Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español

Transcripción

1 Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español INSTITUTO NACIONAL DE TECNOLOGÍAS DE LA COMUNICACIÓN AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID

2 Edición Octubre 2010 El Estudio sobre la protección y seguridad de los datos de carácter personal en el ámbito del sector sanitario español ha sido elaborado conjuntamente por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) a través del Observatorio de la Seguridad de la Información y la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM). Pablo Pérez San-José (INTECO) - Coordinador Susana de la Fuente Rodríguez (INTECO) Laura García Pérez (INTECO) Cristina Gutiérrez Borge (INTECO) Emilio Aced Felez (APDCM) - Coordinador Ángel Igualada Menor (APDCM) Javier Sempere Samaniego (APDCM) La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y a la Agencia de Protección de Datos de la Comunidad de Madrid y está bajo una licencia Reconocimiento-No comercial 2. España de Creative Commons, y por ello está permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página 2

3 Puntos clave...6 I. Aspectos generales de la normativa sobre protección de datos...7 II. Derecho de información (art. LOPD)...8 III. Consentimiento (art. 6 al 8 LOPD)...8 IV. Calidad (art. 4 LOPD) Normativa sectorial Normativa autonómica Normativa de Administración Electrónica...36 Análisis de los resultados del estudio...40 V. Ejercicio de derechos (Título III LOPD) Aspectos generales de la normativa sobre protección de datos...41 VI. Deber de secreto (art. 10 LOPD) Derecho de información (art. LOPD)...60 VII. Seguridad (art. 9 LOPD) Consentimiento (art. 6 al 8 LOPD)...72 VIII. Comunicación de datos (art. 11 LOPD) Calidad (art. 4 LOPD) Ejercicio de derechos (Título III LOPD) Introducción y objetivos Deber de secreto (art. 10 LOPD) Presentación Seguridad (art. 9 LOPD) Estudio sobre la protección y seguridad de los datos de carácter personal en el sector sanitario español Comunicación de datos (art. 11 LOPD) Inspecciones de la Agencia de Protección de Datos Contexto: el sector sanitario y el Sistema Nacional de Salud (SNS) Centros de Atención Primaria Hospitales Adecuación a la LOPD del Hospital General Universitario Reina Sofía (Murcia) Diseño metodológico Búsqueda y análisis documental Eliminación de archivos incontrolados con datos de nivel alto en el Hospital Carlos III (Madrid) Investigación cuantitativa Normativa sobre protección de datos que aplica al sector sanitario Normativa europea Normativa estatal Buenas prácticas Normas de uso de los Sistemas de Información (Hospital Universitario Fundación Alcorcón, Madrid) Gestión eficiente y segura del acceso a datos clínicos para profesionales del área y de otros centros sanitarios (Hospital Universitario Doce de Octubre, Madrid) Índice * 3

4 6.6 Plan estratégico de comunicación en Protección de Datos para Profesionales Sanitarios y Ciudadanos (Dirección General de Sistemas de Información Sanitaria de la Comunidad de Madrid) Recomendaciones sobre la normativa de Protección de Datos de carácter personal y las Historias Clínicas (Colegio de Médicos de Madrid) Diseño y estrategia de implantación de un sistema integrado de información con datos de seguridad alta en Salud Pública (Instituto de Salud Pública de la Comunidad de Madrid) Seguridad en el desarrollo y preproducción con datos reales en un sistema de información centralizado de gestión de Historias Clínicas (Dirección General de Informática, Comunicaciones e Innovación Tecnológica, Consejería de Sanidad y Consumo de la Comunidad de Madrid) Asegurar la utilización adecuada de la información disponible en materia de seguridad y confidencialidad de los datos de carácter personal (Gerencia del Área 10 de atención primaria del Servicio Madrileño de Salud) Protección online de datos personales (Oficina del Defensor del Paciente de la Consejería de Sanidad y Consumo de la Comunidad de Madrid) Documentación clínica en Atención Primaria: procedimiento de acceso para uso no asistencial (Osakidetza - Servicio Vasco de Salud) Percepciones y realidades de los profesionales sanitarios sobre la Protección de Datos. Gestión de Identidad. HUser (Hospitales Universitarios Virgen del Rocío Servicio Andaluz de Salud) Mejora del tratamiento del fichero de datos de carácter personal de alta seguridad Pacientes CMD, pacientes y deportistas que acuden al Centro (Centro de Medicina Deportiva de la Comunidad de Madrid) Reglamento de uso de la Historia Clínica en el Hospital (Hospital de Cruces, Bilbao) La Comisión de Seguridad en la Información del Hospital Universitario Virgen de la Arrixaca como garante de la Protección de Datos de Carácter Personal (Hospital Virgen de la Arrixaca, Murcia) Proyecto de Historia clínica compartida (Generalitat Catalunya, Department de Salut) Adecuación a la LOPD de SaCyL: El reto hacia la seguridad (Gerencia Regional de Salud de Castilla y León) Procedimiento de anonimización de pacientes al ingreso (Hospital Virgen del Camino, Pamplona) Protocolo de destrucción de documentos en soporte papel (Hospital Central de la Cruz Roja San José y Santa Adela, Madrid) Sistema de actuación a seguir en el Hospital ante la solicitud de documentación clínica por parte de los ciudadanos y responsabilidades del Hospital (Hospital Clínico San Carlos, Madrid) Índice 6. El Tercero de confianza (Servicio Andaluz de Salud)

