Todas las Claves para cumplir con el RGPD y la LOPDGDD en Hospitales

¿Estás perdido con la nueva Ley de Protección de Datos (LOPDGDD)?

¿Quieres cumplir con el RGPD en tu Hospital o Centro Sanitario?

LOGOTIPO RGPD LOPD DPD LOPDGDD RGPDDOCTOR

By RgpdDoctor

Resumen de las Principales Obligaciones de un Hospital en Protección de Datos Personales

En materia de protección de datos de carácter personal, un hospital deberá cumplir con las siguientes normas:

– Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y libre circulación de estos datos. (RGPD)
– Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD)

Hospital: En RGPDDOCTOR.COM siempre que nos refiramos a un Hospital entenderemos como tal a aquel establecimiento sanitario incluido en la categoría C.1. del R.D. 1227/2003 (Hospitales con internamiento).

Políticas de Privacidad: Obligatorias para todas las recogidas de datos personales (pacientes, empleados, proveedores…etc)

Registro de Actividades de Tratamiento: Obligatorio

Evaluación de Impacto en Protección de Datos Personales: Obligatoria

Análisis de Riesgos: Obligatorio

Delegado de Protección de Datos: Obligatorio

Nombra un DPD

Todos los hospitales tienen la obligación de nombrar un Delegado de Protección de Datos (DPD o DPO), puede ser interno o externo, pero lo que si debes asegurarte es que tu DPD cumple con las exigencias mínimas para que ese nombramiento no quede en papel mojado y sobre todo que sabe lo que se hace. En el día a día de un hospital aparecerán todos los supuestos prácticos posibles que nuestra imaginación sea capaz de crear, peticiones de acceso a historias de pacientes fallecidos por familiares lejanos, padres separados que no quieren que su ex acceda a la historia clínica de sus retoños …etc.

Si el DPD no tiene la claro lo que se hace, este tipo de situaciones se convertirán en un pequeño infierno diario.

Además debes tener en cuenta que no basta con nombrarlo sino que hay que notificarlo a la Agencia Española de Protección de Datos dentro de los 10 días siguientes a su nombramiento.

En este artículo encontrarás toda la información que necesitas sobre la figura del DPD —> (El DPD)

Que todos los pacientes firmen la Política de Privacidad

Se que conseguir esto en un hospital a veces es complicado puesto que la forma de recoger datos de pacientes en un hospital puede ser muy variada (urgencias, hospitalización, consultas…etc) Pero es necesario que todo el personal del hospital esté concienciado en la importancia de este tema.

Es fundamental que todo paciente de un hospital reciba y firme una correcta política de privacidad, además debemos tener en cuenta que el hospital siempre debe estar en disposición de demostrar que ha cumplido con esta obligación por lo que el hospital deberá implantar una proceso de recogida y almacenamiento de esta documentación.

Imagino que algún gerente de hospital se estará preguntando si podemos acudir a consentimientos en formato electrónico o a escanear los consentimientos firmados. …etc. Sobre todo por aquello de no colapsar los archivos del hospital.

Podría valer pero siempre que se aporten garantías de que el documento no ha sido manipulado.

El Hospital debe tener una EIPD un AR y un RAT

Con tanta sigla esto parece el equipamiento de un coche. Vamos a detallarte a que se refiere cada una:

  • EIPD: Evaluación de Impacto sobre Protección de Datos

Es un proceso documentado donde siguiendo la metodología establecida por la Agencia Española de Protección de Datos (AEPD) se evalúa que consecuencias tiene para los derechos y libertades de los pacientes el tratamiento de sus datos personales.

Este análisis debe quedar documentado, revisarse periódicamente y debe cubrir todo el ciclo de vida del dato (recogida de datos de los pacientes, tratamiento, almacenamiento y destrucción).

