150 likes | 287 Views
FORO SOBRE PROTECCIÓN DE DATOS DE SALUD CASOS PRÁCTICOS: LA EXPERIENCIA DE LAS AUTORIDADES DE PROTECCIÓN DE DATOS Sociedad Española de Informática de la Salud Pamplona, 16 y 17 de marzo de 2011 Cristina Gómez Piqueras Jefe de Servicio de la AEPD. SUPUESTOS.
E N D
FORO SOBRE PROTECCIÓN DE DATOS DE SALUD CASOS PRÁCTICOS: LA EXPERIENCIA DE LAS AUTORIDADES DE PROTECCIÓN DE DATOS Sociedad Española de Informática de la Salud Pamplona, 16 y 17 de marzo de 2011 Cristina Gómez PiquerasJefe de Servicio de la AEPD
SUPUESTOS • Medidas de seguridad cuando se transmiten datos de salud. • Tratamiento de datos de salud (excesivos). • Utilización de datos del fichero pacientes para enviar felicitaciones con direcciones de correo electrónico visibles. • Cesión de datos de salud a terceras empresas y tratamiento de datos de salud por parte de éstas. • Mutuas y prevención de riesgos laborales.
Medidas de seguridad cuando setransmiten datos de salud PS/00353/2010 • Una Sra. asegurada con AXA acude a un médico particular que trabaja para esa misma compañía. Le hace pruebas y estima que es necesario hacer una intervención quirúrgica. El médico envió el informe a la compañía aseguradora mediante fax. • El médico alegó • Qué podía enviar los informes por correo electrónico encriptado, pero que las compañías solicitan que se envíe por fax. • Qué la afectada conocía el sistema ya que ella misma se lo había comunicado.
PS/00353/2010 • Artículo 104 del Real Decreto 1720/2007: “Cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.”.
Tratamiento de datos de salud (excesivos) PS/00219/2010 • Una Sra. recibió dos envíos postales remitidos por KELLOGS ESPAÑA. En el exterior del sobre, y junto con sus datos postales se incluía “Enferma celiaca”. • La empresa tenía los datos de la denunciante en el fichero “Prescriptores”, incluyendo un dato denominado “Alta” con la información “CELI_ENE05” • KE había contratado una prestación de servicios de marketing directo y los datos los facilitó la denunciante al ir a un congreso. • No pudo acreditar el consentimiento de la afectada.
Utilización de datos del fichero pacientes para enviar felicitaciones con direcciones de correo electrónico visibles PS/00561/2010 • Una señora acude a un Clínica Dental y le solicitan sus datos personales en un formulario, en el que consta la información recogido en el artículo 5 de la LOPD. • En las Navidades la Clínica envía una felicitación a sus clientes por correo electrónico en cuyo apartado “para” aparecen todas las direcciones de correo electrónico destinatarias del mismo correo, y que corresponden a clientes de la clínica. • Se debió a un error puntual. • No se sancionó el posible desvío de finalidad en la utilización de datos al no haberse denunciado.
Cesión de datos de salud a terceras empresas y tratamiento de datos de salud por parte de éstas PS/00179/2010 • Es relativamente habitual que al acudir a un Hospital allí se hagan pruebas óticas u oftálmicas y después se reciba la carta de una óptica o de un centro auditivo ofertando el producto que se necesita para corregir el problema. • Existe dificultad para acreditar la cesión, pero existen circunstancias acreditativas de los hechos.
PS/00179/2010 • Una señora denunció que, tras acudir a un Hospital público con su hijo menor, recibió una carta a nombre del menor, informándoles de las ayudas auditivas del centro en virtud de los acuerdos establecidos con una Comunidad Autónoma. • Este procedimiento se archivó por prescripción de la infracción, tratamiento de datos sin consentimiento (artículo 6 de la LOPD).
EMPRESAS Y ABSTENTISMO LABORAL • Una empresa puede controlar el absentismo laboral, de acuerdo con el artículo 20.4 del ET. • Si contrata una empresa externa para controlar el absentismo debe: • Comunicar a la empresa los datos básicos de los trabajadores de baja. • Informar a sus trabajadores de la contratación de esa empresa y la finalidad de su trabajo: seguimiento de la enfermedad control del absentismo.
EMPRESAS Y ABSTENTISMO LABORAL (II) • La empresa contratada facilitara al empresario información sobre el carácter justificado o no de la baja de su trabajador, a los efectos de posibilitar que ejerza la función del control del absentismo. • Nunca facilitara la historia clínica ni datos concretos de salud al empresario
EMPRESAS Y ABSTENTISMO LABORAL (III) • Si la propia empresa realiza el seguimiento de bajas y control del absentismo laboral debe: • Informar a sus trabajadores de que la propia empresa realizara esa función y la finalidad de su trabajo. • El servicio médico informara al empresario sobre el carácter justificado o no de la baja de su trabajador, a los efectos de posibilitar que ejerza la función del control del absentismo. • Nunca facilitara la historia clínica ni datos concretos de salud al empresario.
PREVENCIÓN DE RIESGOS LABORALES • La empresa tiene la obligación de garantizar la seguridad y salud de sus trabajadores (prevenir los riesgos laborales) mediante la vigilancia periódica de su estado de salud (reconocimientos médicos periódicos) (Ley 31/1995). • Si la empresa opta por tener un servicio de prevención propio, el responsable del fichero será la propia empresa pero los datos de salud los tendrá el servicio médico. • El servicio médico informará al empresario sobre la aptitud de sus trabajadores, no le facilitara datos de salud.
PREVENCIÓN DE RIESGOS LABORALES (I) • El servicio de prevención ajeno realizará la vigilancia de la salud de los trabajadores de las empresas que sean sus clientes e informara a la empresa de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud de los trabajadores para el desempeño de su puesto de trabajo. • Nunca facilitara la historia clínica ni datos concretos de salud de los trabajadores al empresario. • La transmisión de esos datos de aptitud y posible adecuación del puesto de trabajo es una cesión amparada por la Ley 31/1995, artículos 30.3 y 23.1.
MUTUAS • Las Mutuas, en contingencias comunes, reconocen el derecho a la prestación económica; deniegan, suspenden, anulan o declaran la extinción del derecho; ejercen el control de la prestación económica; y: • Pueden formular propuestas de alta médica a la Inspección médica de los Servicios Públicos de salud. • Realizar tratamientos médicos, intervenciones quirúrgicas, pruebas diagnósticas en los casos de demora en el servicio público de salud.