La Agencia Española de Protección de Datos (AEPD) ha hecho público el Plan de inspección sectorial de oficio realizado a hospitales públicos, en el que se recogen los resultados y las conclusiones del análisis realizado por la AEPD sobre el nivel de cumplimiento de las garantías en materia de protección de datos por parte de los hospitales públicos. Entre los aspectos que se pueden y deben mejorar hay que destacar los relacionados con la información ofrecida a los pacientes o el refuerzo de las medidas de seguridad.
Como ejemplo, respecto al consentimiento, la Agencia recoge en el informe que es necesario recabarlo para saber si el paciente desea que su presencia y ubicación en el hospital sea comunicada a las personas o familiares que pregunten por ello y, si este no se opone, el hospital puede informar de si se encuentra en urgencias o ingresado y el número de habitación, sin indicar datos de salud o la atención médica prestada.
Las principales conclusiones del análisis también han constatado, en líneas generales, una tendencia favorable a la progresiva asunción no sólo de la normativa sino de los principios y la cultura de protección de datos.
El informe pone de manifiesto que los errores detectados en el tratamiento de los datos no constituyen comportamientos generales, lo que supone una mejoría en comparación con las situaciones anteriores.
La publicación de este Plan de inspección está acompañada de un decálogo básico que recoge los puntos más relevantes de la normativa de protección de datos orientados al personal sanitario y administrativo de los centros, con el objetivo final de elevar el nivel de cumplimiento y generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial como en el de la investigación.
La evaluación publicada se ha realizado en hospitales públicos gestionados de forma directa e indirecta, si bien las conclusiones y las más de 35 recomendaciones extraídas son aplicables a todo tipo de centros sanitarios. En este sentido, hay que destacar que los datos de salud se encuentran incluidos en el Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018, entre los catalogados como “categorías especiales”, cuyo tratamiento exige garantías reforzadas.
Con el diagnóstico derivado de este informe, la AEPD −que ya lo ha presentado a las Comunidades Autónomas en el marco de la Subcomisión de Sistemas de Información del Sistema Nacional de Salud− ofrece un punto de referencia para que el sector sanitario pueda abordar la adaptación de sus sistemas y procedimientos a los nuevos requerimientos que impone el RGPD.
Servicios hospitalarios inspeccionados
El informe está centrado en la auditoría de los aspectos en los que se detectaron carencias en los planes de inspección realizados en 1995 y 2010 y, en concreto, en las medidas de seguridad implementadas. Para ello, se han auditado hospitales que, partiendo de una situación de historia clínica en papel, la han transferido a formato electrónico; hospitales que conservan todavía la historia clínica en papel y que están inmersos en procesos de automatización, y hospitales que cuentan con historia clínica electrónica desde su creación. Entre los servicios hospitalarios inspeccionados se encuentran: Admisión, Urgencias, Consultas Externas, Anatomía Patológica, Unidad de Cuidados Intensivos, Laboratorio de Análisis Clínicos, Farmacia Hospitalaria, Departamento de Informática, Atención al Paciente, Servicios Sociales y Biobanco.