5 7 Conclusiones y reflexiones finales Recomendaciones Recomendaciones a usuarios pacientes Recomendaciones a profesionales de la salud Recomendaciones a centros sanitarios Anexo I: Bibliografía Anexo II: Índices Índice de gráficos Índice de tablas Índice de ilustraciones Índice 8.4 Recomendaciones a Administraciones Públicas Recomendaciones a organismos reguladores...218

6 Puntos clave

7 que admiten que sus ficheros se encuentran exclusivamente en formato no automatizado (,%). Declaración de ficheros. Una mayoría de los centros encuestados admiten haber declarado sus ficheros con datos de carácter personal ante la autoridad competente en materia de protección de datos, ya sea la Agencia Española (1,6%) o autonómica (38,%). Sólo un 8,6% reconoce no tener inscritos sus ficheros, y sorprende el elevado 37,3% que no proporciona respuesta. Inventariado de ficheros. El 73,% de los centros sanitarios participantes en el estudio afirman tener inventariados los ficheros con datos de carácter personal, frente a un 14,1% que reconocen no tenerlos inventariados, y un 12,4% adicional que no se posiciona. Formación del personal. El nivel de formación entre los centros sanitarios españoles en materia de protección de datos es correcto. Ya sea un conocimiento general (64,9%) o profundo (26,7%), lo cierto es que la inmensa mayoría del personal de atención al público de los centros sanitarios españoles dispone de formación específica sobre protección de datos. Coordinador de Protección de Datos. Hay un 2,2% de centros sanitarios que reconocen disponer de coordinador de protección de datos. En el análisis por tipo de centro, los hospitales, con un 80,7% de ellos que afirman contar con uno, muestran un mayor compromiso con la protección de datos que los centros de salud (8,4%) y los consultorios locales (47%). En el manejo de esta información las instituciones tienen que conjugar, de un lado, la intimidad del sujeto cuyos datos están siendo manejados y, de otro, el interés público, entendiendo por ello la garantía de una adecuada prestación del servicio de salud. Estas circunstancias exigen que se preste una atención particularizada al asunto, y por ello este informe constituye un diagnóstico sobre la situación de las instituciones sanitarias españolas en lo referente a la protección de datos personales. Para la elaboración del estudio se ha llevado a cabo un sondeo de opinión consistente en la realización de encuestas a los responsables de protección de datos / seguridad, administradores o gerentes de 700 hospitales, centros de salud o consultorios locales. El trabajo de campo se ha realizado en marzo de Se exponen a continuación los puntos clave del análisis. I Aspectos generales de la normativa sobre protección de datos Soporte de los ficheros. En el sector sanitario español prevalecen los ficheros de carácter mixto, tanto si en ellos predomina el soporte papel (42,4%) como si prevalece el electrónico (3,%). Un 16,6% de los centros afirma que se encuentran exclusivamente en soporte electrónico. Son una minoría los centros Puntos clave El sector sanitario español, formado por hospitales, centros de salud y consultorios locales, maneja de manera habitual datos de salud de los pacientes. Se trata de datos muy sensibles, que tienen la consideración de datos especialmente protegidos. 7

8 Derecho de información (art. LOPD) El análisis segmentado revela un escenario diferente para cada uno de los tres tipos de centros analizados. Los hospitales, con un 87,3% de implantación, cumplen con el deber de información al incluir en los formularios de recogida de datos personales una cláusula específica sobre protección de datos. La situación de los hospitales difiere de la realidad existente en centros de salud y consultorios locales. En estos centros, con un 0,9% y 42,% respectivamente de nivel de adopción de la medida, todavía queda área de mejora. Carteles informativos. Para dar cumplimiento al deber de información, una parte de los centros sanitarios dispone de carteles informativos sobre los tratamientos de datos personales que se realizan con los datos que se recaban de los pacientes. Se trata, en cualquier caso, de una práctica no adoptada de manera habitual. Sólo un 27,7% de los centros entrevistados reconoce tener este tipo de carteles, frente a un mayoritario 70,7% que afirma no utilizar este método. III Consentimiento (art. 6 al 8 LOPD) Un 78,% de los hospitales siempre solicita el consentimiento de los titulares de los datos antes de su recogida. Este porcentaje es del 2,1% en el caso de los centros de salud y de 0,2% entre los consultorios locales. Cláusulas en formularios de recogida de datos. A nivel global, un 47,9% de los centros encuestados reconocen incorporar una cláusula informativa en los formularios de pacientes. Solicitud del consentimiento. A nivel global, el 2,8% de los centros encuestados afirma que siempre solicita el consentimiento de los titulares con anterioridad a la recogida de sus datos de carácter personal, y un 13,2% adicional dice hacerlo a menudo. Revocación del consentimiento. En el sector sanitario español, un mayoritario 69,3% de los centros entrevistados afirman que disponen de un procedimiento específico para que el paciente titular de los datos pueda revocar el consentimiento otorgado. Sólo un 20,% reconoce no disponer de un procedimiento de revocación. Consentimiento en caso de investigaciones clínicas. En el ámbito sanitario, es frecuente que los datos clínicos de los pacientes se utilicen en alguna labor de investigación. La mayoría de los centros sanitarios españoles (un 74,6%) han elaborado un procedimiento específico que regula la solicitud del consentimiento del paciente en los casos particulares de investigaciones clínicas. IV Calidad (art. 4 LOPD) Finalidad. El principio de calidad y su derivado, el de finalidad, son ampliamente observados por los centros sanitarios españoles. Un 89,3% de los encuestados indican que los datos recogidos son los estrictamente necesarios para la finalidad de uso que justificó su recogida, frente a un 7,9% que manifiesta lo contrario. En el análisis por zonas destaca especialmente la Comunidad de Madrid. Allí, un 9,1% de los centros sanitarios encuestados cumplen con el principio de Puntos clave II 8

