Inicio » Seguridad » Entrevista a Isabel Marco, Abogada especializada en Nuevas Tecnologías y Protección de Datos.

Entrevista a Isabel Marco, Abogada especializada en Nuevas Tecnologías y Protección de Datos.

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram

Requisitos legales en el uso de la tecnología que debes cumplir en tu consulta privada

Isabel Marco es Abogada 6073 del Real e Ilustre Colegio de Abogados de Zaragoza. La he invitado a colaborar en mi blog para dar respuesta a varias preguntas habituales sobre los requisitos legales que debería cumplir una consulta privada en el ámbito de la salud.

Muchas gracias, Isabel.

Te dejo la entrevista, a continuación:

¿Qué requisitos generales tendría que cumplir una plataforma de mensajería para que la pueda utilizar un profesional sanitario con consulta privada para comunicarse con sus pacientes?

Hay que partir de la base de que deben usarse estas plataformas con cierta prudencia, limitándose a comunicar datos básicos que no resulten lesivos a la esfera de privacidad del paciente.

En este sentido podemos diferenciar si las plataformas son usadas para contactar con el paciente o si bien se utilizan para enviar, asimismo, datos de salud (resultados de pruebas, imágenes, informes, etc.).

En el primero de los casos, no hay problema en usar estas plataformas para comunicar citas, cambios en las mismas o incidencias que puedan repercutir, de tal manera que la plataforma sea sustitutiva de una llamada telefónica para comunicar alguna cosa por parte del profesional sanitario al paciente. Es decir, que la plataforma se utilice para mero contacto con el paciente.

El tratamiento de los datos a través de estas plataformas para el contacto con el paciente será lícito si está basado en el consentimiento de dicho paciente. Con el fin de obtener un consentimiento válido será necesario que sea libre e inequívoco. Una de las condiciones para que el consentimiento sea libre pasa por que exista una alternativa a esta comunicación. Es decir, que solo nos comunicaremos a través de estas plataformas con los pacientes que hayan accedido a dicho uso. En el caso de pacientes que no hayan accedido a esta vía de comunicación, deberemos disponer de una vía alternativa (llamada telefónica, correo electrónico, correo postal, etc.)

Si se trata de enviar datos de salud a los pacientes, habrá que ser cuidadoso a la hora de determinar la base de legitimación del tratamiento, pues podrá basarse, según los casos, en el consentimiento del interesado, en el tratamiento de datos de carácter asistencial o en el interés legítimo del paciente cuando sea necesario requerir información de importancia vital en casos de urgencia.

No obstante, y para asegurar la legitimación del tratamiento a través de esta vía, es conveniente solicitar igualmente el consentimiento en este último caso o solo recurrir a esta comunicación cuando así lo autorice o solicite el paciente.

Una vez visto para qué casos y cómo pueden usarse estos sistemas de mensajería instantánea es necesario incidir en qué plataformas es conveniente o no usar si vamos a utilizarlas para enviar datos de salud.

Partimos de la base de que el uso de aquellas que no estén ubicadas en la Unión Europea supone que estemos realizando una transferencia internacional de datos, con lo que el tema se complica. Además, muchas de las mismas no pueden garantizar la confidencialidad e integridad de la información.

Por ello, el profesional debe hacer un análisis que gire en torno a la atención personalizada que quiere ofrecer y la seguridad del tratamiento de dichos datos, ponderando ambas.

Siendo estrictos, y toda vez que estas herramientas quizás no sean lo suficientemente completas para cumplir la normativa de seguridad, confidencialidad y protección de datos, la recomendación es que se eviten enviar datos de salud a través de estos medios y se busquen medios alternativos, con aplicaciones que den respuesta a la necesidad de comunicarse de manera ágil con los pacientes pero también de forma segura, con proveedores ubicados al menos en la Unión Europea.

¿Y en el caso de una plataforma de video consulta?

Con la respuesta a la pregunta anterior estamos dando respuesta a esta misma, puesto que no deja de ser otra vía de comunicación con el paciente.

Ahora bien, en este caso nos centraríamos en que se trata de una consulta, excluyendo el mero contacto que sí exponíamos en la primera cuestión. Es decir, que en este caso hay tratamiento de datos relativos a la salud inexcusablemente.

Tal como he apuntado anteriormente, debemos ser conscientes de la aplicación que se utiliza, la ubicación de la misma y qué medidas de seguridad están aplicadas sobre ella.

Una buena medida, para tener un mayor conocimiento, es acudir a la propia plataforma para consultar si cumple con la normativa de protección de datos europea, lo cual suele recogerse en sus propias condiciones generales o política de privacidad. En caso de que exista un compromiso leal y acreditable de cumplimiento, no habría problema en el uso de estas plataformas, siempre y cuando, se garanticen las medidas de seguridad correspondientes.

Como en la anterior ocasión mi recomendación es buscar soluciones con proveedores que otorguen esa garantía en el cumplimiento de las medidas de seguridad y que se encuentren ubicados, a poder ser, en la Unión Europea, con el fin de evitar los requisitos que implica la realización de una transferencia internacional de datos.

