310 likes | 452 Views
EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE PROTECCIÓN DE DATOS. CRISTINA GÓMEZ PIQUERAS Madrid, 24 de octubre de 2006. Legislación sobre Protección de Datos (I). Constitución Española 1978, Artículo 18.4
E N D
EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE PROTECCIÓN DE DATOS CRISTINA GÓMEZ PIQUERAS Madrid, 24 de octubre de 2006
Legislación sobre Protección de Datos(I) • Constitución Española 1978, Artículo 18.4 • Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD) DEROGADA • Real Decreto 428/1993, de 26 de marzo, Estatuto de la Agencia de Protección de Datos • Real Decreto 1332/1994, de 20 de junio, de desarrollo de la LORTAD
Legislación sobre Protección de Datos(II) • Instrucciones: • 1/1995, de 1 de marzo, solvencia patrimonial y crédito. • 2/1995, de 4 de mayo, contratación seguro de vida y crédito. • 1/1996, de 1 de marzo, acceso a edificios. • 2/1996, de 1 de marzo, acceso a casinos y salas de bingo. • 1/1998, de 19 de enero, acceso, rectificación y cancelación. • 1/2000, Transferencias Internacionales • 1/2004, Publicación de Resoluciones. • Real Decreto 994/1999, de 11 de junio, Reglamento de Medidas de Seguridad • LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTERPERSONAL • REGLAMENTO DE DESARROLLO DE LA LOPD EN TRAMITACIÓN
Legislación sobre Protección de Datos(III) • Constitución Europea: • -Artículo 50 • - Carta de Derechos Fundamentales • Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
DATOS DE SALUD (I) • El conocimiento de los datos de salud por terceras personas puede tener consecuencias perjudiciales para el afectado. • Punto de partida: ni la LOPD ni la Directiva 95/46/CE establecen un concepto de dato de salud. • Semántica: salud es el estado en que el ser orgánico ejerce normalmente todas sus funciones o las condiciones físicas en que se encuentra un organismo en un momento determinado. • OMS: el estado de completo bienestar físico, mental o social, y no solamente la ausencia de afecciones o enfermedades.
DATOS DE SALUD (II) • Consejo de Europa. Memoria Convenio 108:“Datos de carácter personal relativos a la salud” informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo, pudiendo tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Igualmente comprenden las informaciones relativas al abuso del alcohol o al consumo de drogas. • Recomendación nº R (97) 5:“Datos médicos” hacen referencia a todos los datos de carácter personal relativos a la salud de una persona, afectando a los datos manifiesta y estrechamente relacionados con la salud así como a las informaciones genéticas.
DATOS GENÉTICOS • Recomendación nº R (97) 5: “Datos genéticos” todos los datos, de cualquier tipo, relacionados con los caracteres hereditarios de un individuo o que, vinculados a dichos caracteres, compongan el patrimonio de un grupo de individuos emparentados. Hace referencia de la misma manera a todos los datos que afecten a intercambios de información genética (genes) de un individuo o línea genética, con relación a cualquier aspecto de la salud o de una enfermedad, constituya o no un carácter identificable.
RESPONSABILIDADES DEL MÉDICO EN EJERCICIO PRIVADO • INSCRIPCIÓN DEL FICHERO. • INCORPORAR MEDIDAS DE SEGURIDAD. • INFORMACIÓN. • CONSENTIMIENTO. • RECOGIDA DE DATOS ADECUADOS. • DERECHOS ACCESO, RECTIFICACIÓN Y CANCELACIÓN. • CUSTODIA DE LA HISTORIA CLÍNICA. • CONSENTIMIENTO PARA CESIÓN (EXCEPCIONES). • CONFIDENCIALIDAD.
INSCRIPCIÓN DE FICHEROS¿Qué datos se incluyen en la comunicación de inscripción? • Origen de los datos. • Procedimiento de recogida. • Cesiones de datos. • Transferencias Internacionales: • Destinatarios de las cesiones o transferencias. • Medidas de seguridad. • Titular del fichero. • Dirección. • Nombre y descripción del fichero. • Ubicación del fichero. • Sistemas de tratamiento. • Identificación de los datos que se van a tratar. • Finalidad y usos del fichero.