9 Cataluña (7,6%) y la Comunidad de Madrid (6,8%) son las dos regiones españolas donde en mayor medida las instituciones sanitarias han adoptado procedimientos para facilitar el ejercicio de los derechos ARCO a los ciudadanos que lo soliciten. finalidad, al admitir que recogen sólo los datos que son estrictamente necesarios para su finalidad de uso. V Actualización. Los centros son cuidadosos con la actualización de los datos personales que manejan, ya sea a través de un procedimiento específico de actualización y depuración de las bases de datos (34,1%), ya sea de manera no procedimentada, actualizando los registros a medida que se detectan incorrecciones (61,3%). Sólo el 4,6% de los centros españoles afirman que no se verifica la exactitud y actualización de los datos personales con los que trabajan. El nivel de observación de la disposición es más elevado entre hospitales (84,2%) que entre centros de salud (73,4%) y consultorios locales (67,8%). Ejercicio de derechos (Título III LOPD) Derechos ARCO. El 6,1% de los centros sanitarios españoles afirma disponer de un procedimiento específico para que los interesados ejerciten sus derechos de oposición, acceso, rectificación o cancelación de sus datos personales (derechos ARCO). Sorprende que haya un 37,6% que no ha adoptado un procedimiento en este sentido, y un 6,3% que no proporciona respuesta. Se aprecian diferencias importantes en función del centro de que se trate. Así, en los hospitales está ampliamente extendida la adopción de procedimientos para facilitar al ciudadano el ejercicio de sus derechos ARCO: un 83,1% de los hospitales así lo manifiesta. La práctica es más infrecuente entre centros de salud (60,3%), y aún más entre los consultorios locales, donde sólo el 1,7% confirma haber adoptado un procedimiento específico para el ejercicio de los derechos de acceso, rectificación, cancelación u oposición de los datos. Acceso del paciente a la historia clínica (HC). El 70,3% de los centros entrevistados reconocen que disponen de un procedimiento específico que regula el acceso al historial clínico por parte del titular de los datos. El análisis geográfico confirma una vez más a Cataluña y la Comunidad Autónoma de Madrid como las áreas con mayor índice de adopción de procedimientos de acceso a la HC por el paciente, con un 81,2% y 7% de los centros, respectivamente, que afirman haberlos instaurado. VI Deber de secreto (art. 10 LOPD) El deber de secreto sobre los datos personales que manejan es de sobra conocido por el personal de los centros sanitarios españoles (no sólo profesionales de la salud, sino el resto del personal del centro). Así, sólo un 0,4% de los encuestados afirma que los empleados de la institución no han sido informados al respecto. Lo más habitual, en un 9,7% de las ocasiones, es que los profesionales conozcan el deber de secreto o que, incluso, se les haya pedido firmar un compromiso de confidencialidad (39,9%). Puntos clave 9

