REFLEXIONES A LOS DOS MESES DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS.


Si, ya han pasado dos meses, y la cuestión es hacer un somero viaje por lo que se ha publicado y que es lo que se ha dicho tanto desde la #AEPD, Tribunales de Justicia y de diversos juristas y doctrinarios e influencers de este sector jurídico.

Una de las cuestiones mas destacables de la #AEPD, es su nueva pagina web, una pagina muy amigable y fácil de manejar. Se destaca de entrada en el menú de inicio lo dedicado al #RGPD, facilitando herramientas a empresas y profesionales, se recoge un submenú de destacados en donde se recoge diferentes guías, la memoria de 2017 y los vídeos de la 10 Sesión Anual; un apartado de información practica en donde se comunica las brechas de seguridad, la certificación del DPD, consultas previas, etc, y por último una serie de enlaces de interés. No hay que olvidar los informes y resoluciones; guías y herramientas, y demás submenú que son ya tradicionales en dicha página.

Uno de los Congresos destacados es el VI Congreso Nacional de Privacidad, organizado por la Asociación Profesional Española de Privacidad, que se llevo a cabo en Madrid los días 7 y 8 de junio. Es de destacar también la Segunda Jornada Anual sobre protección de datos y Abogacía organizada por el Consejo General de la Abogacía Española el 7 de julio, y que en esta edición se baso en ‘El nuevo marco jurídico de la protección de datos y su incidencia en la Abogacía’. De igual importancia se encuentra el DigitalES Summit 2018, un encuentro organizado por la patronal del sector tecnológico DigitalES y que se realizo los días 10 y 11 de julio en Madrid.

Algunas noticias de importancia y relevancia en protección de datos han sido las siguientes;

  • El Tribunal de Justicia de la Unión Europea ha dictado una sentencia en la que declara que las comunidades religiosas, como la de los Testigos de Jehová, son responsables, a efectos de la normativa de protección de datos de la Unión, del tratamiento que hagan de la información recopilada por sus predicadores en las visitas puerta a puerta.

  • La Sala Primera del Tribunal Constitucional ha estimado un recurso de amparo interpuesto por dos personas que consideraron vulnerados sus derechos al honor, a la intimidad y a la protección de datos por el uso de las tecnologías de internet, al aparecer sus nombres y apellidos en los buscadores de hemerotecas digitales. Consideraban vulnerado su derecho al olvido, recogido el artículo 17 del Reglamento de Protección de Datos de la Unión Europea, como derecho a la supresión de los datos personales. La sentencia, de fecha 4 de junio, dictada por la Sala Primera y cuya ponente ha sido la Magistrada María Luisa Balaguer, argumenta que la prohibición de indexar los datos personales, en concreto los nombres y los apellidos de las personas recurrentes, para su uso por el motor de búsqueda interno de El País debe ser limitada, idónea, necesaria y proporcionada al fin de evitar una difusión de la noticia lesiva de los derechos invocados”.

  • El Abogado General del Tribunal de Justicia de la Unión Europea, Henrik Saugmandsgaard Øe, ha considerado que el Derecho de la Unión no se opone a que las autoridades competentes en una investigación criminal puedan acceder a los datos personales o de filiación, en poder de los proveedores de servicios de comunicaciones electrónicas, que permitan encontrar a los supuestos autores de un delito aunque éste no revista especial gravedad.

  • La Agencia Española de Protección de Datos (AEPD) ha hecho pública su Resolución en la que confirma que el Ministerio de Justicia ha cometido una infracción tipificada como grave en la Ley Orgánica de Protección de Datos (LOPD) a causa de la brecha de seguridad de la plataforma LexNET que permitió a los usuarios acceder a los buzones personales de terceros. También queda demostrado, que el fallo no afectó a ficheros jurisdiccionales ni a expedientes completos.

  • La Agencia Española de Protección de Datos (AEPD) ha anunciado una resolución por la que sanciona a las empresas WhatsApp y Facebook a pagar 600.000 euros por dos infracciones graves de la Ley Orgánica de Protección de Datos (LOPD). Concretamente, las sanciones han sido una de ellas a WhatsApp por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios y otra a Facebook por tratar esos datos para sus propios fines sin consentimiento.

  • El Consejo de Ministros, a propuesta del ministro de Justicia, Rafael Catalá, ha aprobado el Proyecto de Ley Orgánica de Protección de Datos que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679, introduciendo novedades y mejoras en la regulación de este derecho fundamental en nuestro país.

