Archivo de la etiqueta: protección de datos personales

Condena a la AEPD por no garantizar acceso a una HC

HISTORIAS CLÍNICAS DE PACIENTES

La Audiencia Nacional admite una reclamación contra la agencia que se consideró incompetente para exigir toda la documentación de un historial.

Soledad Valle. Madrid | soledad.valle@unidadeditorial.es   |  04/12/2013 18:07

http://www.diariomedico.com/2013/12/04/area-profesional/normativa/condena-aepd-no-garantizar-acceso-hc

El paciente tiene derecho a conocer qué profesionales acceden a su historia clínica

SENTENCIA DE LA AUDIENCIA NACIONAL
El fallo desestima el recurso interpuesto por la interesada por considerar que no ha habido cesión de datos a terceros
Lunes, 16 de septiembre de 2013, a las 11:52

Alertan de la inexistencia de una normativa clara sobre protección de datos para ‘e-receta’ y copago

MARTA RIESGO / MADRID

@GacetaMedicaCom

viernes, 17 de mayo de 2013 / 16:00
Los expertos advierten de que la falta de información en este sentido puede llevar a las oficinas de farmacias a cometer infracciones
Los farmacéuticos no pueden conservar la información económica del paciente facilitada gracias a la implantación del copago

“La Ley de Protección de Datos deberá adaptarse al futuro reglamento europeo”

ARMONIZAR LEGISLACIONES

Las bases de datos son instrumentos muy útiles para las empresas.

S.V. | soledad.valle@unidadeditorial.es   |  27/02/2013 00:00

http://www.diariomedico.com/2013/02/27/area-profesional/normativa/ley-de-proteccion-de-datos-debera-adaptarse-al-futuro-reglamento-europeo

Creación de la confianza para la investigación sobre salud en internet

ESTUDIO REALIZADO POR BIOÉTICOS

Las actualizaciones de estado en las redes sociales, los foros de pacientes y los comentarios en blogs entre la inmensa cantidad de información personal en la web supone una potencial base de datos sobre salud. Los bioéticos que han redactado en Science Translational Medicine reconocen el valor de este recurso pero debaten si es éticamente aceptable su uso para investigar.

Redacción   |  20/02/2013 20:00

http://www.diariomedico.com/2013/02/20/area-profesional/entorno/creacion-de-la-confianza-para-la-investigacion-sobre-salud-en-internet

Cesión de datos de la HC de un fallecido

PROTECCIÓN

La semana pasada acudió a mi consulta el hijo de una paciente, que acaba de fallecer, para solicitar la historia clínica de su madre. ¿Debemos facilitarle una copia?

C.G.R. | Madrid   |  18/02/2013 00:00

http://www.diariomedico.com/2013/02/18/area-profesional/la-consulta/cesion-datos-hcde-un-fallecido

El médico debe asegurar la protección de los datos de salud

RESPONSABILIDAD DEL PROFESIONAL

El material genético de una persona desvela su predisposición a determinadas enfermedades.

Redacción | 30/11/2012 18:35

http://www.diariomedico.com/2012/11/30/area-profesional/normativa/medico-debe-asegurar-proteccion-de-datos-de-salud-

La HC sólo es accesible a los médicos del paciente

EL TSJ CONDENA POR VIOLAR LA INTIMIDAD

El TSJ de Navarra ha condenado al Servicio Navarro de Salud por violar el derecho a la intimidad de una paciente y su familia. La Administración no restringió el acceso a la historia clínica (HC) con fotos de la enferma.

S.Valle   |  19/09/2012 00:00

http://www.diariomedico.com/2012/09/20/area-profesional/normativa/hc-solo-es-accesible-medicos-paciente-

Encuentro digital con Artemi Rallo (Agencia Española de Protección de datos)

1. Buenos días sr. Rallo. ¿Podría explicar brevemente cuáles son las principales tareas de la Agencia Española de Protección de Datos y si cualquier ciudadano puede acudir a ella y cómo? Gracias.

La misión de la Agencia es velar porque se garantice el derecho de la protección de datos, lo que significa recibir las denuncias de cualquier ciudadano, investigarlas y sancionarlas si corresponde. Además, a la Agencia le corresponde asesorar no sólo a los ciudadanos sino al conjunto de las administraciones públicas sobre cómo garantizar el derecho.

2. Buenos días. Mi pregunta es: Ultimamente se oye mucho hablar de biometria. Pasaportes biometricos, DNIs biométricos, etc… ¿Como afecta la LOPD a los datos biométricos? Son tratados como datos personales? ¿Que nivel de seguridad deben tener?

Los datos biométricos son datos personales y la regla básica de su tratamiento es la proporcionalidad. Sólo deben usarse y tratarse para obtener fines proporcionados a su sentido. En general, no son datos especialmente protegidos, tienen que tener un nivel básico de protección en términos LOPD.

3. ¿Si tuviera que elegir o preferir alguna de ellas, está a favor de la libertad personal o de la seguridad de los ciudadanos? Un saludo desde Morella.