10 La firma del compromiso de confidencialidad por parte de los profesionales es más frecuente entre hospitales (67,9%) que entre centros de salud (3,%) y consultorios locales (38,4%). quienes tiene relación asistencial. En el caso de centros de salud el porcentaje es de 42,2%, y de un 36,8% cuando se trata de consultorios locales. Control de acceso físico a las instalaciones donde se encuentran los sistemas de información. En la inmensa mayoría de los casos, el acceso está restringido (sólo existe un 6,9% que afirma que es posible acceder al lugar donde se almacenan los datos). En el resto de las situaciones existe un control de acceso e incluso, en el 44,2% de las ocasiones, existen además herramientas de control de accesos. Documento de Seguridad. Un 43,% de los centros sanitarios españoles reconoce que dispone de Documento de Seguridad específico que contemple una política para los tratamientos de datos personales. VII Seguridad (art. 9 LOPD) Limitación de accesos. La práctica totalidad de los centros sanitarios españoles controlan de algún modo los accesos que los empleados realizan a los datos y recursos de la institución en cuestión. Sólo un 2,3% de los encuestados afirma que no existe ningún tipo de limitación de accesos y que los profesionales pueden acceder a datos y recursos ajenos. En el resto de los casos existe una política de accesos, y en la mayoría de las situaciones (68,9%) el centro cuenta, además, con controles para evitar accesos no autorizados. Procedimiento de gestión de contraseñas. El 87,4% de los centros sanitarios españoles disponen de procedimientos específicos de gestión de las contraseñas del personal empleado. La situación no es homogénea entre los tres tipos de instituciones: en hospitales, un 79,9% dispone de documento de seguridad, en centros de salud el porcentaje es de 49,2% y en consultorios, sólo un 37,% así lo declara. Gestión del acceso de los profesionales a la Historia Clínica Electrónica (HCE). En el 2,9% de los centros participantes en el estudio las historias clínicas de la institución son accesibles por todos los profesionales. En un 39,4%de los casos el acceso a las HC está limitado, de manera que cada profesional sólo puede acceder a las de los pacientes con quienes tiene relación asistencial. Los hospitales son más cuidadosos que los centros de salud y los consultorios. Así, en un 4,1% de los hospitales el acceso de los profesionales a las historias clínicas está limitado a los pacientes con A nivel nacional la realidad es heterogénea y diversa. Coexisten regiones como Cataluña o Madrid, donde un 63,8% y 6,4%, respectivamente, de instituciones afirman tener documento de seguridad, con otras zonas donde el cumplimiento no supera el 40%. Responsable de seguridad. En un 40,1% de los centros participantes en el estudio existe la figura específica del responsable de seguridad y se han definido funciones específicas para dicho puesto. Puntos clave 10

11 Procedimiento de realización de copias de respaldo y recuperación. El 8,3% de los centros sanitarios participantes en el estudio afirman disponer de un procedimiento específico para la realización de copias de respaldo y recuperación. Una vez más, el nivel de cumplimiento de la normativa es mayor entre hospitales que entre centros de menor tamaño. Un 91,6% de los hospitales tiene un procedimiento de realización de copias de respaldo de los datos, frente a un 63,2% en el caso de centros de salud y un 2,9% en el de los consultorios locales. Procedimiento para la destrucción de documentos con datos de carácter personal. Conscientes de la especial sensibilidad de la materia, y de la existencia de precedentes en el sector sanitario que han terminado en un procedimiento sancionador, los centros sanitarios españoles han adoptado procedimientos para la destrucción de documentos con datos de carácter personal (un 7,% lo ha hecho). Los hospitales son los centros que más se han esforzado en regular el modo de destruir documentos con datos personales de sus pacientes. Un 92,2% de los hospitales españoles lo ha llevado a cabo. Por detrás de ellos, un 83,3% de los centros de salud y un 70,9% de los consultorios locales disponen de procedimientos específicos para eliminar los soportes donde se almacenan datos de carácter personal. Procedimiento de notificación, gestión y respuesta a incidencias. El 76% de los centros sanitarios participantes en el estudio disponen de un procedimiento específico para la gestión de las incidencias. Sistema de Gestión de la Seguridad de la Información (SGSI). En el sector sanitario español el nivel de adopción de Sistemas de Gestión de Seguridad de la Información es considerable. De acuerdo con las respuestas facilitadas por los responsables de seguridad participantes en el estudio, un 3,2% de los centros disponen de SGSI, frente a un 29% que reconocen no tenerlo y un 17,8% que no se pronuncian. Plan de Continuidad de Negocio. En el sector sanitario español, un 41,6% de los centros disponen de un Plan de Continuidad de Negocio, un 3,% reconocen no tenerlo y un 22,7% lo desconoce. Auditorías de seguridad. En el sector sanitario español la realidad, a partir de las respuestas proporcionadas por los centros participantes en el estudio, es que hay un 20,8% de instituciones que realizan auditorías anualmente y un 12,4% adicional que las lleva a cabo con una periodicidad bienal. Es decir, un 33,2% de los centros sanitarios españoles estaría cumpliendo con el precepto. Existe, por otra parte, un 6,1% que reconoce llevar a cabo auditorías, pero lo hace cada más de 2 años. Sorprende el 0,8% de centros que reconoce nunca haber realizado una auditoría de seguridad. Puntos clave Mientras mayor es el tamaño del centro, aumenta la tendencia a disponer de responsable de seguridad: son un 79,4% de los hospitales, un 46,2% de los centros de salud y un 33,6% de los consultorios locales quienes afirman contar con una figura específica de responsable de seguridad. 11

12 VIII Comunicación de datos (art. 11 LOPD) Control de los envíos de datos de pacientes a terceros. El 66,7% de los centros sanitarios españoles participantes en el estudio manifiesta que existe en el ámbito de su organización un sistema de control de los envíos de datos de pacientes que se realizan a terceros. Existe un 24,4% de instituciones que reconocen que no existe tal control, y un 8,9% adicional que no se manifiesta al respecto. Puntos clave 12

