Anàlisi de la 'guía para profesionales del sector sanitario'
Anàlisi de la 'guía para profesionales del sector sanitario'
L’Agència Espanyola de Protecció de Dades (AEPD) ha publicat, recentment, la Guía para Profesionales del sector sanitario. Aquest document actualitza i amplia la Guía para pacientes y usuarios de la Sanidad, publicada l’any 2019.
La guia abasta, de manera holística, les diverses circumstàncies i situacions que es donen en l’àmbit sanitari en relació amb els tractaments de dades. Entre les qüestions abordades, en destaquem les relatives als accessos i usos de les dades de la història clínica amb finalitats docents, la responsabilitat individual del professional sanitari davant l’accés il·legítim o no justificat a la informació clínica i els canals de contacte entre el centre assistencial i els pacients.
En relació amb els usos de les dades incloses a la història clínica amb finalitats docents, l’Agència Espanyola de Protecció de Dades indica que podran tenir accés a les històries clíniques els estudiants en pràctiques. Aquests accessos seran possibles quan resultin necessaris per a la realització d’aquestes pràctiques, així com en el marc de la mateixa activitat docent. A més, l’accés a les històries clíniques per part dels estudiants haurà de dur-se a terme en base a uns perfils i permisos limitats, de manera que s’acoti el temps de visualització, els permisos es limitin únicament a la visualització de les dades i no a l’edició, etc. Així mateix, les consultes es limitaran a les dades d’aquells pacients que presentin aquest interès docent i sempre prèvia autorització del tutor o persona que supervisi l’activitat docent. Així mateix, els estudiants hauran de signar el corresponent document de compromís de confidencialitat que abasti les particularitats dels accessos a les històries clíniques que es duguin a terme en l’esdevenir de l’estada formativa.
D’altra banda, els accessos a les dades incloses a les històries clíniques amb la finalitat de realitzar els treballs de màster o fi de grau han de realitzar-se, amb caràcter general, sobre dades prèviament dissociades.
Així mateix, és possible l’accés a la informació per part del professional sanitari que participa de l’activitat docent, ja sigui fent classes, impartint cursos o participant en congressos. En aquest casos les dades s’han de presentar de manera que no sigui possible identificar el pacient. Aquest fet haurà de tenir-se especialment en compte quan es presentin casos que facin referència a malalties minoritàries, casos de transcendència pública o altres situacions que puguin facilitar la identificació del pacient.
D’altra banda, la guia també fa esment de la responsabilitat personal o individual que pugui tenir el professional sanitari que accedeixi de manera il·legítima a una història clínica. Si bé la sanció per incompliment de la normativa de protecció de dades recaurà sobre el responsable del tractament, l’Agència Espanyola de Protecció de Dades assenyala que el professional sanitari autor de l’incompliment pot respondre tant des de l’àmbit penal, com administratiu o disciplinari. Així, convé tenir en compte que el professional sanitari pot exposarse a penes de presó de fins a 5 anys, així com a penes de multa i inhabilitació. D’altra banda, es podran imposar sancions disciplinàries tant des de l’àmbit laboral com per raó de l’incompliment del Codi deontològic de la professió. Cal tenir en compte que el mer accés ja podrà suposar l’aplicació d’aquestes penes. En cas que, a més de l’accés, es produeixi una revelació de les dades, les conseqüències podran agreujar-se.
Assenyala l’Agència, a més, que el descobriment d’un accés indegut per part d’un professional pot comportar, per al responsable del tractament, l’obligació de comunicar aquest fet com una violació de seguretat.
Per acabar, cal destacar que l’Agència indica la possibilitat de comunicar-se amb el pacient per mitjans telefònics quan aquestes dades de contacte s’hagin recollit en el marc de la relació assistencial i la finalitat del tractament sigui, també, de caràcter assistencial (recordatoris, canvis de visita, etc.). Ens indica l’Agència Espanyola de Protecció de Dades que el determinant és la utilització de la dada, el número de telèfon, i no el canal, a l’hora d’establir la possibilitat de realitzar aquesta comunicació sense el consentiment del pacient. Això implica la possibilitat de fer servir, més enllà de la trucada o el missatge SMS, altres aplicacions de missatgeria com WhatsApp o Telegram. No obstant això, la mateixa Agència assenyala que serà el responsable del tractament qui haurà de decidir, diligentment, aquell mitjà de tractament que presenti menys riscos o que s’ajusti més a les exigències que estableix la normativa de protecció de dades.
Així mateix, en relació amb el contingut del missatge, serà el responsable del tractament qui haurà de decidir, aplicant el principi de minimització de dades, el contingut de la comunicació i la informació que es faciliti.
En conclusió, la guia presentada per l’Agència Espanyola de Protecció de Dades aporta una nova revisió dels conceptes, principis i actuacions que defineixen la manera de tractar les dades personals en l’àmbit de l’atenció sanitària.