MEDIDAS DE SEGURIDAD. Real Decreto 994/1999 • Medidas de índole técnica y organizativas necesarias que: • Garanticen la seguridad de los datos de carácter personal y • Eviten su adulteración, pérdida, tratamiento o acceso no autorizado Todo ello teniendo en cuenta: • El estado de la tecnología • La naturaleza de los datos almacenados y • Los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural. • EN FICHEROS AUTOMATIZADOS Y EN PAPEL
¿Cuáles son las medidas de seguridad que exige el nivel básico?(I) • Documento de seguridad • El responsable del fichero debe elaborar e implantar una normativa de seguridad. • La normativa de seguridad se recoge en el documento de seguridad. • Debe mantenerse actualizado y revisarse cuando se produzcan cambios relevantes en el sistema. • Debe ser conocido por el personal con acceso a datos personales.
¿Cuáles son las medidas de seguridad que exige el nivel básico?(II) • ¿Qué debe contener el documento de seguridad? • Identificación del fichero y los recursos protegidos. • 2. Estructura de los ficheros y descripción del sistema de tratamiento. • 3. Procedimiento de seguridad. • 4. Procedimientos de notificación, gestión y respuesta ante incidencias: registro de incidencias. • 5. Procedimiento de copias. • 6. Funciones y obligaciones del personal con acceso.
¿Cuáles son las medidas de seguridad que exige el nivel básico?(III) • Personal con acceso: • Deben establecerse procesos de identificación y autenticación. • Cuando el mecanismo de autenticación se base en la existencia de contraseñas debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad • Las contraseñas se cambiarán con la periodicidad que marque el documento de seguridad • Debe indicarse el acceso permitido a cada usuario.
Medidas de SeguridadNivel medio(I) • Deben implantarse con datos relativos a: • Comisión de infracciones administrativas. • Comisión de infracciones penales. • Hacienda Pública. • Servicios financieros y de solvencia. • Datos que faciliten el perfil del individuo.
Medidas de SeguridadNivel medio(II) • Las medidas de nivel medio suponen la implantación de las de nivel básico más: Nombramiento de uno o más responsables de seguridad El documento de seguridad ha de ser más completo: • Identificación del responsable de seguridad. • Procesos de verificación periódica de su cumplimiento. • Medidas en caso de desecho o reutilización de soportes. • Procesos de identificación y autentificación más exigentes.
Medidas de SeguridadNivel medio(III) Los sistemas informáticos y las instalaciones en las que se realicen los tratamientos deben auditarse cada dos años. Control de acceso físico a los locales Gestión de soportes: • Registro de entrada y de salida, en el que queden registradas la fecha y hora de entrada o salida • Tipo y número de soportes; • Emisor o destinatario y forma de envío; • Información que contiene y responsable de la recepción o de la entrega.
Nivel alto • Aquellos que traten: • Ideología, religión, creencias religiosas. • Origen racial. • Salud, vida sexual • Datos recabados para fines policiales.
Medidas de SeguridadNivel alto(I) Se habrán de instaurar las de nivel básico y medio más: Mecanismos técnicos que registren todos los accesos • Identificación del usuario, fecha y hora. • Fichero accedido y tipo de acceso. • Si ha sido autorizado o denegado. • Los registros de acceso se conservarán dos años.
Medidas de SeguridadNivel alto(II) La distribución de soportes se hará • Cifrando o utilizando cualquier otro medio • Garantizando que la información no es inteligible ni manipulable. El responsable de seguridad revisará la información y elaborará un informe mensual.
DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS • Existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. • Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. • Consecuencias de la obtención de los datos o de la negativa a suministrarlos. • Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. • Identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
CONSENTIMIENTO • Inequívoco Los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente. • Revocable • Excepciones • Prevención o diagnóstico médico, prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto a secreto profesional o persona sujeta a obligación equivalente. • Salvaguardar el interés vital del afectado. • Instituciones sanitarias y profesionales de acuerdo con la legislación sanitaria, respecto a las personas que acudan a ellas o sean tratados en los mismos. • Consentimiento expreso para otras finalidades
Adecuados Pertinentes No excesivos Veraces Actuales Exactos Prohibición recogida determinadas Finalidades explícitas legítimas Contenido fraudulenta desleal ilícita ¿QUÉ DATOS PODEMOS RECABAR?