13 1 Introducción y objetivos

14 1 1.1 Presentación protejan los datos personales de los interesados, su intimidad, la integridad de su información y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en la prestación de servicios por parte del Observatorio de la Seguridad de la Información, el Centro Demostrador de Tecnologías de Seguridad, el Centro de Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-CERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, PYMES, Administraciones Públicas y el sector tecnológico. El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información. INTECO tiene la vocación de ser un centro de desarrollo de carácter innovador y de interés público a nivel nacional que constituye una iniciativa enriquecedora y difusora de las nuevas tecnologías en España en clara sintonía con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Información, con actividades propias en el ámbito de la innovación y el desarrollo de proyectos asociados a las Tecnologías de la Información y la Comunicación (TIC), basándose en tres pilares fundamentales: la investigación aplicada, la prestación de servicios y la formación. La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYMES, a las Administraciones Públicas y al sector de las tecnologías de la información, a través del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Información en nuestro país, promoviendo además una línea de participación internacional. Para ello, INTECO desarrolla actuaciones en las siguientes líneas: Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios de la Sociedad de la Información cada vez más seguros, que Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o carencia técnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integración progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrónicamente con las AA.PP. Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que cada vez sean de mayor calidad, que garanticen unos adecuados Introducción y objetivos Instituto Nacional de Tecnologías de la Comunicación 14

15 1 Formación: la formación es un factor determinante para la atracción de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formación de universitarios y profesionales en las tecnologías más demandadas por la industria. El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica de actuación de INTECO en materia de Seguridad Tecnológica. El Observatorio nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza. El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad por parte de INTECO, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos. Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias: Elaboración de estudios e informes propios en materia de seguridad de las Tecnologías de la Información y la Comunicación, con especial énfasis en la Seguridad en Internet. Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional. Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal. Impulso de proyectos de investigación en materia de seguridad TIC. Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de la seguridad y confianza en la Sociedad de la Información. Asesoramiento a las Administraciones Públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito. Introducción y objetivos niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una información precisa y clara sobre la evolución de las funcionalidades de los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la competitividad de la industria del Software a través de la promoción de la mejora de la calidad y la certificación de las empresas y profesionales de la ingeniería del software. 1

16 1 La Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) es una autoridad independiente de control que garantiza y protege el derecho fundamental a la protección de datos personales. Sus competencias versan sobre los ficheros de titularidad pública creados o gestionados por la Comunidad Autónoma de Madrid, Entes que integran la Administración Local de su ámbito territorial, Universidades públicas y Corporaciones de derecho público representativas de intereses económicos y profesionales de la misma, en este último caso, siempre y cuando dichos ficheros sean creados o gestionados para el ejercicio de potestades de derecho público. Es un Ente de Derecho Público de los previstos en el artículo 6 de la Ley 9/1990, de 8 de noviembre, Reguladora de la Hacienda de la Comunidad de Madrid, con personalidad jurídica propia y plena capacidad de obrar, y se configura como una autoridad de control que actúa con objetividad y total independencia de las Administraciones Públicas de la Comunidad de Madrid en el ejercicio de sus funciones, relacionándose con el Gobierno de la Comunidad de Madrid a través de la Consejería que, en su caso, se determine. Sin perjuicio de la capacidad de control e inspección sobre los ficheros de datos de carácter personal sobre los que la APDCM ejerce su competencia, ésta desarrolla una laboriosa función de promoción y conocimiento del derecho fundamental a la protección de datos personales. Esta promoción se realiza a través de diferentes actuaciones y actividades: Formación a empleados públicos (desde la fecha de creación de la APDCM, 1997, se ha dado formación a más de personas). Las revistas digitales y así como la Revista Española de Protección de Datos. La herramienta de formación virtual, que permite que los empleados públicos se puedan formar en esta materia utilizando este programa usando Internet. La celebración de Jornadas dirigidas a ámbitos específicos, como pueden ser Sanidad, Educación, Servicios Sociales, Universidades, Colegios Profesionales y Seguridad. La publicación de los manuales sectoriales Protección de datos personales para Servicios Sanitarios Públicos, Protección de datos personales para Administraciones Locales, Protección de datos personales para Universidades Públicas, Protección de datos personales para Servicios Sociales Públicos, Protección de datos personales en Corporaciones de Derecho Público, y Protección de datos personales en Centros Educativos Públicos, Seguridad y Protección de Datos, así como la publicación de la Guía de Protección de datos personales para Empleados Públicos. La distribución de dípticos para concienciar a los ciudadanos que utilizan los servicios públicos. Concretamente, estos dípticos están orientados a los usuarios de los servicios sociales y servicios sanitarios. Otras de las actividades de la APDCM que destacan son las referentes al apoyo al responsable de ficheros, no sólo de Introducción y objetivos Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) 16