Respecto al sitio web de un profesional de la salud con su propia consulta privada, ¿de forma general con qué paginas legales debería contar y qué información deberían mostrar?

En principio, y a modo de resumen debe contar con:

  • Aviso legal donde identifique el titular de la página, las condiciones de uso de la página, etc.
  • Condiciones generales de contratación, solo si es el paciente puede contratar algún servicio a través de la web.
  • Política de cookies, solo si es se han establecido. Además, si algunas de las cookies utilizadas necesitan del consentimiento del usuario para ser instaladas, necesitará recogerse dicho consentimiento y almacenar la info sobre su otorgamiento.
  • Política de privacidad, si se recogen datos personales (a través de formularios, por ejemplo). No obstante, aunque no se recojan datos no está de más que se disponga de dicha política en la que se exprese qué datos se recogen y cómo se tratan, porque puede servir para dar la información adicional sobre protección de datos a la que alude la nueva Ley Orgánica de Protección de Datos.

Me gustaría ampliar información es este último punto, además de poder expresar lo comentado. La normativa exige que al recoger datos personales facilite al titular de los mismos una serie de información (cláusulas informativas). A su vez, y a través de la nueva LOPD, se permite hacerlo mediante el sistema que se conoce como de “doble capa”, de tal manera que en el formato de recogida de datos muestre una pequeña capa de información y desde esa misma pueda dirigir a otra información más extensa. Por eso, si disponemos de una amplia y exhaustiva política de privacidad en nuestra web, bastará recoger una pequeña información en los soportes de recogida de datos (tanto si son online como en papel o en la consulta) y vincular a esa extensa que tenemos en nuestra propia web.

(Os dejo un recurso de la Agencia Española de Protección de Datos que puede ser útil para la confección de la política de privacidad de la web: https://www.aepd.es/sites/default/files/2019-09/decalogo-politicas-de-privacidad-adaptacion-RGPD.pdf)

¿Qué me dices de los formularios? ¿Alguna indicación sobre los errores más comunes que observas en ellos?

Sobre los formularios hay que aplicar los siguientes principios:

  • Minimización de los datos, de tal manera que solo se recojan aquellos estrictamente necesarios para la finalidad que se persigue con su obtención. En este sentido es importante marcar qué campos son obligatorios de completar y cuáles no, de tal manera que aunque pidamos “de más” demos la opción a que no sean facilitados si no son estrictamente necesarios
  • Transparencia, de tal manera que en el propio formulario se recoja esa primera capa informativa que hemos comentado en la pregunta anterior y que debe contener: la identidad del responsable, la finalidad del tratamiento y la posibilidad de ejercer los derechos que concede la normativa.
  • Legitimación, de tal manera que si necesito el consentimiento del titular de los datos para alguna de las finalidades de tratamiento que quiero aplicar (por ejemplo el envío de publicidad) lo recoja en ese mismo momento, en base a términos claros y con los criterios de que el titular lo otorgue de forma libre e inequívoca (con lo que no caben casillas previamente marcadas o redactadas en sentido negativo).

Los errores más comunes que observo es que normalmente me encuentro con formularios donde no están claras las finalidades de tratamiento, donde no se solicita consentimiento cuando éste es necesario y donde se tiende a solicitar muchos datos, excesivos e innecesarios.

Además, en muchas ocasiones, se copian textos de otras webs, con lo que la información no es rigurosa y no responde al tratamiento real que se lleva a cabo. (Os dejo un recurso de la Agencia Española de Protección de Datos que puede ser útil para la confección de estas cláusulas informativas: https://www.aepd.es/sites/default/files/2019-11/guia-modelo-clausula-informativa.pdf

¿Qué deberían tener en cuenta los profesionales sanitarios con consulta privada a la hora de utilizar algún tipo de servicio o producto donde puedan guardar, compartir y consultar datos (archivos, imágenes, informes) de sus pacientes en la nube?

(Estoy pensando en el software relacionado con la gestión de la consulta.)

En este caso pasaría algo similar a las plataformas vistas con anterioridad. Es decir, a poder ser debemos utilizar aplicativos que se encuentren alojados en la Unión Europea, lo que garantizará al menos el cumplimiento de la normativa sobre protección de datos y nos salvará de realizar una transferencia internacional, con todo lo que ello implica.

Estos software deberán garantizar un alojamiento seguro que respete la confidencialidad, integridad y disponibilidad de la información, aplicando las medidas de seguridad correspondientes.

Por último, al alojar la información que comentamos, estas “nubes” o proveedores se convierten en encargados del tratamiento (es el término con el que se les define), por lo que deberemos firmar un contrato con ellos que regule el tratamiento por su parte.