Otro saludo de un morellano ausente. En la duda, siempre por los derechos. En todo caso, las exigencias de seguridad de la sociedad actual deben encontrar satisfacción y justo equilibrio con la garantía de los derechos de los ciudadanos.

4. Hola sr. Rallo. La gente cuando pierde su tarjeta de crédito en un lugar público inmediatamente acude o llama a su banco para solucionar el problema. Análogamente, no existe desconfianza del usuario cuando ofrece datos personales bancarios en internet al ejecutar alguna compra. ¿No cree que existe una desinformación hacia el usuario con su seguridad de datos, quién los recibe, qué se hace con ellos?. Gracias

El último sondeo del CIS elaborado en febrero confirma que la desconfianza de los ciudadanos ante la posibilidad de ceder sus datos personales bancarios o de su tarjeta de crédito por Internet es muy alta. Los ciudadanos tienen desconfianza y la desconfianza también se justifica en base al alto grado de fraude que sigue existiendo en Internet. Es imprescindible que los ciudadanos tengan más información pero que también mejoren los sistemas en la Red.

5. ¿Es legal publicar las notas de un examen en un tablón a la vista de todo el mundo? ¿No debería tratarse como información privada y ser comunicada de un modo personal ahora que hay medios suficientes (correo-e p.ej)? Gracias por su respuesta. Reciba un saludo.

Hoy es legal porque así lo permite la Ley Orgánica de Universidades. Ahora bien, sería mucho más deseable y ajustado a los principios de protección de datos un acceso limitado a dicha información académica mediante intranet y uso de contraseñas individuales que solo posibiliten el acceso a quien es titular de esa información.

6. Soy un webmaster de una pagina de juegos para niños y quisiera saber como puedo asgurarme de que los niños tengan la edad que dicen tener al darse de alta en mi sitio web.

A partir de los 14 años y en el proceso progresivo de implantación del DNI electrónico el medio idóneo será éste para obtener una fiabilidad máxima. En tanto no se produzca esa implantación generalizada y para edades inferiores a los 14 años deberían utilizar técnicas que le posibiliten tener una cierta certeza sobre la edad. Por ejemplo, preguntas de ámbito escolar, un casillero relativo a la fecha de nacimiento, etc.

7. Hola Artemi. Tengo un par de preguntas. ¿La iglesia católica tiene una base de datos fidedigna de sus fieles? ¿Porque resulta tan difícil apostatar?, y ¿Puede un ente (como el ayuntamiento de Rivas) facilitar la exclusión de las listas de la iglesia católica?

La Iglesia católica niega tener una base de datos única y general de sus fieles. La cancelación de los datos personales que constan en los libros de bautismo requerida por la Agencia se está verificando en casi todo el territorio nacional y sólo es recurrida por las diocésis de Valencia y Madrid. La información que tenemos por los medios indica que el Ayuntamiento de Rivas se limita a informar a los ciudadanos que lo requieren de cómo ejercer el derecho de cancelación en los libros de bautismo.

8. Enhorabueba por hacernos ver que tras las siglas AEPD hay vida. ¿Qué valoración hace del tiempo que lleva en la AEPD?¿Qué pasa en la web de la Agencia que históricamente es lenta y mal organizada (aunque ahora ha mejorado sensiblemente)?¿Piensan hacer algo al respecto?

Gracias a usted por sus palabras. Estos últimos meses en la Agencia me permiten valorar por un lado los riesgos que la realidad ofrece para la privacidad, pero también los múltiples instrumentos de que disponemos para reaccionar frente a estas amenazas. Estamos con la web y espero que en poco tiempo su valoración sea más positiva.

9. Para que mi empresa de telefonía móvil meta mis datos en un fichero de morosos, basta con que ellos digan que les debo dinero. Sin embargo para borrar mis datos de estos ficheros, soy yo quien ha de demostrar documentalmente la extinción de la deuda. ¿Por qué la ley de tratamiento automatizado de datos no se aplica extensivamente a estos ficheros donde, todos sabemos, que la mayoría de la gente entra por pequeñas deudas que la mayoría de las veces son injustificadas?

La LOPD se aplica a todo tipo de ficheros y ninguna deuda, grande o pequeña, puede ser incluida en un fichero de morosos si no es cierta, vencida y exigible; sin pleito adicional sobre su cuantía. La carga de la prueba corresponde a las empresas y responsables de los ficheros, que deben notificarle su intención de incluirlo en uno de ellos.

10. Buenas tardes; soy una peluquera que no tiene fichas de clientes sólo dos empleadas. ¿Qué tengo que hacer para cumplir con la Ley? Me vienen empresas a meterme miedo y a querer cobrarme 300€ por el servicio. Gracias,

Es muy fácil. Entre en la página web de la Agencia (www.agpd.es) y encontrará toda la información que necesita- Básicamente, solo necesita hacer dos cosas. Primero: rellenar un documento de seguridad en términos sencillos y segundo: notificar la existencia de ese fichero por vía Internet. Todo gratis.

11. En multitud de ocaciones, cuando nos solicitan datos personales a los ciudadanos desde alguna administración pública como centros de salud, policía, etc., no se nos informa de nuestros derechos de acceso, rectificación, etc., ni si los datos van a ser transferidos a otros organimos, etc. ¿Que podemos hacer los cuidadanos en estos casos?

