La Agencia de Protección de Datos pide que los hospitales cuenten con un registro de actividades

“Cualquier centro hospitalario debe tener un registro de actividades de los tratamientos que realizan, efectuar un análisis de riesgo y, en su caso, una evaluación de impacto, implantar medidas técnicas, organizativas y de seguridad y contar con un delegado de protección de datos”, explica Mar España, directora de la Agencia de Protección de Datos (AEPD), quien ha participado en el Foro SEDISA de actualización sobre la Normativa de Protección de Datos en el Ámbito de la Salud, organizado por la Sociedad Española de Directivos de la Salud (SEDISA), la Fundación SEDISA y el Comité de Antiguos Alumnos de SEDISA (ALSEDISA). Las organizaciones cada vez hacen un mayor uso de los datos de las personas, de forma que estos se han convertido en un activo fundamental, que genera valor añadido a los productos y servicios. “En el ámbito de las organizaciones sanitarias, la situación es muy compleja. En un hospital se genera un gran número de datos, que además son necesarios para introducir con evidencia todos los avances terapéuticos y de tecnología sanitaria. Sin embargo, esos datos no se están utilizando de forma generalizada, aunque el conocimiento que aportan es fundamental para la planificación de recursos y mejora de la actividad asistencial. Además, nuestros sistemas no son invulnerables y cada día se perfeccionan más los ataques a estos', señala Joaquín Estévez, presidente de SEDISA. Por este motivo, según la directora de la AEPD, el sector salud ha sido prioritario para la Agencia, desde la que se están elaborando guías y se pondrá en marcha un plan de actuación específico para el área de atención sociosanitaria. En cuanto a la figura del delegado de protección de datos (DPD), Mar España ha explicado que “su papel es fundamental para asesorar sobre el cumplimiento y concienciar sobre ello a los profesionales. No se exige que tenga una titulación específica o que sus cualidades hayan sido certificadas pero sí unos requisitos mínimos, debiendo tener conocimientos en derecho y práctica en protección de datos; se deja libertad para que el delegado de protección de datos sea interno, de la propia organización, se seleccione por contratación externa o sea compartido, y quien lo nombra debe garantizar que participe en el equipo directivo, y que esté respaldado con medios técnicos, autonomía e independencia”. La directora de la AEPD ha puesto de relieve el trabajo realizado por la Agencia en los últimos años, destacando que en 2018 las reclamaciones crecieron casi un 33% respecto a 2017, pasando de 10.651 a 14.416. Asimismo, ha indicado que un año después de la aplicación del Reglamento se han resuelto casi 2.100 reclamaciones con respuesta satisfactoria tras remitirlas al responsable o al Delegado de Protección de Datos, lo que supone que 7 de cada 10 reclamaciones enviadas se han resuelto de forma satisfactoria para las partes implicadas. Acceso a la historia clínica Pese a que se conoce cuándo un profesional sanitario puede acceder a una historia clínica, la AEPD sigue recibiendo reclamaciones en esta área. “La Ley garantiza la atención al paciente y, al mismo tiempo y preserva la trazabilidad”, explica Mar España, quien añade que, “sin embargo, por otra parte, facilita el acceso para la investigación, asegura el anonimato y contempla el derecho a la delimitación del uso de los datos y de la portabilidad”.