17 1 manera presencial sino mediante el uso de la herramienta online CUMPLE; la solicitud y evaluación de las auditorías bienales sobre los ficheros de datos de carácter personal con nivel de seguridad medio y alto; el Plan de Concienciación a menores que ha tenido lugar los pasados 28 de enero de 2009 y 2010 con la impartición de una charla sobre los riesgos de Internet en los 404 Institutos de Educación Secundaria (I.E.S.) de la Comunidad de Madrid; la posibilidad que tienen los ciudadanos de ejercitar online los derechos ARCO así como interponer, también por Internet, denuncia y procedimiento de tutela de derechos; los Planes sectoriales dirigidos a videovigilancia, publicación de datos personales en Internet y administración electrónica, y la elaboración de recomendaciones e instrucciones que suponen una interpretación de la normativa existente. Instrucción 1/2007, de 16 de mayo, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre el tratamiento de datos personales a través de sistemas de cámaras o videocámaras en el ámbito de los órganos y Administraciones Públicas de la Comunidad de Madrid. Recomendación 1/2008, de 14 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre el Tratamiento de datos personales en los Servicios Sociales de la Administración de la Comunidad de Madrid y en los Servicios Sociales de los Entes Locales de la Comunidad de Madrid. Recomendación 2/2008, de 2 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre publicación de datos personales en boletines y diarios oficiales en Internet, en sitios webs institucionales y en otros medios electrónicos y telemáticos. Recomendación 3/2008, de 30 de abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre tratamiento de datos de carácter personal en servicios de administración electrónica. Entre estas recomendaciones e instrucciones, además de las que se van a citar en la parte de normativa de este estudio, destacan: Recomendación 1/2004, de 14 abril, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre la utilización y tratamiento de datos del padrón municipal por los Ayuntamientos de esta Comunidad Autónoma. Introducción y objetivos 17

18 1 1.2 Estudio sobre la protección y seguridad de los datos de carácter personal en el sector sanitario español Contexto y oportunidad del estudio Estas instituciones manejan datos especialmente sensibles, ya que se refieren a la salud de los pacientes. Se entiende por dato de salud toda información concerniente a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se considerarán datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. La Ley Orgánica 1/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD) reconoce un tratamiento especial para este tipo de datos. Así, el artículo 7 menciona los datos de salud al tratar los datos especialmente protegidos. Todos aquellos ficheros que contengan datos de salud (por ejemplo historias clínicas, grado de discapacidad) deberán observar medidas de seguridad de nivel alto. Así lo dispone el Reglamento de Desarrollo de la Ley Orgánica 1/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RDLOPD). En el manejo de esta información las instituciones tienen que conjugar, de un lado, la intimidad del sujeto cuyos datos están siendo manejados y, de otro, el interés público, entendiendo por ello la garantía de una adecuada prestación del servicio de salud. Los servicios sanitarios, al igual que el resto de organizaciones, están sujetos a la actual legislación española y europea sobre privacidad y protección de datos. Así, están obligados a garantizar el derecho a la información de los ciudadanos cuando se recogen sus datos personales; a asegurar los requisitos de calidad de la información, incluyendo la recogida de los datos adecuados y no excesivos para las finalidades legítimas para las que se van a utilizar; la actualización de los mismos; las garantías especiales para los datos más sensibles como los de ideología, vida sexual o salud; las obligaciones en materia de seguridad de los datos y la confidencialidad y el deber de secreto en el tratamiento de los datos personales. Del mismo modo, los ciudadanos tienen una serie de derechos que pueden ejercer para controlar el uso de sus datos de carácter personal y, específicamente, el de acceder y conocer la información que sobre ellos tienen los responsables de tratamientos y rectificar y cancelar la información inexacta, incompleta, inadecuada o excesiva que obre en poder de dichos responsables. Estas circunstancias exigen que se preste una atención particularizada al asunto, y que se formule un diagnóstico sobre la situación concreta de las instituciones sanitarias en lo referente a la protección de datos personales. Introducción y objetivos En España, el sector sanitario muestra una dimensión considerable en términos cuantitativos: un total de 803 hospitales, centros de salud y consultorios locales y conforman el sector de instituciones sanitarias españolas. 18

19 Objetivo mismo modo, destacar cuáles son los beneficios y el valor añadido que la normativa sobre protección de datos aporta a la gestión de los centros y aportar pautas para eliminar o minimizar los frenos. El objetivo general del estudio es la realización de un diagnóstico del cumplimiento efectivo de la normativa vigente en materia de protección de datos personales por parte del sector sanitario español. Este objetivo general de diagnóstico se desglosa operativamente en los siguientes objetivos específicos: Destacar casos reales de éxito en la implementación de la normativa sobre protección de datos identificados en el sector sanitario español. Formular recomendaciones a usuarios pacientes, a profesionales de la salud, al sector sanitario, a las Administraciones Públicas y a los organismos reguladores, con objeto de incrementar el nivel de cumplimiento, en base a los resultados del estudio y a la propia experiencia de los agentes colaboradores. Identificar posibles frenos y barreras que pueden estar encontrando las instituciones de salud. Del Introducción y objetivos Identificar el nivel de adecuación del sector sanitario español a la normativa en materia de protección de datos y, en concreto, analizar si existen diferentes grados de cumplimiento en función del tipo de centro, de su adscripción patrimonial o del área geográfica de ubicación. 19