Hay supuestos legales en los que la policía no tiene porque facilitar dicha información. Desde luego, centros de salud, educativos u otros sí que deben informarle cumplidamente sobre el destino de sus datos y los derechos que usted puede ejercer.

12. ¿ Cómo puede concebirse que una empresa reciba unas sanción de la inspección de trabajo de 30.000€ por un accidente grave (descarga eléctrica con hospitalización posterior) de un trabajador y, por enviar una carta comercial a alguien (sin su consentimiento) pueda ser sancionada con, mínimo, 60.000€ ? ¿ Qué vale más ? Yo creo que la salud del trabajador.

Las multas que impone la AEPD son las estrictamente previstas por el legislador y responden a la voluntad de éste, que a su vez expresa la de los ciudadanos.

13. ¿ No se puede hacer nada ante la agresividad de las campañas publicitarias por teléfono por las que se reciben multitud de llamadas sin ningún tipo de restricción en cuanto a horarios o festivos ? ¿No se está vulnerando el derecho a la intimidad? Gracias

La primera pregunta afecta más bien al derecho del consumidor y es en ese ámbito en el que debería obtener respuesta por los poderes públicos. Ahora bien, sobre el origen de los números telefónicos que se pueden utilizar en la realización de estas campañas la Agencia comparte la preocupación de los ciudadanos y está realizando una investigación de oficio para garantizar que se respete la normativa vigente.

14. Si en mi trabajo hay colocada una cámara de seguridad que me graba durante mi jornada, ¿hasta qué punto puede mi jefe utilizar esas imágenes contra mí?

Su jefe puede instalar esa cámara para garantizar el cumplimiento de obligaciones laborales. Para nada más. En cualquier caso, debe tenerla informada de la instalación de las cámaras y garantizar que no se instalen en lugares que atenten contra su intimidad.

15. Cada día recibo cientos de correos de SPAM y parece que lo que hacen no sirve para nada, sin embargo en Navidad felicité las fiestas a mis contactos sin poner CCO y me multaron con 600 euros por incumplir el deber del secreto. Explíqueme que criterio siguen porque no entiendo que una felicitación navideña sea susceptible de sanción con la cantidad de correos de spam que recibo

Cada día la Agencia sanciona spams, como competencia que le atribuye la Ley, aunque sin duda nuestra aportación es una gota en un océano. Desvelar las direcciones de correos electrónicos de terceras personas también es una infracción de la normativa de protección de datos. Los criterios de la Agencia en este y el resto de los supuestos son la aplicación de la legislación vigente.

16. ¿Es legal que el servicio de mantenimiento de un Hotel instale una camara de vigilancia en la zona del SPA y del Gimnasio??? ¿Debe hacerlo una empresa de seguridad? ¿Cómo actuar en caso de ser ilegal?

Cada caso merece su propio análisis. Desde luego, las cámaras sólo puede instalarlas una empresa de seguridad y en la instrucción de la AEPD de diciembre de 2006 encontrará el conjunto de garantías que deben seguirse. Las cámaras deben instalarse de la forma que menos agresiva resulte para la privacidad y sólo para atender fines de seguridad o de cumplimiento de obligaciones laborales. Si no es el caso, debería denunciarse.

17. ¿Qué ha de entederse por “medios de comunicación social” en relación con la definición de fuentes accesibles al público?¿Un blog personal con contenidos diarios sobre temática profesional es un medio de comunicación social?¿Lo será sólo en caso de que exista publicidad on-line en el blog o este hecho es indiferente? Gracias

Internet no es un medio de comunicación social, como ha confirmado la Audiencia Nacional. En los conflictos entre libertad de expresión y protección de datos la Agencia diferencia entre el dato personal publicado en un medio de comunicación social (sea en soporte informático o no) y el resto de supuestos. Un blog personal no tendría tal condición.

18. Hola Sr. Rallo, ¿Cómo puede un ciudadano de a pie realizar algún tipo de queja o denuncia cuando recibe spam? Por ejemplo, a quien ha de dirigirse. Y por otro lado…¿Cómo de efectiva resultaría la queja?

Preséntela enviando un correo a ciudadno@agpd.es No tenga duda de que todas las denuncias que se presentan a la Agencia son analizadas y en su caso investigadas.

19. Buenos dias Sr. Rallo. Como bien sabra, muchas empresas (sobretodo de telecomunicaciones) han deslocalizado muchos de sus centros de atención al cliente, trasladandolos a otros paises fuera de España, y con ello, todos nuestros datos personales. ¿Como puedo asegurarme de que mis datos personales estan siendo tratados con la misma seguridad y confidencialidad que en España? ¿La AEPD regula y supervisa esta transferencia de “datos personales” de un pais a otro?. Gracias

En mayo de 2007 la Agencia realizó una inspección en este ámbito. Enviamos incluso un equipo de inspectores a Colombia a verificar el uso correcto de los datos personales por las empresas que los gestionan en los “call center”. Puede tener la tranquilidad de que el resultado fue muy satisfactorio y obviamente estamos haciendo el seguimiento correspondiente. Toda transferencia va precedida de una autorización por el director de la AEPD.