(Os dejo un recurso de la Agencia Española de Protección de Datos que puede ser útil para la confección de este contrato: https://www.aepd.es/sites/default/files/2019-10/guia-directrices-contratos.pdf, y otro que puede ayudaros a entender mejor las implicaciones que deben tenerse en cuenta a la hora de la contratación de servicios en la nube: https://www.aepd.es/sites/default/files/2019-09/guia-cloud-prestadores.pdf)

¿Algo importante que me haya dejado en el tintero y sobre lo que quieras añadir algún comentario?

Por experiencia creo que deberíamos hablar de qué ocurre con el envío de informes y demás a través de correo electrónico, una práctica muy habitual.

En este sentido es importante que se pongan medidas para evitar accesos no autorizados a esa información, con lo que es necesario encriptar la misma o arbitrar un sistema que no permita que cualquier receptor tenga acceso a ella (por ejemplo, enviar el informe en un pdf que esté cifrado con una contraseña de acceso).

Y, por supuesto, no quiero olvidarme de lo siguiente: debemos partir de la base que en este caso se tratan datos de categorías especiales de datos (datos de salud) y hay que ser muy riguroso a la hora de aplicar medidas que tiendan a salvaguardar la información.

Los profesionales deben ser conscientes de que el cumplimiento de la normativa implica una serie de obligaciones que deben poner en marcha:

  • Realización de análisis de riesgo o evaluación de impacto sobre los tratamientos realizados
  • Designación de Delegado de Protección de Datos si es necesario
  • Llevanza de un registro de actividades de tratamiento
  • Confección de cláusulas informativas sobre el tratamiento
  • Recogida de consentimiento para las finalidades para las que sea preciso
  • Contratos de encargo del tratamiento con los proveedores que accedan a datos (asesores, por ejemplo)
  • Posibilidad de atender el ejercicio de derechos por parte del titular de los datos
  • Redacción de acuerdos de confidencialidad con trabajadores y otros profesionales con los que colaboren
  • Aplicación de medidas de seguridad sobre soportes no automatizados (papel)
  • Notificación de violaciones de seguridad que se produzcan
  • Qué hacer en caso de cese de la actividad
  • Plazos y procedimientos de cancelación de los datos
  • Comunicación de datos a otras entidades: aseguradoras, colaboradores, etc.
  • Acceso a la historia clínica de menores por parte de progenitores
  • Etc.

Todo ello sin olvidar que debe conjugarse con otras normas aplicables, como la Ley de Autonomía del Paciente, lo que nos lleva a una labor concienzuda de organización y puesta en marcha.

A día de hoy el paciente es conocedor de cuáles son sus derechos y los harán valer frente a cualquier responsable, con lo que hay que estar preparado. En este sentido, la Agencia Española de Protección de Datos ha publicado recientemente una Guía para pacientes y usuarios de la sanidad: https://www.aepd.es/sites/default/files/2019-12/guia-pacientes-usuarios-sanidad.pdf

La Agencia Española de Protección de datos (www.aepd.es) facilita información que puede ser de ayuda en la labor pero como siempre lo mejor es recurrir a un profesional, al igual que nosotros lo hacemos cuando queremos cuidar de nuestra salud, 😉

Isabel, muchas gracias de nuevo por explicarnos de forma rigurosa y clara todas estas cuestiones relativas al cumplimiento de la legalidad en el uso de las tecnologías.

Si quieres contactar con Isabel te dejo su información de contacto:

Web: www.isabelmarco-lopd.es

Mail: info@isabelmarco-lopd.es

Linkedin: https://www.linkedin.com/in/isabel-marco-lacoma-75165573/

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on telegram
María Encina

Ayudo a profesionales de la salud a tener más pacientes y a ser más valorados mediante consultorías, el diseño de su sitio web y un programa personalizado.

Deja un comentario

Artículos relacionados
Cómo hacer un blog exitoso. Mejora la atención al paciente o al cliente. Es un lugar perfecto para explicar tus casos de éxito, narrar cómo otros pacientes han superado ciertas barreras o solucionar dudas frecuentes. De esta forma mejoras la experiencia de cualquiera que se relacione contigo.
Estrategia

Cómo hacer un blog exitoso

Puedes utilizar un blog como una guía educativa sanitaria, un tablón de anuncios de lo que ofrece tu clínica o de tu agenda, un resumen de noticias relacionadas con la salud o con tu especialidad sanitaria, un lugar donde explicar lo que haces día a día, una sección de preguntas

Leer más...

¿Sabes de dónde vienen tus pacientes?

Cuando un profesional de la salud es autónomo o tiene su propia clínica, una de las preocupaciones que tiene es saber cómo controlar y organizar el flujo de clientes. O bien se ve desbordado, o bien siente que de repente no llama ni le visita ni le contacta nadie. ¿Qué significa esto? Claramente que no tiene el control sobre desde dónde vienen los pacientes y no sabe qué acciones desencadenan qué resultados.

Leer más...

¿Quieres ser más valorado y así atraer a los clientes que quieres?

Durante un tiempo limitado estoy regalando una sesión inicial estratégica de 30 minutos