confidencialidad de la outsourcing - · pdf file3 - sanciones de 100.000 a 100.000.000 pts....
TRANSCRIPT
1
OUTSOURCING
El problema de la protección de datos
CESIÓN DE DATOS
CALIDAD DELOS DATOS
CONFIDENCIALIDADDE LA
INFORMACIÓN
PRIVACIDAD
Derecho a la intimidad de las Personas Físicas (Constitución, 1978)
Derecho Fundamental a la Protección de Datos Personales (CartaEuropea de Derechos Humanos, 2000)
DERECHOS DELOS AFECTADOS
2
Directiva 95/46/CE
Ley Orgánica 5/92 (LORTAD)
R.D. 428/93Estatuto de la APD
Instrucciones de la APD
R.D. 994/99(Reglamento)
Ley Orgánica 15/99LOPD
Constitución 197818.4 La Ley “limitará” el
uso de la informática para garantizar la
intimidad
-Deroga la LORTAD-Mantiene el Reglamento y los R.D. 428/93 y 1332/94
R.D. 1332/94(Desarrollo)
El marco legal
Ley 2/2004 de Ficheros DCP de Titularidad Pública y de Creación de la AVPD
3
- Sanciones de 100.000 a 100.000.000 pts.
(de 601,01 € a 601.012,1 € / disciplinarias)
- Establece unos plazos de cumplimiento
- Existencia órganos de Control:
26 de marzo 2.000
26 de junio 2.000
26 de junio 2.002
Leves Graves Muy Graves
- Derecho Fundamental STC 292/2000.
Importancia de esta Ley OrgánicaLey Orgánica de Protección DCP
4
- Concepto de Dato personal:
Cualquier información concerniente a personas físicas identificadas o identificables.
Recordad: Cualquier Información.
Personas físicas.
Identificadas o Identificables.
El DCP es propiedad de su titularMUY IMPORTANTE
¿Estoy sujeto a la ley?Ley Orgánica de Protección DCP
5
- Concepto de Fichero:
Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o
modalidad de su creación, almacenamiento, organización y acceso.
Todo conjunto organizado de DCP.
Cualquiera que fuere su forma.
Recordad:
¿Estoy sujeto a la ley?Ley Orgánica de Protección DCP
6
- Deber de secreto.
Quien intervenga en cualquier fase del tratamiento está obligado al secreto profesional, obligación
que subsistirá aun después de finalizar sus relaciones con el titular del fichero.
Recordad:Quien intervenga.
En cualquier fase del tratamiento.
Secreto indefinido en el tiempo.
¿Estoy sujeto a la ley?Ley Orgánica de Protección DCP
7
Responsabilidad RF, RS, ET, ...
Finalidad, uso no-abusivo, pertinencia, exactitud los DCP se tratan para fines concretos y declarados
los DCP sólo se usan para esos fines
los DCP son adecuados a esos fines
los DCP son de calidad, íntegros, exactos
Publicidad, acceso individual los Ficheros se inscriben en el Registro de la AEPD
los interesados conocen la existencia de los ficheros
Los DCP han de tratarse conforme a unos principios…Ley Orgánica de Protección DCP
RF: OSAKIDETZADirección de Asistencia SanitariaDirección de RRHHDirección Económica-Financiera
RS de SSCC: Subdirección de InformáticaRS de las OOSS
8
Seguridad Hay que implantar medidas de seguridad
Información Hay que informar al interesado de que existe el fichero, para qué se usan sus datos, quién es el Responsable, dónde puede ejercitar sus derechos...
Consentimiento El tratamiento de los datos requiere el consentimiento de su titular, aunque hay excepciones (relación jurídica, ejercicio de la Administración, interés vital, fuentes accesibles al público)
la cesión a terceros requiere el consentimiento o un amparo legal.
Los DCP han de tratarse conforme a unos principios…Ley Orgánica de Protección DCP
9
1º.- Protección de DCP es un derecho FUNDAMENTAL.
2º.- Los DCP son SIEMPRE de su titular.
3º.- La Ley no prohíbe manejar datos, prohíbe su tratamiento SIN GARANTÍAS.
4º.- Todo tratamiento debe estar CONSENTIDO (salvo excepciones legales).
5º.- Todo tratamiento debe ser INFORMADO.
6º.- No se puede CEDER datos (salvo amparo).
Ideas a recordar…
10
Plazo (con prórroga)26-Marzo-2000
Niveles de clasificación de los datos
VENCIDO
Plazo26-Junio-2000
Plazo (con prórroga)26-Junio-2002VENCIDO
VENCIDO
PLAZOS para implantarlas medidas
BA
SIC
OB
AS
ICO
MED
IOM
ED
IOA
LTO
ALTO
Cualquier datoDe personas físicasIdentificadas/identificables
Hacienda PúblicaServicios financierosInfracciones admvas./penalesSolvencia patrimonial
*Personalidad
Ideología, Religión, Creeencias...¿Sindicales?Salud, Vida SexualFines policiales
11
Algunos Ficheros declarados…
BA
SIC
OB
AS
ICO
MED
IOM
ED
IOA
LTO
ALTO
Registro de Personal de OsakidetzaRegistro de kits antisidaBolsa de trabajoOferta Pública de EmpleoEncuestas de calidad...
Registro de casos de SIDARegistro de casos psiquiátricosAltas HospitalariasHistorial Clínico...
12
Algunas medidas reglamentarias
• Elaborar el Documento de Seguridad
• Mantener Registros de incidencias
• Controles de acceso
• Gestión de soportes
• Auditorías cada dos años
• ....
13
Otras normativas del ámbito sanitario
• Ley 14/1986 General de Sanidad
• Decreto 272/1986 por el que se regula el contenido de la Historia Clínica en el País Vasco
• Ley 8/1997 de Ordenación Sanitaria de Euskadi
• Ley 41/2002 de autonomía del paciente...