20. Si tengo contratado el dominio y alojamiento de mi página web con una empresa de Estados Unidos, y tengo registrados datos de personas de múltiples países, ¿se aplica la Ley de Protección de Datos de España, no estando los datos realmente en España, ni muchas de las personas ser españolas? ¿O bien aplicaría la Ley que haya en Estados Unidos, aunque yo esté en España? ¿Tiene alguna responsabilidad en la protección de los datos la empresa del alojamiento?

Si usted es un establecimiento situado en España se le aplicará la Ley Orgánica de Protección de Datos. La empresa de alojamiento tendrá la consideración de encargado del tratamiento con las implicaciones que se deriven.

21. ¿Puede una compañía que ofrezca un servicio comercial utilizar datos de clientes que lo fueron hace años para rechazar a dicha persona como cliente? Si la respuesta es afirmativa, ¿durante cuántos años puede mantener dicha información en sus ficheros?

Todo responsable de un fichero solo puede mantener los datos personales por el tiempo necesario para satisfacer la finalidad que justificó su obtención.

22. Una compañía de telefonía, ¿debe borrar de sus archivos los datos personales de los clientes que han dado de baja su contrato? ¿Tiene obligación de mantenerlos con algún propósito legal? Si es así, ¿durante cuánto tiempo? Y finalmente, ¿puede utilizar estos datos para algo más que dicho propósito legal?

La compañía tiene la obligación de cancelar los datos, esto es, no volver a utilizarlos. Pero deberá mantenerlos bloqueados para atender las demandas legales que puedan suscitarse y, finalizado el plazo de éstas, destruirlos.

23. Buenos días Sr. Rallo. Soy funcionario en una administración autonómica. En mi trabajo, expedientes con datos personales están sin custodiar y al alcance de cualquiera. Incluso existen cajas de cartón por el suelo con expedientes para la autorización de actividades. He comentado el asunto con mis jefes y me dicen que todavía no es obligatorio la custodia de archivos con soporte de papel. ¿Es eso cierto?.

El reciente reglamento de protección de datos entró en vigor el pasado 19 de abril y obliga a extender las medidas de seguridad también a los ficheros manuales, aunque contempla unos plazos transitorios de adaptación. Ahora bien, sus jefes deberían tener muy en cuenta que se estaría cometiendo una infracción si accede a esa información personal no autorizado a ello.

24. Hola Artemi, ¿alguna te has descargado algo del emule? ¿Cómo se asegura uno de no estar publicando datos sin darse cuenta? Saludos desde la UJI.

Otro caluroso saludo. Nunca me he descargado nada del emule. Y a la vista de las últimas noticias conviene que todos nos apliquemos mucho en evitar un mal uso de este tipo de programas. Tengo entendido que no es tan difícil evitar volcar a la Red información indebida.

25. Hola, tengo una pequeña empresa de comercio electrónico y cada vez os tengo más miedo por las multas que estáis imponiendo por un simple fallo, temo que un día tenga que cerrar por una multa vuestra.

Las multas que la Agencia impone, repito, son las que la Ley prevé. Y los ciudadanos siguen manifestando una alta preocupación por la recepción indebida de publicidad. En todo caso, este es un sector en el que se van detectando indicios de más adecuación a la normativa.

26. Buenos dias Artemi. Mi pregunta va relacionada con google. ¿Que pasa con los datos que recoge google de nuestras busquedas en internet?, ¿los puede ceder a otras empresas?, ¿puede enviar google datos de usuarios, recogidos en la UE a EEUU sin nuestro consentimiento?. En 2006 el fiscal de los EEUU requirió a varios buscadores que entregaran los datos de busqueda de sus usuarios, ¿seria esto posible en España, o tendría que darse una orden judicial?. Muchas gracias

En España sería necesaria una orden judicial. Google no puede ceder nuestros datos a nadie y así lo afirman sus políticas de privacidad. Los datos de las búsquedas de Google están obviamente incorporados a sus bases de datos. Nuestra batalla es que se reduzcan los periodos de retención y que los ciudadanos estén mejor informados sobre el alcance del uso que hacen de los buscadores de Internet. Los sistemas actuales son ficticios e irreales.

27. Buenos días… últimamente entre mi grupo de colegas está surgiendo una teoría sobre las nuevas “redes sociales” al estilo de Facebook, myspace…. las compañías responsables de estas web 2.0 tienen una gran cantidad de información sobre los usuarios que puede convertirse, si no lo es ya, en el mejor banco de datos privado, que incluye información sobre gustos, etc… ¿Dicha información puede ponerse en venta? ¿Las agencias de protección de datos vigilan o supervisan estas posibles ventas? Para “darse de baja” de estos portales, ¿se puede recurrir a la Agencia? Un saludo y gracias

No deberían ponerse en venta. Lo cierto es que, por ejemplo, es sabido que los empresarios hoy comprueban en las redes sociales los currículum vitae de los aspirantes a puestos de trabajo. Las agencias de protección de datos están iniciando una evaluación de las redes sociales y sus riesgos para la privacidad. Entre otras dudas, es sabido lo difícil que resulta darse de baja en ellas. Hay, no obstante, un problema de jurisdicción como ocurre con los buscadores si de aplicar una normativa de protección de datos a Facebook o MySpace que tienen dimensiones planetarias. Pero estamos en ello.

