Informe de cumplimiento de la
LOPD en Hospitales
13 de octubre de 2010
Informe de cumplimiento de la LOPD en Hospitales
Motivación
Los tratamientos de datos de carácter personal que se realizan en el ámbito
hospitalario y, en particular, los relacionados con la gestión de las historias
clínicas o la investigación clínica, incluyen datos de salud, considerados
datos sensibles o especialmente protegidos y, como tales, tienen un
régimen de garantías más reforzado.
En este sentido, conforme a lo dispuesto en los artículos 7.3 y 44.4 de la
LOPD y el artículo 81 del RLOPD, este mayor nivel de garantías se
concreta en:
La exigencia de un consentimiento reforzado,
La cualificación de las infracciones como muy graves y
La aplicación de las medidas de seguridad de nivel alto
especificadas en el propio reglamento
Informe de cumplimiento de la LOPD en Hospitales
Motivación
La iniciativa de evaluar el nivel de cumplimiento de los centros hospitalarios se debe a
la constatación de alarmantes casos y procedimientos tramitados por la Agencia
vinculados principalmente a la vulneración de los deberes de seguridad y secreto por
parte de centros sanitarios. Los casos más destacados:
1. Difusión de datos de pacientes a través de redes de intercambio de
archivos P2P
2. Datos de salud abandonados en contenedores de la vía pública
3. Almacenamiento de documentación clínica en áreas no restringidas al
público y en dependencias al alcance de cualquiera
4. Pérdida de historiales clínicos al proceder a la automatización de las
historias y no adoptar medidas de seguridad
5. Utilización de los datos sanitarios para finalidades no autorizadas y
comunicación indebida a terceros.
Informe de cumplimiento de la LOPD en Hospitales
Alcance y metodolgía
•
Envío de un requerimiento de información a los 654 centros sanitarios
registrados en el Catálogo Nacional de Hospitales que son competencia
de la AEPD. (Envío realizado a todas las comunidades excepto centros públicos
y privados de Cataluña, y centros públicos de Madrid y el País Vasco).
•
Tras hacer el filtrado y la comprobación de que había centros que habían
cesado su actividad o que se encontraban duplicados a efectos de este estudio,
la cifra se redujo a 605 hospitales.
•
De los 605 hospitales, la AEPD recibió la contestación de 562 centros, un
92% del total.
654 centros
del CNH
605 centros
tras el
filtrado
562 centros
contestaron
Informe de cumplimiento de la LOPD en Hospitales
Alcance y metodolgía
Datos por comunidades autónomas
Comunidad Autónoma
Centros
Centros
% Centros
requeridos
contestados
contestados
CIUDAD AUTÓNOMA DE CEUTA
2
2
100,00
CIUDAD AUTÓNOMA DE MELILLA
1
1
100,00
124
119
95,97
C.A DE ARAGÓN
29
27
93,10
C.A. DE CANARIAS
42
35
83,33
9
8
88,89
C.A. DE CASTILLA Y LEÓN
50
49
98,00
C.A. DE CASTILLA-LA MANCHA
33
28
84,85
C.A. DE EXTREMADURA
26
24
92,31
C.A. DE GALICIA
63
53
84,13
C.A. DE LA REGIÓN DE MURCIA
26
26
100,00
7
7
100,00
C.A. DE LES ILLES BALEARS
23
20
86,96
C.A. DEL PAÍS VASCO
26
24
92,31
C.A. DEL PRINCIPADO DE ASTURIAS
23
23
100,00
COMUNIDAD DE MADRID
48
47
97,92
COMUNIDAD FORAL DE NAVARRA
13
13
100,00
COMUNIDAD VALENCIANA
60
56
93,33
605
562
92,89
C.A. DE ANDALUCÍA
C.A. DE CANTABRIA
C.A. DE LA RIOJA
TOTAL GENERAL
Informe de cumplimiento de la LOPD en Hospitales
Alcance y metodolgía
Datos por titularidad del centro
Desglose de los centros que han sido requeridos para realizar el
informe de cumplimiento en función de la titularidad, así como el
número de centros, por titularidad, que han atendido dicho
requerimiento y el resultado numérico de centros que presentan
deficiencias en el cumplimiento de la LOPD.
Requeridos
No
contestan
Contestan
Envío de
recomendaciones
Requerimiento
medidas
correctoras
Privados
313
20
294
251
43
Públicos
292
23
268
109
159
Total
605
43
562
360
202
Informe de cumplimiento de la LOPD en Hospitales
Alcance y metodolgía
En el requerimiento de información enviado se preguntaba
sobre el nivel de cumplimiento de la LOPD en lo relativo a:
► Medidas de seguridad y documento de seguridad; obligaciones del
personal; control y registro de acceso; comunicación de datos; gestión
de incidencias; gestión de soportes y documentos; copias de respaldo;
y documentación en papel.