• R.D. 223/2004 por el que se regulan los ensayos clínicos con medicamentos
14
Exposición de motivos… rasgos
Los derechos de los pacientes: eje de relaciones clínico-asistenciales
Ley 14/1986 General de Sanidad
• Derecho a la información• Autonomía del paciente en su salud• Intimidad personal• Confidencialidad de la información
Convenio del Consejo de Europasobre los derechos del hombre,la biología y la medicina (1997)
• Derecho a la información• Consentimiento informado• Intimidad de los datos de salud
Ley Orgánica 15/1999 (LOPD)
• Datos de salud: especialmenteprotegidos. (Régimen riguroso parasu obtención, custodia y cesión)
Directiva comunitaria 95/46• Derecho a la intimidad• Excepciones recogidas en normas
con rango de Ley (interés general) Estudios epidemiológicos Salud colectiva en riesgo grave Investigación y ensayos clínicos
Ley 41/2002 “de Autonomía del Paciente”
15
AUTONOMIA DEL PACIENTE
Principios básicosLey 41/2002 “de Autonomía del Paciente”
Tratamiento de información
Dignidad de la persona (paciente)
Respeto a la autonomía de su voluntad
Respeto a su intimidad
Actuación sanitaria
Dar información adecuada al paciente
Consentimiento de la actuación
Derecho a decidir libremente
Guardar la reserva debida
(Definición legal) CONSENTIMIENTO INFORMADO:
Conformidad libre, voluntaria y consciente de un paciente, manifestadaen el pleno uso de sus facultades después de recibir la informaciónadecuada, para que tenga lugar una actuación que afecta a su salud.
16
DerechosLey 41/2002 “de Autonomía del Paciente”
... a la información asistencial
Como mínimo, de cada intervención:• finalidad
• naturaleza
• riesgos
• consecuencias
Paciente:
• derecho a conocerla (salvo excepciones legales)
• derecho a NO conocerla
Familiares (o personas vinculadas de hecho):
• si el paciente lo permite, expresa o tácitamente
• a criterio del médico, si le falta capacidad de entendimiento
Médico:
• garantizar el cumplimiento de este derecho
• proporcionar información verdadera
• comunicarla de forma comprensible
Limitación:
• existencia acreditada de un estado de necesidad terapeútica
17
... a la intimidad
CONFIDENCIALIDAD de los datos de salud
Nadie accede a ellos salvo autorización amparada legalmente
Centros sanitarios:
• adoptar medidas para garantizar este derecho
• elaborar normas y procedimientos para acceder legalmente
DerechosLey 41/2002 “de Autonomía del Paciente”
18
... de acceso a la Historia Clínica
Acceso a la H.C. y obtención de copia, salvo:
• perjuicio contra intimidad de terceros que figuren en ella
• perjuicio contra profesionales que la elaboraron, que tienen
derecho a la reserva de sus anotaciones subjetivas
Ejercitable por representación debidamente acreditada
Pacientes fallecidos
• Sólo acceso a personas vinculadas, por familia o de hecho
• Salvo prohibición expresa del fallecido, y así se acredite
• Terceros con riesgo para su salud, a los datos pertinentes
• Nada que afecte a la intimidad, ni a las notas subjetivas,
ni que perjudique a terceros
Los centros sanitarios han de establecer un mecanismode custodia activa y diligente de las HHCC.
DerechosLey 41/2002 “de Autonomía del Paciente”
19
Usos de la Historia ClínicaLey 41/2002 “de Autonomía del Paciente”
Acceso autorizado:
• Con fines asistenciales: los profesionales asistenciales que realizan el
diagnóstico o el tratamiento del paciente.
• Con fines judiciales, epidemiológicos, de salud pública, de docencia o de
investigación: en los términos de la LOPD y la Ley General de Sanidad
(separación de los datos identificativos de los clínico-asistenciales).
• Administradores y gestores de los centros sanitarios: sólo datos para
ejercitar sus funciones.
• Personal sanitario acreditado en funciones de inspección, evaluación,
acreditación y planificación: en cumplimiento de sus funciones.
H.C.: Instrumento destinado fundamentalmente a garantizar la asistencia.
QUIEN ACCEDA A LA H.C. QUEDA SUJETO AL DEBER DE SECRETO
20
Recapitulación
• Importancia de la Protección de Datos.
• Principios básicos de la legislación.
• Niveles de clasificación de los Datos y medidas de protección aplicables.
• Derechos de los pacientes. a la información asistencial (consentimiento)
a la intimidad (confidencialidad)
de acceso a la H.C. (custodia por el Centro)
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
Resolución A.E.P.D. R/00198/2011, de 1 de marzo
• RESUMEN: Historias clínicas. Principio de seguridad de los datos: Falta de vigilancia del lugar de ubicación de los datos sanitarios. Concepto de Historia Clínica: Conjunto de documentos que contienen datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial. Derecho a la intimidad. Responsabilidad del tratamiento de los datos. Infracción grave y requerimiento de medidas de futuro.
36
ANTECEDENTES
• Primero.—Con fecha de 3 de diciembre de 2009 tiene entrada en esta Agencia un escrito de D. A.A.A. en el que declara que en fecha 19/11/09 acudió al Hospital Vega Baja de Orihuela. Al llegar al área de Admisión de consultas externas observó que cientos de historias clínicas de pacientes del hospital, se encontraban apiladas en unos cajones con ruedas, sin vigilancia alguna. Esta misma situación se produce al pasar el zaguán que da acceso al pasillo de consultas externas. Todo ello puede comprobarse en las grabaciones que adjunta.
37