28. si tecleo el nombre de una antigua novia en Google o Yahoo, puedo perfectamente conseguir su DNI, provincia, matricula de auto, y multas, Igualmente con deudas de hacienda , incluso a veces puedo localizar con el servicio de paginas blancas de telefonica, localizar su domicilio, pueblo telefono etc etc. Todo favorecido amablemente por las Diputaciones o BO de cada provincia. Es Legal?

Es legal, pero la AEPD ha logrado, por ejemplo, que Google acepte el derecho de oposición y cancele la información existente en los buscadores e impida, en colaboración con las webs, su búsqueda futura.

29. Buenos dias Sr. Rallo: soy médico y tengo las historias clínicas en un ordenador portatil que va conmigo a todas partes. ¿He de declarar la existencia de este archivo a la Agencia? ¿Tiene algun costo si es así?

Claro que sí que tiene que declarar la existencia de ese fichero con datos especialmente protegidos de salud. Y garantizar todas las medidas de seguridad a las que le obliga la legislación. Declararlo no tiene coste económico alguno, pero verificar las exigencias de seguridad tendrá las que resulten de la realización, entre otras, de una auditoría bianual.

30. por qué los datos del censo se entregan a los partidos políticos, sin el consentimiento explícito de los ciudadanos? nos atiborran con propaganda electoral no deseada. gracias.

La LOPD remite a la LOREG su aplicación en relación con el censo electoral. Las acciones que describe se ajustan a lo previsto en la LOREG.

Despedida

Las preguntas son muchas y todas de interés global y general. Espero que la Agencia siga atendiendo la preocupación. Muchas gracias y espero que en el futuro la web de la Agencia responda mejor a las necesidades que todos ustedes demandan. La web es www.agpd.es y para cualquier duda o denuncia pueden dirigirse a ciudadano@agpd.es o al teléfono 901100099.

http://www.elmundo.es/encuentros/invitados/2008/04/3030/index.html

4.000 historias clínicas de abortos se filtran en la Red a través de eMule

La protección de datos

Protección de Datos sanciona con 150.000 euros a un centro médico de Bilbao

MÓNICA C. BELAZA – Madrid – 25/04/2008 Imprimir   Enviar

Descargarse música o películas desde el ordenador del trabajo a través de un programa de intercambio de archivos puede tener efectos trágicos y no calculados, causados por quien quizá sólo pretendía meter en su MP3 una canción de David Bisbal. Un error de este tipo ha podido provocar que 11.300 historias clínicas, de ellas 4.000 de casos de aborto, acaben expuestos ante cualquier internauta.

El desconocimiento tecnológico de algún empleado de una clínica ginecológica pudo llevarle a poner a disposición del programa eMule (el más popular de intercambio de archivos entre particulares), y por lo tanto al alcance de millones de personas, todos estos datos, contenidos en una carpeta del disco duro de su ordenador. No se sabe con exactitud quién ha sido el culpable, ni las razones de la filtración, pero la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a la clínica, el centro médico Lasaitasuna, en Bilbao, con 150.000 euros. Todavía están en plazo para recurrir la resolución.

No es un caso único. Es el tercero que sanciona Protección de Datos, que tiene abiertos, además, otros 19 expedientes por asuntos similares. Éste es especialmente grave. Se trata de datos médicos ginecológicos y de urología y, en 4.000 casos, son historias clínicas relacionadas con interrupciones voluntarias del embarazo, extremadamente sensibles y cuya divulgación afecta a la intimidad de las mujeres. El centro médico ha declinado hacer declaraciones, pero sus responsables afirmaron ante la Agencia de Protección de Datos que desconocían cómo el fichero había acabado en Internet a la vista de cualquiera. No sabían si había sido el error de un empleado o algo premeditado por alguna persona.

La Policía Local de Ourense fue la que encontró las historias clínicas en el eMule. Estos agentes se han convertido en una especie de guardianes de la protección de datos en la Red. Ellos han sido quienes han dado la voz de alarma en todos los expedientes abiertos en Protección de Datos en 2007 por denuncias relacionadas con el hallazgo de ficheros con datos de carácter personal en redes p2p (peer to peer, o entre iguales).

Una vez conocido el problema, Protección de Datos abrió una inspección. En el centro médico bilbaíno encontraron un fichero de gestión de pacientes igual que el que se había hallado en Internet. En el mismo se podía acceder a datos de las consultas de ginecología, vasectomías e interrupciones de embarazo por aspiración y por píldora. Los registros aparecían asociados a pacientes y a su historia clínica.

