Proteger sus datos también forma parte de cuidar a los mayores

La protección de datos en el ámbito de las residencias adquiere un valor especialmente relevante, como consecuencia de la información sanitaria que manejan, por tanto, los centros deben ser conscientes de la alta seguridad que requieren estos documentos, para trabajar acorde con las necesidades de los mayores a los que cuidan.

 

 

Proteger sus datos también forma parte de cuidar a los mayores

Cualquier empresa que recoja, almacene o trate con información de personas debe someterse a la Ley Orgánica de Protección de Datos (LOPD). Esta normativa  aprobada en el 15 de diciembre de 1999 pretende garantizar derechos fundamentales como el honor y la intimidad, mediante el cuidado de los datos personales de los ciudadanos, por eso, es tan importante que se cumpla, y más aún en el ámbito de las residencias.

La gestión de un centro socio-sanitario dirigido a mayores implica una labor de servicio de gran importancia para su calidad de vida, pero también debe suponer el cuidado expreso de su intimidad, no únicamente en lo referente a sus datos privados (nombre, dirección, teléfono, número de cuenta bancaria…), sino también en lo que respecta a la información sanitaria, historia clínica, incapacitación, nivel de dependencia… ya que son datos de carácter confidencial. Además, debe tenerse en cuenta que este sector de la población (el de la tercera edad), tal y como menciona la Ley, se encuentran en una situación que les impide conocer y ejercitar sus derechos en igualdad de condiciones.

A este respecto, la abogada Mari Paz Cotarelo, vocal de la Junta Directiva de la Asociación Madrileña de Atención a la Dependencia (Amade), afirma que la Ley “no debe verse únicamente como una obligación o un trámite administrativo, sino más bien como una defensa efectiva del derecho constitucional de la persona física a proteger. Protección, por otra parte, que todos debemos asumir”.

Más que una obligación legal

La Ley deja claro que esta protección es necesaria para regular el tratamiento de la información, y las empresas cada vez entienden más su importancia, pero también es cierto que se han ido subiendo al carro de la protección de datos con cuenta gotas, y la mayoría de las veces porque se trata de una obligación legal y no tanto porque acaben de entender las ventajas que tiene, incluso, para la propia empresa.

Aunque, en los centros geriátricos, la LOPD está pensada para cubrir los derechos de los residentes, esto no quiere decir que sean ellos los únicos beneficiarios. Las residencias también pueden aprovechar la inversión que hacen en protección de datos para modificar la forma de gestionar y organizar el trabajo, con el fin de conseguir mejores resultados, así como para dar una mejor imagen a sus potenciales usuarios, pues, cada vez más, los interesados y sus familiares buscan centros más profesionalizados y que respeten a los mayores. Y en este aspecto, saber que cumplen con la Ley de Protección de Datos, aporta cierta confianza.

Según Mari Paz Cotarelo, “el cumplimiento de la LOPD en las empresas del sector aporta control, seguridad y fiabilidad en el tratamiento de este tipo de datos tan sensibles que, además, son necesarios para el ejercicio de la actividad diaria”; pero esta experta también entiende que es una Ley de elevada exigencia, la más severa de Europa, y que supone un coste considerable a las entidades. Esto es otro inconveniente para los centros, por eso, es imprescindible que aprendan a sacar el máximo partido de esta coyuntura. Pero, ¿cómo?

La mayoría de los centros, cuando tienen que resolver esta cuestión, se ponen en manos de sus abogados para que les asesoren y les orienten sobre el protocolo que deben seguir. Lo más recomendable ante un asunto tan concreto es que se contrate a un experto en este tema, que sea capaz de poner en marcha este “proceso de cambio” en el modelo de trabajo que hasta el momento se estaba siguiendo.

Uno de estos abogados especialistas, que lleva más de ocho años  trabajando en este ámbito legal, es Víctor Roselló, y con él hemos hablado para que explique a los lectores de BALANCE cómo cumplir con la Ley y lograr que sea rentable.

En protección de datos, Roselló destaca dos partes fundamentales. Una, enfocada a la imagen que se proyecta de cara al público; de tal modo que una persona que conozca mínimamente este tema sea capaz de advertir que la residencia cumple con la ley viendo un documento. La otra, está dirigida a la organización interna, que aunque no es algo que pueda apreciar el usuario, es obligatorio. Aquí entraría el tema de acceso a los historiales clínicos, perfiles de acceso a la información, contraseñas, copias de seguridad,  destrucción de documentos, etc.