► Auditoría de medidas de seguridad
► Deber de información y atención al ejercicio de derechos ARCO
► Inscripción de ficheros en el RGPD
► Contratación de servicios de tratamiento de datos personales
Informe de cumplimiento de la LOPD en Hospitales
Implantación de medidas de seguridad
La evaluación realizada a los centros sanitarios
ha puesto de manifiesto que, pese a que un 98%
de los centros privados y un 83% de los
centros públicos han elaborado el Documento
de Seguridad previsto en el Reglamento de la
LOPD, existen centros sanitarios, principalmente
públicos, en los que se constatan importantes
deficiencias en la implantación de medidas para
que los datos personales e información sanitaria
de los pacientes sean adecuadamente
custodiados y no puedan ser conocidos por
terceros no autorizados
Informe de cumplimiento de la LOPD en Hospitales
Implantación de medidas de seguridad
Preguntas
C. Públicos
C. Privados
Documento de seguridad
El 83% dispone de él
El 98% dispone de él
Mecanismos que dificulten la apertura de
los dispositivos de almacenamiento
El 35% carece de ellos
El 89,4% dispone de
ellos
Medidas para evitar la sustracción, pérdida
o acceso indebido
El 30% carece de ellas
El 15% carece de ellas
Conservación de un registro con todos
los accesos a la información
El 37,4 no lo conserva
El 85,6% lo guarda
Conservación del registro de accesos por
un periodo mínimo de dos años
El 42% no lo conserva
El 21% no lo conserva
Auditan que el personal autorizado utiliza
los datos para la finalidad que justificó el
acceso
El 75% no lo hace
El 35% no lo hace
Auditoría bienal de seguridad
El 66% no lo hace
Lo realiza el 88%
Se ha informado al personal de limpieza
sobre la necesidad de garantizar la
confidencialidad
El 74% lo ha hecho
El 94% lo hace
Informe de cumplimiento de la LOPD en Hospitales
Deber de información y ejercicio de derechos ARCO
Preguntas
C. Públicos
C. Privados
Incluye cláusula informativa conforme al
artículo 5 de la LOPD
El 55% no la incluye
El 94,5% la incluye
Disponen de carteles informativos sobre el
derecho a la protección de datos
El 64% dispone de ellos
El 80% dispone de
ellos
Procedimientos para atender de manera
efectiva el ejercicio de los derechos ARCO*
El 84% disponen de
ellos
El 96% cuentan con
ellos
En los últimos dos años se ha constatado un incremento significativo en el
número de las solicitudes de tutela de derecho relacionadas con el ámbito de
la salud , principalmente vinculadas al acceso a la propia historia clínica, al
considerar que se había suministrado de forma incompleta, así como por ser
denegado el acceso al historial clínico de un familiar fallecido.
Informe de cumplimiento de la LOPD en Hospitales
Inscripción de ficheros en el RGPD
Preguntas
C. Públicos
C. Privados
Inscripción de ficheros en el RGPD
El 89% los inscribe
El 99% los inscribe
Mantenimiento y actualización de la
inscripción en el RGPD
El 80% los actualiza
El 96% los actualiza
La inscripción de ficheros en el Registro General de Protección de Datos es uno de los
indicadores auditados en los que se constata un elevado nivel de cumplimiento en centros
públicos y privados.
Los centros hospitalarios de Aragón (66,67%) y Cantabria (75%) son los que presentan un
menor porcentaje de inscripción de ficheros. En el resto de comunidades el promedio de
inscripción supera el 87%.
Informe de cumplimiento de la LOPD en Hospitales
Externalización de servicios que implican tratamiento de datos
El 86% de los centros hospitalarios, tanto públicos como privados,
ha externalizado servicios que implican el tratamiento de datos
personales por entidades distintas al propio centro
En la mayoría de los casos, los centros han
cumplido con la exigencia normativa –
recogida en el artículo 12 de la LOPD- sobre
las garantías de acceso a los datos por
cuenta de terceros en el que se establece la
necesidad de delimitar mediante contrato
escrito:
Las finalidades y accesos
permitidos
Las medidas de seguridad
aplicables
Las responsabilidades en
caso de incumplimiento
Se constata un porcentaje bajo de centros que aplican procedimientos
de disociación de los datos de carácter personal (34%). (Procedimiento
no exigido en la LOPD // Sí recomendable)
Informe de cumplimiento de la LOPD en Hospitales
Acciones a desarrollar
Remisión a la Subdirección General de Inspección de los 43
centros que no han atendido el requerimiento, dado que
podrían haber incurrido en una infracción de la LOPD.
Remisión del informe a todos los centros con
recomendaciones a todos los centros.
Requerimiento a 202 centros la adopción de medidas
correctoras y la comunicación de las mismas a la AEPD en
un plazo de 6 meses
Informar a las Consejerías y al Ministerio
Informe de cumplimiento de la LOPD en Hospitales
Recomendaciones
Mantener actualizada la inscripción de ficheros.
Incluir cláusulas informativas en los impresos y adaptarlas en función del
fichero en el que se van a incluir los datos.
Colocar carteles informativos sobre el derecho a la protección de datos.
Informar al personal de limpieza sobre la necesidad de garantizar la
confidencialidad de los datos.
Aplicar procedimientos de disociación de los datos de carácter personal
en los tratamientos de datos que hayan sido externalizados.
Registrar todos los accesos realizados a los historiales clínicos.
Informe de cumplimiento de la LOPD en Hospitales
Recomendaciones
Realizar auditorias que verifiquen si el personal utiliza los datos para la
finalidad que justificó el acceso.
Almacenar los archivos físicos de historias clínicas en áreas con acceso
protegido mediante llave o dispositivo equivalente y en archivadores que
dispongan de mecanismos que obstaculicen su apertura.
Custodiar la documentación clínica de pacientes cuando ésta no se
encuentre archivada impidiendo que pueda ser accedida por terceros.
Adoptar medidas para evitar la pérdida o sustracción de la
documentación durante su transporte.
Realizar la auditoría bienal de seguridad del fichero de historias clínicas
y de otros que puedan contener datos relativos a la salud de las personas.
Descargar

Diapositiva 1