  • La Agencia Española de Protección de Datos (AEPD) ha dictado resolución en el procedimiento iniciado a la empresa Facebook para analizar si los tratamientos de datos que realiza la red social se adecúan a la normativa de protección de datos. La Agencia declara la existencia de dos infracciones graves y una muy grave de la Ley Orgánica de Protección de Datos (LOPD) e impone a Facebook una sanción de 1.200.000 euros−300.000 por cada una de las primeras y 600.000 por la segunda−. En el marco de la investigación realizada, la Agencia Española de Protección de Datos ha constatado que Facebook recaba datos sobre ideología, sexo, creencias religiosas, gustos personales o navegación sin informar de forma clara acerca del uso y finalidad que le va a dar a los mismos. En concreto, ha verificado que la red social trata datos especialmente protegidos con fines de publicidad, entre otros, sin obtener el consentimiento expreso de los usuarios como exige la normativa de protección de datos, infracción tipificada como muy grave en la LOPD.

Algunas declaraciones de la Directora de la AEPD;

  • Mar España, directora de Protección de Datos: “Las pymes me tienen preocupada”

  • El martes 27 de febrero de 2018 compareció la directora de la Agencia Española de Protección de Datos en la Comisión de Justicia en relación con el proyecto de Ley Orgánica de Protección de datos de carácter personal.

  • Directora de la AEPD dice que puede ser más costoso recuperar la credibilidad por una fuga de datos que una sanción.

  • Mar España: “Hay consultoras que están engañando ante el nuevo RGPD”

  • MAR ESPAÑA: “NO HABRÁ MORATORIA PARA CUMPLIR CON EL RGPD”

  • La Agencia Española de Protección de Datos (AEPD) publica dos guías específicas de análisis de riesgos y evaluación de impactos y crea una unidad de atención al responsable para ayudar a empresas e instituciones a cumplir la nueva normativa europea que entrará en vigor el próximo 25 de mayo. Así lo han anunciado hoy en la sede de la AEPD su directora, Mar España.

Y por último, el nuevo Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. El real decreto-ley comprende catorce artículos estructurados en tres capítulos, dos disposiciones adicionales, dos transitorias, una derogatoria y una final. Su contenido afecta únicamente a cuestiones cuya inmediata incorporación al Derecho interno resulta imprescindible para la adecuada aplicación en España del Reglamento General de Protección de Datos.

Anuncios

HOSPITAL PÚBLICO versus HOSPITAL PRIVADO. CESIÓN DE DATOS PARA FINES MÉDICOS.


Mucho se ha publicado tanto en redes sociales como en la prensa, sobre el caso del Hospital de Fuenlabrada. Sobre, si ha existido una inadecuada cesión de datos de un Hospital Público a uno Privado, por parte del máximo responsable de los ficheros del Hospital, en este caso, en primer término el Gerente.

Evidentemente, a raíz de la noticia, han saltado las alarmas sobre esta cuestión, a los que trabajamos en Hospitales Públicos, y las preguntas que me formulo son las siguientes, ¿se gestionan adecuadamente la cesión de datos de un Hospital Público a uno Privado?¿Cual ha sido el fallo en dicha cesión de datos?¿Estaba amparado legalmente el Gerente del Hospital para dicha cesión de datos? ¿Qué se recogía en las cláusulas del pliego de prescripciones administrativas del acuerdo marco? ¿Necesita el Gerente del Hospital el consentimiento de los usuarios para ceder los datos a los efectos de desarrollar una labor asistencial-médica?.

Lo que se recoge en la prensa es lo siguiente “El método utilizado por el hospital de Fuenlabrada y el Virgen de la Luz de Cuenca es el mismo: ambos dejaron los datos de las listas de espera en manos de clínicas privadas (nombre, apellidos, teléfono y prueba a realizar) para que fuesen estas las que citasen a los pacientes con la promesa de agilizar sus pruebas diagnósticas. Esa cesión se realizó sin consultar a los interesados.” según informa Efe.

La información que aparece en prensa, es muy escueta y, no del todo definitiva. Evidentemente los Servicios Jurídicos de la Consejería de Sanidad del Servicio Madrileño de Salud, tendrán un papel importante a la hora de investigar y determinar la existencia o no de irregularidades en dicha cesión de datos. Pero es necesario resaltar la legislación que regula esta cuestión, en primer lugar, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su reglamento de desarrollo Real Decreto 1720/2007, de 21 de diciembre, y en segundo lugar, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (LAP).

La LOPD establece que los datos de salud son de especial protección, y el afectado, a los efectos de cesión, siempre ha de consentir expresamente para su uso por terceros. Ni decir tiene, que dichos datos, están amparados por el secreto profesional deontológico de los médicos, pero no solo de ellos, sino de todos aquellos que intervengan en su tratamiento (enfermeros, auxiliares administrativos, etc) en cualquier fase de la recopilación de datos.