  • AR: Análisis de Riesgos

Las medidas de seguridad que debe adoptar un hospital para proteger los datos de sus pacientes ya no dependen de un catálogo cerrado de medidas como ocurría con la antigua LOPD, ahora con el nuevo RGPD para poder determinar que medidas des seguridad debemos aplicar lo primero que debemos hacer es un Análisis de Riesgos que evalúe los riesgos a los que están expuestos los datos personales y del que nazca un plan de acción con medidas concretas adecuadas al estado de la tecnología y a la naturaleza de los datos a proteger.

  • RAT: Registro de Actividades de Tratamiento

El hospital deberá mantener actualizado un Registro de Actividades de Tratamiento donde se reflejen al menos los siguientes datos sobre cada uno de los tratamientos de datos personales que realiza el hospital:

  • El nombre y los datos de contacto del responsable y del delegado de protección de datos (DPD)
  • Los fines del tratamiento
  • Una descripción de las categorías de interesados y de las categorías de datos personales
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
  • En su caso, las transferencias de datos personales a un tercer país o una organización internacional
  • Los plazos previstos para la supresión de las diferentes categorías de datos
  • Una descripción general de las medidas técnicas y organizativas de seguridad

Medidas de Seguridad

Éste suele ser uno de los “talones de Aquiles” de los hospitales en el cumplimiento de la normativa de protección de datos personales. Tradicionalmente es uno de los apartados que más sanciones ha generado para los centros hospitalarios.

Es básico contar con un buen sistema de gestión hospitalario (HIS) que cumpla con los requisitos básicos e indispensables en materia de seguridad de la información (Ej. Contraseñas robustas, obligatoriedad de cambio periódico de contraseñas, registro de accesos…etc) Pero no menos importante para la seguridad final de los datos del paciente, es que cuidemos aspectos básicos que a veces pasan desapercibidos, como la formación del personal que suele ser muy deficiente, o la gestión de los archivos en papel.

Sobre este tema se podría escribir un libro entero pero si tuviéramos que resumir en unas breves líneas los “clásicos – básicos” de la seguridad que no deben faltar en un hospital me decantaría por estos:

  • Imprescindible que cada usuario (médico, enfermera, personal de administración …etc) tenga su propia e intransferible cuenta de usuario para acceder al HIS. No vale eso de “Enfermería Planta-1” o “Médico Urgencias”. No, una persona una cuenta de usuario, así de sencillo.
  • Forzar el cambio periódico de contraseñas (al menos una vez al año) y la utilización de contraseñas robustas.
  • Un buen sistema de permisos de acceso. Es imprescindible definir de forma correcta los roles, grupos y permisos de usuarios para evitar que se tenga acceso a información que no es necesaria para el desempeño del trabajo.
  • Registro de accesos al HIS. El sistema debe registrar cada acceso a la historia de cada paciente de forma que quede constancia quien ha visto, modificado, borrado o añadido los episodios clínicos de la historia del paciente.
  • Por supuesto un buen sistema de copias de seguridad.
  • Formación de los usuarios. De nada nos sirve tener el coche más potente del mercado si no sabemos conducir. Si no formamos a nuestros usuarios de poco nos servirá toda la inversión que hagamos en programas o “cacharros”.
  • Especial cuidado en la gestión de la documentación clínica, especialmente en situaciones de movimiento o traslado de historias o en procesos de destrucción.

Podríamos seguir detallando medidas, pero sinceramente creo que si esas medidas básicas las tenemos controladas habremos dado un paso importante.

Controla los Encargados de Tratamiento

Tanto el RGPD como la nueva LOPDGDD prestan mucha importancia al tema de los encargados de tratamiento, en un hospital nos podemos encontrar infinidad de ellos (Ej. Médicos que prestan servicios en régimen mercantil, empresas de mantenimiento informático, empresas de seguridad…etc)

En todos estos casos resulta imprescindible firmar un contrato de encargado de tratamiento con cada uno de ellos y lo que es más importante, establecer un protocolo para solicitar, verificar y almacenar garantías suficientes que acrediten que estos encargados cumplen con la ley de protección de datos. Si no lo hacemos, el hospital podría incurrir en responsabilidad.

Cuidado con las cesiones de datos a Mutuas y Compañías de Seguros.