20 Contexto: el sector sanitario y el Sistema Nacional de Salud (SNS)2

21 2 Según el Ministerio de Sanidad y Política Social los Centros del Sistema Nacional de Salud (SNS) se dividen en centros sanitarios y centros de vacunación internacional. Los centros sanitarios, donde a su vez se engloban los Centros de Atención Primaria y el Catálogo Nacional de Hospitales, son los que constituyen el objeto del estudio Centros de Atención Primaria Los Centros de Atención Primaria a su vez se dividen en Centros de Salud y Consultorios Centros de Salud Se utiliza la definición incluida en el Real Decreto de autorización de centros, servicios y establecimientos sanitarios, que dice: Estructuras físicas y funcionales que posibilitan el desarrollo de una atención primaria de salud coordinada, globalmente, integral, permanente y continuada, y con base en el trabajo en equipo de los profesionales sanitarios y no sanitarios que actúan en el mismo. En ellos desarrollan sus actividades y funciones los Equipos de Atención Primaria Consultorios Igualmente, se utiliza la definición que consta en el Real Decreto antes mencionado, que dice Centros sanitarios que, sin tener la consideración de Centros de Salud, proporcionan atención sanitaria no especializada en el ámbito de la atención primaria de salud). Se incluyen bajo esta denominación, exclusivamente a los consultorios rurales, consultorios locales, consultorios periféricos, o cualquier otra denominación que haga referencia a centros asistenciales mayoritariamente dependientes o relacionados funcionalmente con un centro de salud. Así pues, en caso de que en alguna Comunidad permanezca algún centro urbano de modalidad de atención no reformada (modelo tradicional) bajo la denominación de consultorio, este centro deberá ser tratado, a estos efectos, como un centro de salud. 1 Según el Instituto Nacional de Estadística (INE), en su metodología de Estadística de Indicadores Hospitalarios, los establecimientos sanitarios se clasifican, según la dependencia funcional, en establecimientos Públicos: Sistema Nacional de Salud y Otros públicos (Defensa, Comunidades Autónomas, Diputaciones, Cabildos y Municipios y Otros) y No públicos: Privados sin fin de lucro (Cruz Roja, Iglesia y Benéfico-Privado) y Privados con fin de lucro; y según su finalidad en: Generales, Especiales de corta estancia (Médicoquirúrgicos y Quirúrgicos, Infantiles, Maternales y Materno-infantiles y Otros), Especiales de larga estancia (Geriátricos y crónicos y Otros) y Psiquiátricos. Para cada clase o combinación de clases se elaboran posteriormente una serie de grupos de indicadores. ( Sin embargo, el cómputo estadístico de centros pasó en 200 a depender del Ministerio de Sanidad y Política Social, con lo que no existen datos actualizados segmentados según estas dos clasificaciones. Contexto: el sector sanitario y el Sistema Nacional de Salud La Ley General de Sanidad atribuye al Estado, entre sus actuaciones, El Catálogo y Registro General de centros, servicios y establecimientos sanitarios que recogerán las decisiones, comunicaciones y autorizaciones de las Comunidades Autónomas, de acuerdo con sus competencias (art. 40.9). 21

22 2 El Catálogo Nacional de Hospitales es fruto de la colaboración entre el Ministerio de Sanidad y Política Social y las Consejerías de Sanidad de las Comunidades Autónomas, el Ministerio de Defensa, los órganos competentes de las Ciudades Autónomas de Ceuta y Melilla y los propios Hospitales. El Catálogo recoge información de los centros sanitarios destinados a la asistencia especializada y continuada de pacientes en régimen de internado, cuya finalidad principal es el diagnóstico y/o tratamiento de los enfermos ingresados en el mismo, así como la atención a pacientes de forma ambulatoria. No obstante, el concepto tradicional de hospital, considerado como institución o centro sanitario que, al margen de su denominación, tiene como finalidad fundamental la prestación de asistencia sanitaria en régimen de internado, se ha visto superada por las nuevas formas de organización de la asistencia sanitaria especializada que tienen su fundamento en la Ley General de Sanidad: 1. Art. 6.2.b: En el nivel de asistencia especializada, a realizar en los hospitales y centros de especialidades dependientes funcionalmente de aquellos se prestará la atención de mayor complejidad a los problemas de salud y se desarrollarán las demás funciones propias de los hospitales 2. Art. 6.2: El hospital es el establecimiento encargado tanto del internamiento clínico como de la asistencia especializada y complementaria que requiera su zona de influencia. e integran en el complejo hospitalario. En estos casos es la unidad de dirección y gestión la que sirve para su identificación. De esta forma, un complejo hospitalario puede estar constituido por dos o más hospitales, incluso distantes entre sí y uno o varios centros de especialidades. Los complejos hospitalarios se consideran, y como tal se contabilizan dentro del catálogo, como un único hospital, aunque para una más completa información, se relacionan, siempre que es posible, los hospitales que forman parte de dicho complejo. Dependencia patrimonial: La dependencia patrimonial se refiere a la persona física o jurídica propietaria, al menos, del inmueble ocupado por el centro sanitario. Dependencia funcional: Es el organismo o entidad jurídica de quien depende, es decir, la persona física o jurídica que ejerce dominio o jurisdicción, jerárquica o funcional, más inmediata sobre el establecimiento sanitario. La clasificación de dependencia funcional de los hospitales con formas jurídicas de gestión contempladas en la Ley 1/1997, de 2 de abril, sobre habilitación de nuevas formas de gestión en el Sistema Nacional de Salud, y de acuerdo con desarrollos legislativos autonómicos, ha sido asignada a la de los correspondientes Servicios de Salud. Por otra parte, un hospital puede estar constituido por un único centro hospitalario o por dos o más que se organizan Contexto: el sector sanitario y el Sistema Nacional de Salud 2.2 Hospitales 22