DERECHOS DEL INTERESADO (I) • DERECHOS PERSONALÍSIMOS • DERECHOS INDEPENDIENTES • FICHEROS AFECTADOS: AUTOMATIZADOS Y PAPEL • GRATUITOS • SOLICITUD ANTE EL RESPONSABLE • OBLIGACIONES DEL RESPONSABLE • CONTESTACIÓN EXPRESA • SUBSANACIÓN
DERECHOS DEL INTERESADO Acceso: Solicitud de sus datos de carácter personal sometidos a tratamiento, origen, comunicaciones realizadas o que se prevén. Plazo contestación de un mes. Rectificación y cancelación: En caso de datos inexactos o incompletos o de tratamiento no ajustado a la Ley. Conservación durante los plazos previstos en las disposiciones aplicables o en relaciones contractuales. Plazo contestación 10 días. Oposición: El interesado se opone al tratamiento de sus datos, salvo que una Ley prevea la inclusión de datos. Indemnización: Por los daños o perjuicios causados como consecuencia del incumplimiento de la Ley.
DERECHO DE ACCESO • CONCEPTO • PLAZO: 1 MES + 10 DÍAS • FORMA DEL ACCESO • Soporte elegido por el reclamante: Visualización en pantalla, escrito, copia o fotocopia remitida por correo, telecopia, cualquier otro procedimiento adecuado • Legible • Inteligible • CONTENIDO DE LA INFORMACIÓN • Datos de base del afectado • Los resultantes de cualquier elaboración o proceso informático • Origen de los datos • Cesionarios de los datos • Usos y finalidades para los que se almacenaron.
DERECHO DE ACCESO • ACCESO LEY 41/2002 • EL PACIENTE TIENE EL DERECHO DE ACCESO, CON LAS RESERVAS SEÑALADAS EN EL APARTADO 3 DE ESTE ARTÍCULO, A LA DOCUMENTACIÓN DE LA HISTORIA CLÍNICA Y A OBTENER COPIA DE LOS DATOS QUE FIGURAN EN ELLA (ART. 18.1) • LÍMITES: • PERJUICIO DEL DERECHO DE TERCERAS PERSONAS A LA CONFIDENCIALIDAD DE LOS DATOS DE SALUD. • PERJUICIO DEL DERECHO DE LOS PROFESIONALES; POSIBILIDAD DE OPONER RESERVAS DE SUS ANOTACIONES SUBJETIVAS. • ACCESO DATOS PACIENTES FALLECIDOS A LAS PERSONAS VINCULADAS A ÉL, POR RAZONES FAMILIARES O DE HECHO, SALVO QUE EL FALLECIDO LO HUBIESE PROHIBIDO EXPRESAMENTE Y ASÍ SE ACREDITE.
DERECHO DE RECTIFICACIÓNY CANCELACIÓN • CONCEPTO • PLAZO: 10 DÍAS • FORMA • a) Derecho de rectificación: indicar dato erróneo, aportar documentación justificativa • b) Derecho de cancelación: el interesado debe indicar si revoca el consentimiento otorgado • - La cancelación da lugar al bloqueo de datos y posteriormente se cancelan • DENEGACIÓN: Los datos se mantendrán durante los plazos legalmente establecidos o pactados contractualmente.
COMUNICACIONES A TERCEROS O CESIÓN DE DATOS Con carácter general, es necesario el consentimiento del afectado Excepciones: • Cesión autorizada por una Ley • Tratamiento que responde a una relación jurídica libremente aceptada cuando la comunicación es necesaria para su desarrollo, cumplimiento o control. • Cesiones de datos de salud para solucionar urgencias o que requieran acceder a estudios epidemiológicos.
CONFIDENCIALIDAD DE LOS DATOS El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Vulneración del deber de guardar secreto de los datos de salud: comisión de infracción muy grave, pudiendo ser sancionada con multa de 300.000 a 600.000 euros.
CUESTIONES NO RESUELTAS • REGULACIÓN ESPECÍFICA DE LA RECOGIDA DE DATOS Y CUMPLIMIENTO DEL DEBER DE INFORMACIÓN AL PACIENTE. • QUE PASA CON LAS HISTORIAS CLÍNICAS DE UN MÉDICO PARTICULAR CUANDO FALLECE. • REGULACIÓN DEL PROCEDIMIENTO PARA CORREGIR DATOS ERRÓNEOS DE LA HISTORIA CLÍNICA. • REGULACIÓN DEL DERECHO DE CANCELACIÓN (DATOS DE ANTIGUAS DROGADICCIONES) • CONSECUENCIA: APLICACIÓN SUPLETORIA DE LA LOPD
A. E. P. D. https://www.agpd.es/ Gabinete Jurídico: Informes Atención al ciudadano: 913996200 Registro de ficheros: 913996229 Muchas Gracias.