3 minute read
Espai jurídic
August González Ausín, advocat de l’Institut Qualitas
Com a punt de partida, cal tenir present que les dades sanitàries són molt sensibles i, en conseqüència, estan especialment protegides per la legislació. Per tant, el tractament de dades que no s’ajusti a la normativa es pot considerar infracció molt greu.
Advertisement
A partir d’aquí, cal plantejar-se quina és la incidència que l’ús de les noves tecnologies pot suposar en aquest àmbit. És evident que aquests recursos, per la seva pròpia naturalesa, introdueixen un conjunt de factors (distància, complexitat tècnica, etc.) que poden dificultar el compliment de la normativa de protecció de dades, especialment el deure de confidencialitat.
En aquest sentit, una qüestió que està resultant força controvertida és la realització de comunicacions no presencials (telèfon, videoconferències, correu electrònic, etc.), ja sigui per a simples actes de comunicació amb els pacients o, fins i tot, per a supòsits de visites virtuals. Lògicament, en aquests casos es poden plantejar dubtes sobre el compliment del deure de confidencialitat, doncs suposen una distància física que fa difícil el control de la identitat.
Sobre aquesta qüestió s’ha pronunciat en diverses ocasions l’Autoritat Catalana de Protecció de Dades (per exemple, en les resolucions d’arxiu d’informació prèvia nº 115/2010 i nº 88/2016) posant de manifest la validesa d’aquests actes de comunicació, però alhora insistint en la “necessitat d’establir directrius per garantir que la persona a qui s’atorgui la informació coincideixi amb la
Protecció de dades sanitàries i ús de noves tecnologies
persona autoritzada pel pacient”. D’altra banda, un altre aspecte que en aquest àmbit adquireix especial rellevància és el relatiu a les mesures de seguretat (organitzatives i tècniques) a adoptar per tal que la gestió, tractament i intercanvi de dades sigui conforme a la normativa vigent, tenint en compte que les dades sanitàries requereixen l’adopció de mesures de seguretat que la normativa qualifica de nivell alt. Això implica l’adopció d’un conjunt de mesures que la pròpia normativa detalla, entre les quals podríem destacar-ne les següents:
Establir un sistema de control d’accés per tal que només els usuaris autoritzats tinguin accés a les dades.
Establir sistemes que puguin garantir una correcta identificació i autenticació dels usuaris. En cas de contrasenyes, s’han de canviar amb una freqüència anual, com a mínim. A més, els sistemes d’identificació i autenticació dels usuaris han de disposar de mecanismes que impedeixin l’intent reiterat d’accés no autoritzat a la informació.
Establir procediments de còpies de seguretat, amb una freqüència mínima setmanal. A més, una còpia s’ha de conservar en un lloc diferent d’aquell on es trobin els equips informàtics que tractin les dades.
S’ha d’establir un sistema de control d’accés físic per tal que només les persones autoritzades puguin accedir als llocs on estan ubicats els equips físics que donen suport als sistemes d’informació.
La distribució de suports amb dades de caràcter personal s’ha de fer xifrant les dades o bé utilitzant mecanismes alternatius per tal que la informació no sigui accessible durant el seu transport. S’ha d’evitar el tractament de dades en dispositius portàtils que no permetin el xifrat (si resulta imprescindible, s’ha de justificar i prendre mesures de seguretat adients).
Establir un registre d’accessos a les dades, que ha de recollir cada intent d’accés (usuari, data, hora, fitxer al qual s’accedeix, tipus d’accés i si s’ha autoritzat o denegat) i que s’ha de conservar un període mínim de dos anys.
Les transmissions de dades per xarxes públiques o sense fils s’ha de fer xifrant les dades o fent servir mecanismes alternatius que puguin garantir que la informació no és accessible per a tercers.
En definitiva, és evident que, atesos els riscos existents i la magnitud i transcendència del bé jurídic protegit (confidencialitat de dades sanitàries), cal ser especialment curosos en aquest àmbit i adoptar totes les mesures de caire legal, tècnic i organitzatiu que permetin garantir el correcte tractament d’aquest tipus de dades i el compliment de la normativa que el regula.
