Hay diferentes categorías de datos que por su importancia tienen una mayor protección dentro de la normativa. Entre las categorías de datos podemos diferenciar dos; uno de ellos, los datos no sensibles que serían los que comunmente identifican a una persona, tales como su nombre, apellidos, documento nacional de identidad, correo electrónico…..Por otra parte, encontramos los datos sensibles, que por su razón de ser tienen una mayor protección, como pueden ser los datos ideológicos, etnia, religiosos y también los sanitarios.
Es importante asegurar la confidencialidad e integridad de todos los datos, pero aquellos relacionados con la salud aún más. Comunmente acudimos a nuestro médico cuando tenemos una dolencia, y éste, examina nuestro historial clínico donde se detalla cada una de nuestra patología así como los tratamientos que tenemos o hemos tenido. El personal sanitario, que incluye médicos, enfermeros, auxiliares……, manejan muchísimos datos en expedientes, informes y demás pruebas que identifican una patología con la persona que la sufre. No sólo tratan esos datos en soportes no automatizados (papel), sino también en soportes automatizados como pueden ser los diferentes equipos informáticos que cuentan los centros sanitarios u hospitales.
Es por esta complejidad que los diferentes centros sanitarios y hospitales, ya sean públicos o privados, deben de contar con todas las medidas técnicas y organizativas necesarias para tratar la información que manejan de una manera lícita, leal y transparente, a fín de asegurar la integridad y confidencialidad de los datos del paciente.
Esta misma semana la Agencia Española de Protección de Datos ha publicado la sanción de 48.000 € a HM Hospitales por una infracción del Artículo 5.1.a) del RGPD relativa a la licitud, lealtad y transparencia de los datos tratados. Este procedimiento sancionador iniciado por un reclamanete que acudió a dicho hospital, se debe a que la persona en cuestión acudió al servicio de urgencias de HM siendo ingresada; con motivo del ingreso tuvo de rellenar un formulario donde constaba una casilla para marcar en la que se señalaba que cedía los datos a terceros, sin contar dicho formulario con los diversos requisitos legales establecidos y sin tener las cláusulas informativas necesarias, ya que la que tenían hacía referencia a la LO 15/1999, normativa ya derogada.
Otro de los aspectos a destacar en este procedimiento y en general, es que antes de la entrada en vigor tanto del Reglamento Europeo de Protección de Datos como de la LO 3/2018, el consentimiento del interesado era tácito, es decir, se presuponía el sí, y si después éste quería revocarlo podía ejercer sus derechos “ARCO”. Con la entreda en vigor de las nuevas y citadas normativas, el consentimiento pasa de tácito a expreso, es decir, el interesado debe de dar su sí antes de dar curso al consentimiento que se pretenta, por ejemplo el envío de publicidad comercial al correo electrónico, cesión de datos, publicación de imágenes…..
La autoridad competente en los fundamentos de derecho de dicho procedimiento sancionador constata que “queda acreditado que HM vulneró el artículo 6.1.a) como consecuencia de la fórmula inadecuada y obsoleta de obtener el consentimiento incluido en la cláusula del documento Solicitud de Ingreso Urgente en el momento del ingreso hospitalario tanto para información a terceros como para el envío de publicidad al no cumplir los requisitos del RGPD y la falta de adaptación del documento al citado Reglamento. “
En conclusión, lo que podemos sacar de “aprendizaje” de esta sanción por parte de la Agencia Española de Protección de Datos, es que todos aquellos responsables del tratamiento que, valga la redundancia, traten con datos deben ¡ de contar con los protocolos necesarios en materia de Protección de Datos para asegurar la confidencialidad e integridad de los datos, ya sean estos usuarios o pacientes.
GONZALO OLIVER MARTÍN