Responsabilidad en Protección de Datos ante un robo de información sanitaria
Desgraciadamente son cada vez más los casos de robo de equipos informáticos, copias de seguridad o de información sanitaria en clínicas y centros sanitarios en general. Semanas después, es muy frecuente encontrarse situaciones de responsabilidad ante

21-09-2015
Colegio Profesional de Fisioterapeutas de Castilla-La Mancha

Desgraciadamente son cada vez más los casos de robo de equipos informáticos, copias de seguridad o de información sanitaria en clínicas y centros sanitarios en general. Semanas después, es muy frecuente encontrarse situaciones de responsabilidad ante la Agencia Española de Protección de Datos (AEPD) por no proteger debidamente la información. No hay que olvidar que en los últimos cuatro años se ha producido un crecimiento del 81,6% en el número de reclamaciones presentadas ante esta entidad, y que crecen casi exponencialmente las sanciones e inspecciones, que se suelen dar después de este tipo de hechos. Es objeto de este artículo intentar explicar en qué situación queda un profesional fisioterapeuta después de que se produzca un hecho de estas características.

 

Podemos decir que el profesional no responderá económicamente ante un robo de información (por ejemplo, un disco duro con datos de pacinetes) si ha implantado las estrictas medidas de seguridad que la LOPD (Ley Orgánica de Protección de Datos, y su normativa de desarrollo) detalla. Nadie está a salvo de robos, pero existe diferencia entre ponérselo fácil a los malhechores o ponerles barreras de acceso a la información. Al fin y al cabo, estamos hablando de datos de salud que están en nuestros archivos y debemos protegerlos convenientemente.

 

En multitud de expedientes sancionadores, la AEPD no ha sancionado finalmente al titular del centro sanitario si el mismo consigue demostrar que había adoptado "las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural". Y es que la propia normativa establece que "no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas". Es decir, la normativa nos dice que el profesional se debe abstener de tratar datos personales, y mucho menos si son considerados especialmente protegidos, en entornos que no cuenten con las debidas medidas de seguridad. No habrá responsabilidad ante esta entidad si el profesional había implantado las medidas de seguridad exigidas y aún así es víctima de un robo. La seguridad absoluta no existe y la normativa pretende ponerlo difícil en este tipo de situaciones, pero no puede garantizar la seguridad en todo caso.

 

¿Qué ocurre si el profesional no implanta las medidas de seguridad en su clínica?

Hay que señalar que contamos con el régimen sancionador mas alto de toda la Unión Europea. Es infracción grave "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.". Estas infracciones son sancionadas con multas que comienzan en los 40.000 € nada menos, aunque todo dependerá del grado de diligencia que haya mostrado el profesional a la hora de proteger la información de la que es responsable. Consecuencia: encima de robarnos, nos sancionan con una multa cuantiosa.

 

Medidas de Seguridad

En cuanto a las medidas de seguridad a las que se refiere este artículo, son muchas y muy variadas, todas ellas tendentes a proteger la información. Las podemos dividir en 3 tipos: medidas jurídicas, informáticas y organizativas. A continuación, algunos ejemplos:

 

Jurídicas: inscripción de ficheros en el registro, elaboración de un documento de seguridad, auditoría de seguridad cada dos años, firma de contratos de privacidad con terceros y cláusulas de confidencialidad con trabajadores, etc...


Informáticas: copias de seguridad en soporte externo con frecuencia mínima semanal, contraseñas de acceso a los equipos, cifrado en envío de correos electrónicos, etc


Organizativas: protección del archivo (armario bajo llave, puerta con llave), carteles informativos de LOPD en salas de espera, correcto etiquetado en los soportes, etc...

 

Es conveniente que la correcta implantación de estas medidas se supervise por un profesional externo, en una auditoría que además es obligatoria en las clínicas (cada dos años y siempre al comienzo de la actividad profesional). Os recomendamos que visitéis la página web de la AEPD y que os informéis al respecto: www.agpd.es. También podéis solicitar asesoramiento profesional a las entidades con las que habitualmente trabajamos y con la que mantenemos vigentes convenios de colaboración con importantes ventajas para los colegiados:

 

- Tlf.: 926860529

- Email: info@legaltech.es

- Web: www.legaltech.es

Acceder a la noticia
Esta página web usa cookikes
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Puedes obtener más información aquí: Más información