La clínica implantó de inmediato en su sistema informático medidas de seguridad de nivel alto. Pero por la filtración de los datos ha sido sancionada por “infracción muy grave” con una multa de 150.000 euros. La sanción podía haber sido mayor -la Ley de Protección de Datos castiga este tipo de infracciones con multas de 300.000 a 600.000 euros-, pero se moderó por la colaboración mostrada por la titular del centro a lo largo del procedimiento, que desarrolló “una extensa actividad para evitar la comisión de infracciones en materia de protección de datos de carácter personal”, según la resolución de la agencia.

“En este caso se trata de un error inexcusable de la clínica, que no tenía las medidas de seguridad necesarias para evitar que se produzca una gravísima filtración de estas características”, explica el director de la Agencia de Protección de Datos, Artemi Rallo. “Pero hay que hacer un llamamiento global, lo más alto y claro posible, a todas las empresas, hospitales, bancos, guarderías, colegios, para que extremen las garantías y las cautelas y revisen sus sistemas. Hay que hacer una política activa de formación, información y concienciación. La sociedad de la información tiene ciertos riesgos que deben controlarse, y con estos casos quedan en evidencia las limitaciones de muchos ciudadanos a la hora de usar correctamente las herramientas tecnológicas”, añade.

Los consejos de Protección de Datos para evitar estos casos son los siguientes: en primer lugar, que la empresa, centro o administración analice si es estrictamente necesario, por razón de los trabajos que se desempeñan, que sus equipos informáticos tengan un software de intercambio de archivos. Si no son necesarios, deben bloquearse. En segundo lugar, habría que establecer medidas adicionales de seguridad para limitar el acceso de los trabajadores a datos tan delicados como los relativos a salud o a los menores.

Protección de Datos ha abierto 21 expedientes en 2007 por filtraciones de datos personales a Internet. Uno de los ficheros encontrados contenía datos de los miembros y directivos de una comunidad religiosa; otro hablaba de solicitantes de adopciones internacionales; otro, de miembros de un sindicato. Cinco se referían a datos de clientes de la empresa, tres a historias clínicas filtradas a la Red y otras cinco a datos personales de recursos humanos.

“Las administraciones públicas, que son las que promueven la sociedad de la información, tienen que promover en paralelo políticas de concienciación y prevención”, concluye Artemi Rallo. “Éstos son errores fatales que se pueden evitar con información suficiente. Los ciudadanos tienen que ser conscientes de que a las descargas en Internet las carga el diablo”.

http://www.elpais.com/articulo/sociedad/4000/historias/clinicas/abortos/filtran/Red/traves/eMule/elpepusoc/20080425elpepisoc_3/Tes

Es hora de dejar que el paciente se implique más

Se habla mucho de que el paciente es el eje del sistema, pero aún se le mantiene alejado de la gestión de su propia salud. “La sanidad debe acercarse a las personas, y para ello es necesario dejar que se acerquen”. Esta frase, enunciada ayer por Ana García Vallejo, jefe del Área de Programas Especiales del Centro de Servicios Tecnológicos de la Consejería de Sanidad de Galicia, resume en gran medida lo expuesto en dos mesas redondas que el XI Congreso Nacional de Informática de la Salud (Inforsalud), organizado en Madrid por la Sociedad Española de Informática de la Salud (SEIS), ha dedicado a la participación ciudadana en salud.
Rosalía Sierra 18/04/2008
Esta implicación puede estructurarse de diferentes formas. En Galicia y Andalucía han optado por crear espacios de comunicación multicanal con los usuarios. En el caso gallego, se trata de Espacio de Salud, que ofrece servicios a ciudadanos, profesionales y proveedores a través de teléfono, internet, SMS, correo electrónico y atención presencial. En Andalucía el proyecto se denomina Informar.esSalud, que busca “crear un marco integral de relaciones con los ciudadanos”, según explicó Purificación Gálvez, directora general de Innovación Sanitaria, Sistemas y Tecnologías de la región.

Por su parte, Gregorio Gómez, director asistencial de la Agencia Valenciana de Salud, ha descrito la utilidad de un sistema de comunicación con los profesionales que, a través de un cuadro de mando integral, permite “controlar la carrera profesional y el cumplimiento de los objetivos anuales, lo que desvela las áreas de mejora y establece una dinámica de competitividad entre departamentos que redunda en una mejora de la calidad”. El sistema lleva funcionando desde 2005 y los resultados ya son notables: “Se ha producido un efecto de alineamiento entre los resultados de los departamentos, lo que implica más equidad”.

Lo que ha pretendido el Departamento de Sanidad del Gobierno Vasco es hacer más fácil la vida a sus usuarios, y para ello ha creado un Documento de Identidad Sanitaria (ONA, en sus siglas en euskera) “que integra una tarjeta sanitaria y una tarjeta ciudadana, ya que permite realizar trámites administrativos y está equipada con un chip con certificado digital y firma electrónica y una antena de proximidad en su interior que puede tener muchas utilidades, como el control de llegada a las consultas”, afirmó Josu Garay, director de Financiación y Contratación Sanitaria de la región.

