios de salud; [1 p.]. Disponible en: https://apdcat.gencat. cat/es/documentacio/ guies_basiques/Guies-apdcat/ Guia-proteccio-de -dades-per-a-pacients/
  7. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Boletín Oficial del Estado número 274, de 15 de noviembre de 2002.
Salir de la versión móvil