Protección de datos: Seguridad de datos sanitarios

El régimen de protección de datos aplicable a las historias clínicas ha de complementarse necesariamente con las previsiones específicas recogidas en relación con las mismas por la Ley 41/2002, de 14 de noviembre, normativa básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

¿Qué ocurre con la información contenida dentro de las historias clínicas?

Cada centro archivará las historias clínicas de sus pacientes, cualquiera que sea el soporte papel, audiovisual, informático o de otro tipo en el que consten, de manera que queden garantizadas su seguridad, su correcta conservación y la recuperación de la información.

Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.

En consecuencia, la Ley permite la conservación de la historia clínica en un soporte distinto del original, siempre que quede preservada su autenticidad, seguridad e integridad. Al propio tiempo, la Ley obliga a conservar los datos de la historia clínica incluso con posterioridad al alta del paciente o al último episodio asistencial, durante el tiempo adecuado para la debida asistencia sanitaria del mismo y, como mínimo, durante cinco años desde cada fecha de alta.

¿Cómo otorgan los pacientes su consentimiento en el tratamiento de sus datos clínicos de carácter personal?

El consentimiento informado del paciente puede realizarse mediante dispositivos de firma electrónica, que sólo será posible en garantías que permitan acreditar la integridad de los documentos objeto de firma. En este sentido, y desde la perspectiva de la aplicación de las normas de protección de datos, debe indicarse que cuando sea preciso el consentimiento del interesado para el tratamiento de sus datos de carácter personal, lo que no sucederá en relación con el tratamiento de la historia clínica, al encontrarse el mismo habilitado por el artículo 8 de la Ley Orgánica 15/1999, corresponderá al responsable del tratamiento, en este caso centro sanitario, la prueba de la debida obtención del consentimiento a través de cualquier medio válido en derecho, dado que reiterada jurisprudencia de la Audiencia Nacional y del Tribunal Supremo ha declarado que es al responsable al que corresponde la carga de la prueba en este caso.

Protección de datos: Seguridad de datos en la empresa

La aplicación de la protección de datos a empresas tiene una mayor relevancia desde el punto de vista cuantitativo. La mayoría de estas empresas en nuestro país utiliza para la gestión de sus obligaciones derivadas de la materia de personal una asesoría que es la que dispone de los medios informáticos necesarios para cumplimentar las mismas, así como de los conocimientos legales precisos para aplicar la cambiante y específica normativa fiscal, laboral y de Seguridad Social que deriva de la existencia de un contrato de trabajo.

Es criterio de la Agencia Española de Protección de Datos y expresamente de su Director que todas las empresas que cuentan con un trabajador han de inscribir un fichero de personal siempre que la asesoría que efectúe las gestiones en materia laboral y Seguridad Social lo haga por medios informáticos.

Esto supone la existencia incluso a los niveles más reducidos de un Responsable del Fichero que este caso es la empresa y un Encargado del Tratamiento que será la asesoría que pasan a encontrarse incluidos en el ámbito de aplicación de la Ley Orgánica 15/99 de 13 de Diciembre, de Protección de datos incluso en los supuestos en que la PYME carezca de medios informáticos y no tenga en su poder datos personales de sus trabajadores.

Por ello el contrato de externalización tiene en materia de gestión de personal naturaleza y características propias:

• Se trata de un contrato entre partes que, por su propia naturaleza, no tienen condición de consumidores y por tanto su relación jurídica supone una relación "inter pares".
• El fin de este contrato es, como mínimo, el cumplimiento por las partes de las obligaciones legales que vienen derivadas del hecho de la contratación laboral efectuada por el Responsable del Fichero (empresa).
• Dicha relación jurídica no exime al Responsable del Fichero de las obligaciones que le importe la normativa de Protección de Datos
• Generalmente el Encargado del Tratamiento, tendrá la condición de profesional titulado y colegiado.
• Se trata de una relación jurídica accesoria. Es decir, el encargo de tratamiento de datos personales solamente tendrá lugar en tanto en cuanto coincida la posición de encargado de tratamiento con la de asesor de la empresa en materia laboral y por tanto encargado de las gestiones de la empresa derivadas de la existencia de contratación laboral por la misma.
• Se trata de un tratamiento de datos que por su propia naturaleza tienen un nivel de seguridad ALTO en función de lo establecido en el RD 994/1999 de 11 de Junio por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal.

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

Protección de datos: Seguridad de datos informáticos.

Se entiende por seguridad de la información a todas aquellas medidas preventivas y relativas a la persona física, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e Integridad de la misma.

El concepto de seguridad de la información no debe ser confundido con el de seguridad informática, ya que este último sólo se encarga de la seguridad en el medio informático, pudiendo encontrar información en diferentes medios o formas.

Para el hombre como individuo, la seguridad de la información tiene un efecto significativo respecto a su privacidad, la que puede cobrar distintas dimensiones dependiendo de la materia de que se trate.

El campo de la seguridad de la información ha crecido y evolucionado considerablemente a partir de la Segunda Guerra Mundial, convirtiéndose en una carrera acreditada a nivel mundial. Este campo ofrece muchas áreas de especialización, incluidos la auditoría de sistemas de información, planificación de la continuidad del negocio, ciencia forense digital y administración de sistemas de gestión de seguridad, entre otros.