En las notas de prensa, se recoge, que la cesión se llevó a cabo a los efectos de aligerar la lista de espera, en concreto de pruebas diagnósticas. Todos sabemos que las listas de esperas hospitalarias, es el mayor quebradero de cabeza para los directivos de hospitales, ya sean diagnósticas o quirúrgicas. Y ahora, conociendo como piensan muchos de los médicos que conozco, dicen y, ¿ahora le tengo que hacer solicitar la firma de un consentimiento de cesión de datos, que no es lo mismo que un consentimiento informado, para que AAA se pueda hacer una resonancia magnética o, una analítica, porque el hospital está saturado? Muchos de los médicos que conozco dicen, vaya burocracia y, pérdida de tiempo. Y si el paciente/usuario no me firma porque no quiere ir a la “privada concertada” ¿lo tengo esperando de 3 a 9 meses en una lista de espera que se puede resolver en 15 días o un mes? “Esto es de locos, estoy utilizando los medios a mi alcance para prestar asistencia sanitaria”, esto es lo que he oído y se me ha manifestado, en más de una ocasión.

Como me dijo una vez un profesor en la facultad, la aplicación del derecho es de sentido común. ¿Debo solicitar el citado consentimiento para realizar una labor asistencial de la cual se va a beneficiar el paciente/usuario y, a su vez el Hospital? Muchos médicos, manifiestan que puede existir inseguridad en su prestación asistencial y, alguno que otros manifiestan que la actividad que se va a desarrollar se centra en una cuestión sanitaria y, que los datos que se dan son los mínimos imprescindibles, que son, entre otros, nombres y apellidos, y números de teléfonos para citarlos a las pruebas diagnósticas, y lo ven en el artículo 11.2.c) LOPD, siendo la finalidad prestar la asistencia sanitaria.

No hay que olvidar lo que establece la LAP, y así, en su artículo 2.5, establece que los pacientes o usuarios tienen el deber de facilitar los datos sobre su estado físico o sobre su salud de manera leal y verdadera, así como el de colaborar en su obtención, especialmente cuando sean necesarios por razones de interés público o con motivo de la asistencia sanitaria.

Pero, que debemos de entender por colaborar, según la acepción 4ª del diccionario de la RAE, es “4. intr. contribuir (‖ ayudar con otros al logro de algún fin).”

Entonces la cuestión que se plantea es la siguiente, si lo que pretendemos es que, el paciente-usuario, reciba una asistencia sanitaria dentro de unos parámetros razonables, tanto en tiempos como en calidad, ¿sería necesario que firmara un consentimiento de cesión de datos para una finalidad totalmente determinada y concreta? En el presente caso ¿la realización de una análisis clínico o una resonancia magnética, o cualquier otra asistencia con un fin concreto, en el que paciente tiene el deber de colaborar o “contribuir”?

Podemos considerar que esos ficheros generados por los hospitales privados ¿son de carácter temporal?, es decir, que están creados para una finalidad concreta (citar un paciente para una prueba diagnóstica) y, que luego serán devueltos al hospital público o serán destruidos? ¿Se realiza en la cesión de datos una recogida, por parte del hospital privado, de forma ilícita, desleal o por medios fraudulentos?¿Es incompatible la cesión para la finalidad con la que fueron recogidos? ¿Se puede conjugar estas preguntas con el artículo 10 del Reglamento de la LOPD?

Por último, habría que estar, si al paciente/usuario se le ha dado la información suficiente del posible tratamiento de sus datos. Todas estas cuestiones tendrán que investigarse no solo por los Servicios Jurídicos de la Consejería de Sanidad del Servicio Madrileño de Salud, sino por la Agencia Española Protección de Datos que determinará la existencia o no de la infracción cometida.

El comienzo.


Esta claro que todo tiene un comienzo, por pequeño que sea. Con este blog, que pretendo abrir, quiero trasladar, el hacer diario de un asesor jurídico dentro de un Hospital de la Sanidad Publica Canaria. En el se reflejará cuestiones jurídicas, dentro de los niveles que nos movemos, que es contratación pública, personal (en sus más variadas vertientes), protección de datos, expedientes de responsabilidad patrimonial, así como cualquier otra cuestión más mundana y anecdótica.

Otros temas que me apasionan son las nuevas tecnologías, el marketing jurídico, la historia, y como no entrar a dar mi modesta opinión en temas de actualidad.

Este es el pequeño reflejo de lo que quiero hacer con el presente blog, espero y deseo, que sea de utilidad para quien lo pueda leer y, estaré abierto a cualquier critica.

Como se dice en argot taurino “vista, suerte y al toro”.

Gracias.

PD: Iré mejorando su presentación y formato, a medida que me vaya introduciendo en su entrañas.