Este abogado recomienda a sus clientes comenzar por la primera parte, ya que “por lo menos hay que dar la imagen de que se está cumpliendo. Además, para comprobar que no es así, tendrá que llegar una persona cualificada y sentarse delante del ordenador”. Esto no quiere decir que se vaya a eludir la segunda fase del proceso, lo único es que tener los documentos reglados, por ejemplo, el de inscripción en el centro, es básico desde el primer momento para el cumplimiento de la ley y para ofrecer una buena imagen a los usuarios de los centros. Una vez acabado este trabajo, se puede ir resolviendo el resto, poco a poco. Y “poco a poco” es literal, ya que, según asegura Roselló, “la protección de datos se debe tomar con calma porque requiere un trabajo extra al comienzo y un seguimiento continuo. Aunque, una vez se conozca el protocolo de actuación, el seguimiento será lo más natural posible, sólo se tratará de poner orden para que las residencias funcionen”.

Razones para cumplirla

Uno de los motivos que más preocupa a los centros, y por el que la mayoría de ellos se esfuerzan en materia de protección de datos, es el alto coste de las sanciones interpuestas por la Agencia Española de Protección de Datos (AEPD). Esta institución pública e independiente se encarga del cumplimiento de la normativa, y garantiza y tutela el derecho fundamental a la protección de datos de carácter personal. A través de ella, los afectados por una infracción pueden conseguir amparo, pero también los centros deben estar en contacto con este organismo para que resuelva sus dudas a cerca de cómo realizar su trabajo, para evitar, así, las cuantiosas multas, de hasta más de 600.000 euros.

Desde luego que las penalizaciones económicas condicionan a la hora de decidirse a poner en marcha el tema de protección de datos en una empresa, pero no deben ser la única razón. Según Víctor Roselló, el miedo a las multas tampoco es un buen argumento, porque deja entrever una actitud poco colaboradora por parte del centro, “da la sensación de que sólo se quiere cumplir el expediente y esto es pan para hoy y hambre para mañana, porque la continuidad en este tema es imprescindible”. Este experto alude a “la imagen, la organización interna y la profesionalidad” como motores principales.

La abogada Mari Paz Cotarelo señala que otra consideración para cumplir con la Ley es que “las empresas del sector, en su mayoría o al menos en un alto porcentaje, tienen sus plazas concertadas con la Administración Pública y, en la actualidad, en sus concursos, requiere que la empresa acredite que tiene hecha la protección de datos; de lo contrario, las descalifica”.

En referencia a la imagen del centro, esta experta añade que “debe ser celosamente guardada” y recuerda que “la publicación de una praxis incorrecta de la LOPD; una noticia de filtración, pérdida o cesión no consentida de datos o una sanción efectiva y pública puede hacer mucho daño y poner en peligro la continuidad de la actividad empresarial o contractual con la Administración”.

Deberes y obligaciones de los centros

Habida cuenta de la importancia de la protección de datos, así como de las razones que  deben motivar a su cumplimiento, el lector puede preguntarse cuál es el protocolo a seguir.  A este respecto, según se especifica en el artículo 26 de la LOPD, “toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos” y, por tanto, ese es el primer paso.

La notificación de los ficheros será previa a la creación de los mismos, de no ser así se trataría de una conducta constitutiva de infracción leve. En ella se detalla el responsable del fichero, finalidad del mismo, ubicación, tipo de datos de carácter personal que contiene, medidas de seguridad, con indicación del nivel básico, medio o alto exigible y cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos a terceros.

Después de esto, cualquier cambio que se produzca en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación deberá ser notificado a la AEPD.

Una vez que la AEPD acepta la inscripción, el centro ya puede proceder a recoger datos, pero siempre siguiendo los criterios dispuestos en la Ley. Uno de los deberes fundamentales es el de información. Así, por ejemplo, cuando un residente va a firmar el contrato de inscripción en un centro, debe ser informado de que los datos personales que facilite se guardarán en un fichero para ser tratados, de la finalidad de la recogida y de los destinatarios de la información, y de la posibilidad de rectificarlos, cancelarlos o acceder a ellos. Además, en las residencias es imprescindible pedir el consentimiento informado, de forma expresa y firmada, porque se van a tratar datos sanitarios.

Estos datos (personales y sanitarios) recabados por los profesionales de los centros socio-sanitarios estarán protegidos por el deber de guardar secreto, lo que significa que el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos, incluso una vez haya finalizado surelación con el titular del fichero o el responsable del mismo. Además, tendrá que guardarlos, como mínimo seis años después de que el residente haya fallecido o se haya marchado del centro.

Las residencias también están obligada a atender otros derechos de sus residentes como el de acceso, rectificación, cancelación u oposición a los datos. El derecho de acceso se refiere a que el residente o sus familiares podrán acceder a los datos, incluido el historial clínico. Según explica Roselló, “a este tipo de información asistencial tienen acceso los residentes y los familiares con la debida representación”. El incumplimiento de este derecho es sancionado por la Agencia. Reciente está la sanción de más de 60.000 euros que la AEPD hizo pagar a una clínica de cirugía estética por negarse a entregar a una paciente su historial clínico. Se trata de una infracción del artículo número 15 de la Ley Orgánica de Protección de Datos, tipificada como grave, por tanto, conlleva además la entrega de la historia clínica completa a la paciente en un plazo de diez días desde la notificación. Del mismo modo, el residente tiene derecho a rectificar los datos,  oponerse a ellos o a pedir que los cancelen.

