1

OUTSOURCING

El problema de la protección de datos

CESIÓN DE DATOS

CALIDAD DELOS DATOS

CONFIDENCIALIDADDE LA

INFORMACIÓN

PRIVACIDAD

Derecho a la intimidad de las Personas Físicas (Constitución, 1978)

Derecho Fundamental a la Protección de Datos Personales (CartaEuropea de Derechos Humanos, 2000)

DERECHOS DELOS AFECTADOS

2

Directiva 95/46/CE

Ley Orgánica 5/92 (LORTAD)

R.D. 428/93Estatuto de la APD

Instrucciones de la APD

R.D. 994/99(Reglamento)

Ley Orgánica 15/99LOPD

Constitución 197818.4 La Ley “limitará” el

uso de la informática para garantizar la

intimidad

-Deroga la LORTAD-Mantiene el Reglamento y los R.D. 428/93 y 1332/94

R.D. 1332/94(Desarrollo)

El marco legal

Ley 2/2004 de Ficheros DCP de Titularidad Pública y de Creación de la AVPD

3

- Sanciones de 100.000 a 100.000.000 pts.

(de 601,01 € a 601.012,1 € / disciplinarias)

- Establece unos plazos de cumplimiento

- Existencia órganos de Control:

26 de marzo 2.000

26 de junio 2.000

26 de junio 2.002

Leves Graves Muy Graves

- Derecho Fundamental STC 292/2000.

Importancia de esta Ley OrgánicaLey Orgánica de Protección DCP

4

- Concepto de Dato personal:

Cualquier información concerniente a personas físicas identificadas o identificables.

Recordad: Cualquier Información.

Personas físicas.

Identificadas o Identificables.

El DCP es propiedad de su titularMUY IMPORTANTE

¿Estoy sujeto a la ley?Ley Orgánica de Protección DCP

5

- Concepto de Fichero:

Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o

modalidad de su creación, almacenamiento, organización y acceso.

Todo conjunto organizado de DCP.

Cualquiera que fuere su forma.

Recordad:

¿Estoy sujeto a la ley?Ley Orgánica de Protección DCP

6

- Deber de secreto.

Quien intervenga en cualquier fase del tratamiento está obligado al secreto profesional, obligación

que subsistirá aun después de finalizar sus relaciones con el titular del fichero.

Recordad:Quien intervenga.

En cualquier fase del tratamiento.

Secreto indefinido en el tiempo.

¿Estoy sujeto a la ley?Ley Orgánica de Protección DCP

7

Responsabilidad RF, RS, ET, ...

Finalidad, uso no-abusivo, pertinencia, exactitud los DCP se tratan para fines concretos y declarados

los DCP sólo se usan para esos fines

los DCP son adecuados a esos fines

los DCP son de calidad, íntegros, exactos

Publicidad, acceso individual los Ficheros se inscriben en el Registro de la AEPD

los interesados conocen la existencia de los ficheros

Los DCP han de tratarse conforme a unos principios…Ley Orgánica de Protección DCP

RF: OSAKIDETZADirección de Asistencia SanitariaDirección de RRHHDirección Económica-Financiera

RS de SSCC: Subdirección de InformáticaRS de las OOSS

8

Seguridad Hay que implantar medidas de seguridad

Información Hay que informar al interesado de que existe el fichero, para qué se usan sus datos, quién es el Responsable, dónde puede ejercitar sus derechos...

Consentimiento El tratamiento de los datos requiere el consentimiento de su titular, aunque hay excepciones (relación jurídica, ejercicio de la Administración, interés vital, fuentes accesibles al público)

la cesión a terceros requiere el consentimiento o un amparo legal.

Los DCP han de tratarse conforme a unos principios…Ley Orgánica de Protección DCP

9

1º.- Protección de DCP es un derecho FUNDAMENTAL.

2º.- Los DCP son SIEMPRE de su titular.

3º.- La Ley no prohíbe manejar datos, prohíbe su tratamiento SIN GARANTÍAS.

4º.- Todo tratamiento debe estar CONSENTIDO (salvo excepciones legales).

5º.- Todo tratamiento debe ser INFORMADO.

6º.- No se puede CEDER datos (salvo amparo).

Ideas a recordar…

10

Plazo (con prórroga)26-Marzo-2000

Niveles de clasificación de los datos

VENCIDO

Plazo26-Junio-2000

Plazo (con prórroga)26-Junio-2002VENCIDO

VENCIDO

PLAZOS para implantarlas medidas

BA

SIC

OB

AS

ICO

MED

IOM

ED

IOA

LTO

ALTO

Cualquier datoDe personas físicasIdentificadas/identificables

Hacienda PúblicaServicios financierosInfracciones admvas./penalesSolvencia patrimonial

*Personalidad

Ideología, Religión, Creeencias...¿Sindicales?Salud, Vida SexualFines policiales

11

Algunos Ficheros declarados…

BA

SIC

OB

AS

ICO

MED

IOM

ED

IOA

LTO

ALTO

Registro de Personal de OsakidetzaRegistro de kits antisidaBolsa de trabajoOferta Pública de EmpleoEncuestas de calidad...

Registro de casos de SIDARegistro de casos psiquiátricosAltas HospitalariasHistorial Clínico...

12

Algunas medidas reglamentarias

• Elaborar el Documento de Seguridad

• Mantener Registros de incidencias

• Controles de acceso

• Gestión de soportes

• Auditorías cada dos años

• ....

13

Otras normativas del ámbito sanitario

• Ley 14/1986 General de Sanidad

• Decreto 272/1986 por el que se regula el contenido de la Historia Clínica en el País Vasco

• Ley 8/1997 de Ordenación Sanitaria de Euskadi

• Ley 41/2002 de autonomía del paciente...