Responsabilidad real
Todas estas iniciativas no hacen sino abrir camino a algo que acabará por llegar: el acceso del ciudadano a su historia clínica electrónica (HCE): “Nadie le ha preguntado si quiere manejar él mismo su información y sus riesgos, y hasta ahora hay demasiado paternalismo. Debe poder acceder a sus datos porque si tira por la calle del medio y acabará recurriendo a internet, a páginas que permiten introducir y almacenar datos clínicos pero que no tienen la seguridad que nosotros podemos garantizar”, explica José Antonio Rodríguez Maniega, director de Proyecto de los Nuevos Hospitales de la Comunidad de Madrid de Siemens.

“No es algo nuevo. WebMD (página que permite el autocontrol de pacientes crónicos) surgió hace muchos años y sigue funcionando, y cada vez hay más iniciativas de ese tipo, como GoogleHealth o Revolutionhealth”, dice Antonio García Linares, director de I+D+i de Isoft. El problema es que “no sabemos si el usuario tiene suficiente nivel de educación sanitaria para manejar los datos ni si la información introducida por él es clínicamente fiable. Probablemente no”. La solución es que la información que se maneje sea la introducida por los profesionales sanitarios, pero lo considera difícil “si aún no somos capaces de integrar primaria con especializada ni acabar con el problema de la interoperabilidad entre comunidades autónomas”.

http://www.diariomedico.com/edicion/diario_medico/gestion/es/desarrollo/1113322.html

Barcelona. El COMB abre una asesoría sobre protección de datos

El Colegio de Médicos de Barcelona ha decidido intervenir en el cumplimiento de toda la normativa vigente sobre protección de datos por parte de sus colegiados abriendo una asesoría específica. Su objetivo es llegar a erigirse en valedor a través de un código tipo para el colectivo.
Carmen Fernández. Barcelona 18/04/2008
El incremento de la demanda de información para implantar en consultorios y centros médicos la normativa relacionada con el tratamiento de la información personal ha llevado al Colegio de Médicos de Barcelona (COMB) a abrir un servicio de asesoría específico, que incluye la oferta de auditorías externas bianuales (obligatorias por ley).

Se trata de facilitar a los profesionales el cumplimiento de la Ley Orgánica de Protección de Datos de Carácter Personal, la Ley Reguladora de los Servicios de la Sociedad de la Información y del Comercio Electrónico, la Ley General de Telecomunicaciones y las leyes de información y documentación clínica (la 21/2000 autonómica y la 41/2002, nacional). En paralelo al anuncio de la creación de este servicio, la corporación barcelonesa está informando de las obligaciones en el tratamiento de la información de carácter personal (en papel, digital o audiovisual) tanto en lo que respecta a pacientes como a colaboradores.

“Los datos médicos y de salud son datos sensibles y son los que se recogen básicamente en las historias clínicas; por eso se tienen que garantizar los derechos de los pacientes (…) solicitándoles el consentimiento para el tratamiento de los datos y aplicando las medidas de seguridad adecuadas para garantizar que sean tratados, única y exclusivamente, por todos los que intervienen directa o indirectamente en el proceso”, figura en el comunicado emitido a los colegiados.

También les recuerda que el paciente tiene derecho a ser informado sobre qué pasará con sus datos (quién los tratará y cómo), “de forma expresa, precisa e inequívoca”; y tiene derecho a ser informado de los derechos de acceso, rectificación, cancelación y oposición al tratamiento que le aplican, de la identidad de los responsables del tratamiento y del proceso para ejercitarlos. Sobre los menores con más de 14 años de edad, el colegio específica que tendrán que prestar su consentimiento expreso a que los datos personales sean tratados, y que “no es suficiente con el consentimiento de los padres o tutores”. Los médicos con consulta privada, al igual que los centros sanitarios (sean del tamaño que sean), están obligados a declarar e inscribir en la Agencia Española de Protección de Datos los ficheros que contengan datos personales y los documentos de seguridad (reglamento de funcionamiento).

Código Tipo
Ignasi Pidevall, jefe de la asesoría jurídica, ha anunciado a Diario Médico que está previsto elaborar un Código Tipo sobre protección datos para los médicos de Barcelona y que el colegio sea el valedor de su cumplimiento. “Mejor nosotros que la Agencia de Protección de Datos”, ha apuntado. Las multas por incumplimiento son cuantiosas.

El antecedente
La Unión Catalana de Hospitales (UCH), que agrupa a centros de diferente titularidad (mayoritariamente concertados con el Servicio Catalán de la Salud), dispone desde 2002 de un Código Tipo para ayudar a las entidades sanitarias y sociosanitarias en el cumplimiento de la normativa de protección de datos. Se han adherido ya 194 centros (asociados y no asociados a la UCH), que además de información reciben asesoramiento, auditorías y formación. Entre los adheridos figuran el Hospital de San Pablo, el Clínico, las fundaciones Puigvert y Guttmann, todos de Barcelona, y los hospitales de San Juan de Dios de Esplugues (Barcelona), Pamplona, Zaragoza y Palma de Mallorca.

http://www.diariomedico.com/edicion/diario_medico/normativa/es/desarrollo/1113867.html

Protección de Datos considera una “práctica infractora” citar en sus casas a mujeres que han abortado

La agencia estatal argumenta que la información de carácter personal no puede ser comunicada a terceros, sean o no familiares de las pacientes