Otro punto esencial en la protección de datos son las medidas de seguridad. El responsable del fichero y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado. Una de estas medidas es la obligación de hacer copias de seguridad. “Más que una imposición debe verse como un acto de sentido común, pues los ordenadores pueden fallar”, explica Roselló. Este experto recomienda tener dos duplicados, de tal forma que uno se quede en la residencia y otro se saque fuera. Para aquellos que aún tienen la documentación en papel, aconseja escanearlos para tener una copia digital.

Todos estos deberes y obligaciones serán comprobados por la Agencia Española de Protección de Datos. En este tipo de centros, la Ley considera necesario una auditoría obligatoria cada dos años, al tratar con datos de un nivel medio-alto de seguridad. Por tanto, el auditor podrá solicitar el envío de documentos y datos y examinarlos en el lugar en que se encuentren depositados, así como inspeccionar los equipos físicos utilizados para el tratamiento de los datos mismos. Por su parte, las residencias deben facilitar la labor al auditor y explicarle cómo cumplen con las obligaciones respecto a la recogida, almacenamiento y tratamiento de la información y también frente a sus posibles comunicaciones a terceros, fuera del ámbito de la residencia (trabajadores, colaboradores externos, proveedores, etc).

 

Proteger sus datos también forma parte de cuidar a los mayores
Las ventajas de un código adaptado a las residenciasAdemás de la Ley de Protección de Datos propiamente dicha, la Asociación Catalana de Recursos Asistenciales (ACRA) ha  desarrollado un Código Tipo, es decir, una adaptación de esta normativa
ajustada a las necesidades del sector de las residencias, con el fin de orientar a los profesionales del sector en esta materia y conseguir una mayor seguridad y control de los datos, así como “procedimientos de trabajo más afines a sus necesidades”, explica la directora general de la Asociación, Montse Llopis.La función principal de este Código Tipo es contar con un protocolo de actuación que señala los procedimientos estandarizados que han de seguir los centros para cumplir con la Ley. ACRA actúa como intermediaria entre los socios y la AEPD revisando la labor de los centros y asesorándolos. De este modo, “cuando presentan sus informes a la Agencia tienen la garantía de que son correctos, además, añade un punto de calidad”,  asegura Llopis.

Aún así, cualquier centro que pertenezca al sector de mayores puede acogerse a este Código Tipo pero, a diferencia de los asociados de ACRA, tendrían que pagar por el asesoramiento de la entidad.

Herramientas para un fiel cumplimiento

Para el cumplimiento de la LOPD, los centros recurren sobre todo al asesoramiento de expertos en esta materia que les indican la forma en que deben recoger, almacenar, tratar y destruir la información, pero también es cierto que los sistemas informáticos también están ayudando en esta labor. No obstante, ¿cómo estar seguro de si se está haciendo adecuadamente? Está claro que trabajar con un profesional es una garantía, al igual que el contar con la ayuda que proporciona ACRA a sus asociados, pero también la Agencia Española de Protección de Datos ha querido facilitar este trabajo. Para ello, ha desarrollado este año Evalúa, un programa sencillo, anónimo y gratuito que permite a empresas y administraciones autoevaluar el grado de cumplimiento de la Ley.

La herramienta ofrece respuestas a las dudas a las que habitualmente se enfrentan quienes manejan datos personales, mediante un test. Rellenarlo ocupa entre 45 y 60 minutos y una vez finalizado, genera un informe con indicaciones y recursos que orientan, en su caso, para cumplir con lo dispuesto en la LOPD.

El programa consta de dos niveles de autoevaluación: el primero es un test básico para conocer el nivel de cumplimiento de la normativa de protección de datos y el segundo permite verificar fácilmente si se cumplen las medidas de seguridad exigibles en cada caso.

La AEPD ha desarrollado este programa procurando que el lenguaje empleado en el autotest sea claro y ofreciendo documentación de apoyo­­­ para facilitar la comprensión de las preguntas. A su carácter anónimo y gratuito, hay que añadir su versatilidad, puesto que permite abandonar la sesión sin tener que empezar de nuevo. Además, es personalizado, ya que emite un informe basado en las respuestas facilitadas con recomendaciones para cada caso concreto.

Aunque todas estas herramientas contribuyen al cumplimiento, la clave, al fin y al cabo, tal y como resalta Roselló, “es la actitud con la que el centro se enfrenta a este trabajo y, por supuesto, en este cambio de mentalidad y de forma de trabajar tiene mucho que ver el director, pues tendrá que ser él el que trasmita a sus empleados la importancia de trabajar en pos del cumplimiento de esta normativa por el bien de todos, trabajadores y residentes.

Compartir en FacebookCompartir en TwitterCompartir en LinkedInCompartir en WhatsApp