• R.D. 223/2004 por el que se regulan los ensayos clínicos con medicamentos

14

Exposición de motivos… rasgos

Los derechos de los pacientes: eje de relaciones clínico-asistenciales

Ley 14/1986 General de Sanidad

• Derecho a la información• Autonomía del paciente en su salud• Intimidad personal• Confidencialidad de la información

Convenio del Consejo de Europasobre los derechos del hombre,la biología y la medicina (1997)

• Derecho a la información• Consentimiento informado• Intimidad de los datos de salud

Ley Orgánica 15/1999 (LOPD)

• Datos de salud: especialmenteprotegidos. (Régimen riguroso parasu obtención, custodia y cesión)

Directiva comunitaria 95/46• Derecho a la intimidad• Excepciones recogidas en normas

con rango de Ley (interés general) Estudios epidemiológicos Salud colectiva en riesgo grave Investigación y ensayos clínicos

Ley 41/2002 “de Autonomía del Paciente”

15

AUTONOMIA DEL PACIENTE

Principios básicosLey 41/2002 “de Autonomía del Paciente”

Tratamiento de información

Dignidad de la persona (paciente)

Respeto a la autonomía de su voluntad

Respeto a su intimidad

Actuación sanitaria

Dar información adecuada al paciente

Consentimiento de la actuación

Derecho a decidir libremente

Guardar la reserva debida

(Definición legal) CONSENTIMIENTO INFORMADO:

Conformidad libre, voluntaria y consciente de un paciente, manifestadaen el pleno uso de sus facultades después de recibir la informaciónadecuada, para que tenga lugar una actuación que afecta a su salud.

16

DerechosLey 41/2002 “de Autonomía del Paciente”

... a la información asistencial

Como mínimo, de cada intervención:• finalidad

• naturaleza

• riesgos

• consecuencias

Paciente:

• derecho a conocerla (salvo excepciones legales)

• derecho a NO conocerla

Familiares (o personas vinculadas de hecho):

• si el paciente lo permite, expresa o tácitamente

• a criterio del médico, si le falta capacidad de entendimiento

Médico:

• garantizar el cumplimiento de este derecho

• proporcionar información verdadera

• comunicarla de forma comprensible

Limitación:

• existencia acreditada de un estado de necesidad terapeútica

17

... a la intimidad

CONFIDENCIALIDAD de los datos de salud

Nadie accede a ellos salvo autorización amparada legalmente

Centros sanitarios:

• adoptar medidas para garantizar este derecho

• elaborar normas y procedimientos para acceder legalmente

DerechosLey 41/2002 “de Autonomía del Paciente”

18

... de acceso a la Historia Clínica

Acceso a la H.C. y obtención de copia, salvo:

• perjuicio contra intimidad de terceros que figuren en ella

• perjuicio contra profesionales que la elaboraron, que tienen

derecho a la reserva de sus anotaciones subjetivas

Ejercitable por representación debidamente acreditada

Pacientes fallecidos

• Sólo acceso a personas vinculadas, por familia o de hecho

• Salvo prohibición expresa del fallecido, y así se acredite

• Terceros con riesgo para su salud, a los datos pertinentes

• Nada que afecte a la intimidad, ni a las notas subjetivas,

ni que perjudique a terceros

Los centros sanitarios han de establecer un mecanismode custodia activa y diligente de las HHCC.

DerechosLey 41/2002 “de Autonomía del Paciente”

19

Usos de la Historia ClínicaLey 41/2002 “de Autonomía del Paciente”

Acceso autorizado:

• Con fines asistenciales: los profesionales asistenciales que realizan el

diagnóstico o el tratamiento del paciente.

• Con fines judiciales, epidemiológicos, de salud pública, de docencia o de

investigación: en los términos de la LOPD y la Ley General de Sanidad

(separación de los datos identificativos de los clínico-asistenciales).

• Administradores y gestores de los centros sanitarios: sólo datos para

ejercitar sus funciones.

• Personal sanitario acreditado en funciones de inspección, evaluación,

acreditación y planificación: en cumplimiento de sus funciones.

H.C.: Instrumento destinado fundamentalmente a garantizar la asistencia.

QUIEN ACCEDA A LA H.C. QUEDA SUJETO AL DEBER DE SECRETO

20

Recapitulación

• Importancia de la Protección de Datos.

• Principios básicos de la legislación.

• Niveles de clasificación de los Datos y medidas de protección aplicables.

• Derechos de los pacientes. a la información asistencial (consentimiento)

a la intimidad (confidencialidad)

de acceso a la H.C. (custodia por el Centro)

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

Resolución A.E.P.D. R/00198/2011, de 1 de marzo

• RESUMEN: Historias clínicas. Principio de seguridad de los datos: Falta de vigilancia del lugar de ubicación de los datos sanitarios. Concepto de Historia Clínica: Conjunto de documentos que contienen datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial. Derecho a la intimidad. Responsabilidad del tratamiento de los datos. Infracción grave y requerimiento de medidas de futuro.

36

ANTECEDENTES

• Primero.—Con fecha de 3 de diciembre de 2009 tiene entrada en esta Agencia un escrito de D. A.A.A. en el que declara que en fecha 19/11/09 acudió al Hospital Vega Baja de Orihuela. Al llegar al área de Admisión de consultas externas observó que cientos de historias clínicas de pacientes del hospital, se encontraban apiladas en unos cajones con ruedas, sin vigilancia alguna. Esta misma situación se produce al pasar el zaguán que da acceso al pasillo de consultas externas. Todo ello puede comprobarse en las grabaciones que adjunta.

37