MÓNICA C. BELAZA – Madrid – 15/04/2008

Las actuaciones policiales y judiciales en torno al caso de la clínica de abortos Isadora, en Madrid, llevaron a que algunas mujeres fueran citadas a declarar como testigos por agentes de la Guardia Civil, que se presentaron en sus casas para notificárselo. En uno de los casos, una de las mujeres estaba en su vivienda bañando a sus dos hijos a las ocho de la tarde cuando recibió la visita de dos agentes. El director de la Agencia de Protección de Datos, Artemi Rallo, ha señalado hoy que estos hechos constituyen “una mala práctica, infractora de la Ley de Protección de Datos”, en cuanto que la información de carácter íntimo de una persona no puede ser comunicada ni cedida a terceros, sean o no familiares de las pacientes. En estos casos las mujeres se han quejado de que las parejas, amigos o familiares que estaban en la casa cuando llegaron los agentes, se enteraron por esta actuación de que ellas se habían practicado un aborto tiempo atrás.

“El deber de secreto es una obligación legal que vincula a los poderes públicos y que les obliga a extremar las cautelas”, ha señalado Rallo. “Tienen que hacer un uso adecuado, pertinente y no excesivo de la información que manejan”. En este sentido, ha recordado que Protección de Datos recomienda que incluso en las comunicaciones médicas a los pacientes no se incluya el membrete en el sobre para que no sea identificado por personas distintas al titular de los datos de carácter personal.

Sobre el caso de las citaciones personales por el caso Isadora, Rallo ha indicado, sin embargo, que la Agencia de Protección de Datos no ha abierto ninguna investigación de oficio para pronunciarse oficialmente sobre el tema, ya que sólo tienen conocimiento de los hechos a través de los medios de comunicación. Y ha añadido que sí se abriría si alguna de las afectadas presentara una denuncia concreta.

Rallo ha hecho estas declaraciones en una rueda de prensa posterior a la presentación de un informe sobre confidencialidad y datos personales de centros médicos de interrupción del embarazo. El informe había sido solicitado por el Ministerio de Justicia tras las declaraciones de mujeres en las investigaciones policiales y judiciales sobre casos de aborto en Madrid y Barcelona, pero el Ministerio no preguntó a la Agencia sobre estas investigaciones en concreto ni sobre las citaciones personales. Así que el informe se limita a hablar, fundamentalmente, de las cautelas que deben adoptar las administraciones públicas en la inspección sanitaria, destacando la necesidad de aplicar “un régimen especial de protección a estos datos” por ser especialmente sensibles.

Fuente: El País

La Agencia de Protección de Datos exige respetar la confidencialidad en los abortos

PIDE ‘CAUTELAS EXTREMAS’
  • No han encontrado motivos para actuar de oficio contra los agentes de la Guardia Civil
Actualizado martes 15/04/2008 13:54 (CET)
AGENCIAS

MADRID.- La Agencia Española de Protección de Datos (AEPD) ha exigido “acceso limitado” y “cautelas extremas” a cualquier autoridad y, concretamente, a los agentes de las Fuerzas de Seguridad del Estado, en el uso de información personal de las mujeres que han recurrido al aborto.

Así lo ha indicado el presidente de este organismo, Artemi Ramallo, quien este martes ha presentado un informe solicitado por el Ministerio de Justicia a raíz de la investigación criminal abierta en algunas clínicas abortistas, que conllevó el que agentes de la Guardia Civil comunicaran a las afectadas la citación judicial en sus domicilios.

Ramallo ha dicho que los agentes tienen obligación de no revelar o comunicar ante “terceros, sean familiares o no”, los datos íntimos de estas mujeres.

Ha explicado, además, que la AEPD no encontró motivos para actuar de oficio, aunque “no descarta” hacerlo en el futuro si se presentan las “denuncias concretas”.

La polémica en torno al aborto se desató a principios de este año. Las clínicas abortistas organizaron una huelga para protestar por las presiones recibidas por sus profesionales y por las investigaciones iniciadas en varios centros de Madrid y Barcelona por presuntos abortos irregulares.

Tras estas “disfunciones”, el Gobierno anunció que buscaría los mecanismos para garantizar este derecho.

Límites de las administraciones públicas

El informe de la AEPD incluye los límites que habrán de respetar las administraciones públicas competentes, en el acceso a los datos de las pacientes.

Como regla general, para “fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia” se debe preservar el anonimato de la mujer que se haya practicado el aborto, a menos que ésta dé su consentimiento.

En caso de que el acceso sea solicitado por una autoridad judicial y la identificación del paciente sea necesaria para la tramitación del proceso, se tendrán en cuenta los términos de la correspondiente resolución judicial, de manera que el acceso quedará “limitado estrictamente a los fines específicos de cada caso”.

Por último, el documento establece que el acceso por parte de los órganos de inspección sanitaria será permitido cuando su finalidad sea la “comprobación de la calidad de la asistencia, el respeto de los derechos del paciente o cualquier otra obligación del centro en relación con los pacientes y usuarios o la propia Administración sanitaria”.

Fuente: El Mundo