Aunque la AEPD ya había reconocido la legalidad de comunicar datos de salud del paciente a la compañía aseguradora que debe sufragar los datos de la asistencia prestada, la nueva LOPDGDD se ha encargado de blindar estas cesiones sin necesidad de acudir al consentimiento del paciente, aunque esto no signifique no deba estar informado, por tanto para ceder datos de pacientes a las compañías aseguradoras que deben abonar los gastos de las asistencias deberemos tener en cuenta los siguientes principios básicos:

  • No necesitamos el consentimiento del paciente para hacer la cesión aunque si que debe figurar esta cesión en la política de privacidad que debe entregarse al paciente.
  • Podrán remitirse datos de salud, aunque esta comunicación deberá limitarse a los datos estrictamente necesarios para la autorización del abono de la asistencia sanitaria prestada al paciente.
  • El envío de esta información debe hacerse respetando las medidas esenciales de seguridad (Ej. Cifrado de la información)

Deber de Secreto

A veces las cosas que nos resultan obvias son las que menos controlamos, es evidente que el personal de un hospital está obligado por un deber de confidencialidad y secreto, pero ¿lo tenemos firmado? ¿podemos demostrar que todo nuestro personal con acceso a historias clínicas ha firmado un compromiso de confidencialidad?.

Si no es así ya estamos tardando en poner el remedio.

Consejo Final

A estas alturas hablar de la importancia de cumplir con la normativa sobre protección de datos en hospital, creo que sinceramente sobra. En los últimos años se ha hecho en nuestro país un importante esfuerzo de concienciación del sector que ha logrado que todos entendamos la importancia de este tema.

Lo que quizás todavía no entendemos es la transcendencia y el calado del RGPD y la nueva LOPDGDD para el sector de los centros hospitalarios, las nuevas obligaciones y sobre todo el cambio de mentalidad al que nos obliga, hace que debamos ponernos en marcha lo antes posible para evitar que nos ocurra como en nuestro vecino Portugal, que la primera multa por un incumplimiento del nuevo RGPD ha recaído precisamente en un hospital.

Siempre Actualizado

Estos son solo algunos de los aspectos más destacados de la legislación sobre protección de datos personales y sus implicaciones en la vida diaria de una Hospital.

Si trabajas en un Centro Hospitalario y quieres estar informado de cuales son tus obligaciones, en Rgpddoctor encontrarás toda la información que necesitas.

Si te ha gustado esta información, síguenos

en nuestras Redes Sociales y mantente informado

¿Todavía no te
has decidido?

Pincha en la imagen y comprueba nuestros Servicios de Implantación y Mantenimiento del RGPD y LOPDGDD para empresas de Salud Hospitales y Centros Sanitarios de España.
Somos RGPDDoctor

Guía de Protección de Datos para Hospitales Sector Salud

GRACIAS POR DAR VUESTRA VIDA POR NOSOTROS

GRACIAS POR DAR VUESTRA VIDA POR NOSOTROS. Cuando hablamos de un héroe normalmente nos referimos a un personaje principal de alguna película o saga que es inmortal, tiene superpoderes y salva a todo el mundo usando ese superpoder. También nos podemos referir como un héroe a una persona que se distingue por haber realizado una hazaña extraordinaria, especialmente si requiere mucho valor. Ahora une estas dos descripciones en la vida real, un superpoder unido a todo el

Leer Más >>

¿Cómo afecta la nueva LOPD (2018) a los Hospitales?

La entrada en vigor de la nueva Ley de Protección de Datos Personales (LOPDGDD) tiene implicaciones directas e inmediatas para los hospitales que deberías conocer si no quieres quedarte en fuera de juego. ¿Quieres saber como afecta la nueva Ley RGPD LOPD (LOPDGDD) en Hospitales y Centros Sanitarios? A continuación te lo explicamos en un nuevo post de nuestro blog en RGPDDOCTOR, el Portal Web más especializado en RGPD para todo el Sector Sanitario, donde podrás encontrar toda

Leer Más >>