23 Diseño metodológico 3

24 3 Para conseguir los objetivos planteados, la ejecución del proyecto ha combinado diferentes metodologías, abordadas de forma secuencial en las siguientes fases de trabajo: Fase 1. Búsqueda y análisis documental de legislación, informes, estudios e indicadores que pueden enriquecer el contenido del proyecto y contribuyen a la consecución de los objetivos perseguidos. En esta fase, cobra especial relevancia el informe de la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM): Protección de datos personales para Servicios Sanitarios Públicos. Fase 2. Investigación cuantitativa: encuesta a los responsables de protección de datos / seguridad, administradores o gerentes de los centros sanitarios. Fase 3. Elaboración del presente informe con el análisis y conclusiones extraídos de las fases anteriores. Esta fase tiene como objetivo analizar contenidos publicados en la materia que puedan enriquecer y orientar el proyecto de investigación. Así, se han analizado fuentes secundarias para enriquecer y orientar el estudio. Se entiende por fuente secundaria todo documento que, habiéndose producido con anterioridad a la investigación actual, contiene datos que pueden ser explotados en un contexto distinto al existente en su producción. En esta fase de documentación y recopilación de datos se han revisado diversas fuentes, cuya relevancia se basa en la metodología empleada, el contenido, las conclusiones o los objetivos perseguidos: Estadísticas oficiales: Estudios y estadísticas que elaboran diferentes agencias oficiales (Ministerio de Sanidad y Política Social, INE, Agencias estadísticas de las Comunidades Autónomas, etc.) Autoridades estatales y autonómicas responsables en materia de protección de datos. Universidades, fundaciones, asociaciones y entidades privadas relacionadas con la protección de datos o que realizan estudios sobre la materia, tanto nacionales como extranjeras. En el Anexo I: Bibliografía se incluye una relación de las publicaciones consideradas en la realización del informe. Diseño metodológico 3.1 Búsqueda y análisis documental 24

25 3 3.2 Investigación cuantitativa Siguiendo las pautas facilitadas por INTECO y la Agencia de Protección de Datos de la Comunidad de Madrid, la empresa Telecyl realizó, durante el mes de marzo de 2010, un sondeo de opinión que consistió en la realización de 700 encuestas a los responsables de la seguridad de la protección de datos de carácter personal en cada el centro sanitario. En los siguientes apartados se profundiza en los detalles correspondientes a esta fase Universo las Consejerías de Sanidad de las Comunidades Autónomas, el Ministerio de Defensa, los órganos competentes de las Ciudades Autónomas de Ceuta y Melilla y los propios Hospitales. El ámbito temporal son los centros de atención primaria y hospitales en funcionamiento a 31 de diciembre de 2009, con independencia de que a esa fecha estuviesen provisionalmente cerrados por realización de obras de reforma o ampliación de los mismos. Los datos han sido extraídos del Ministerio de Sanidad y Política Social, que ofrece dos catálogos: Un catálogo de Hospitales fruto de la colaboración entre el Ministerio de Sanidad y Política Social y Un catálogo de Centros de Atención Primaria del Sistema Nacional de Salud 2009 que engloba a los Centros de salud y Consultorios locales que es fruto de la colaboración entre el Ministerio de Sanidad y Política Social y los órganos competentes de las Comunidades Autónomas que han colaborado en la validación y/o rectificación de los datos presentados. En la Tabla 1 se muestra el número total de Hospitales, Centros de salud y Consultorios locales en España. Tabla 1: Tipos y volumen de los Centros Sanitarios españoles Tipo de Centro Hospitales Centros de salud Número Consultorios locales Total Fuente: Ministerio de Sanidad y Política Social Diseño metodológico El universo objeto de estudio son los centros sanitarios del Servicio Sanitario de Salud (SNS) existentes en todo el territorio nacional. 2

26 3 La distribución geográfica de los centros sanitarios del SNS es la siguiente: Tabla 2: Tipos y volumen de centros de atención primaria por CCAA Comunidad Hospitales Centros de salud Consultorios locales 1 ANDALUCÍA ASTURIAS (PRINCIPADO DE) 3 ARAGÓN 4 BALEARES (ISLAS) CANARIAS 6 CANTABRIA CASTILLA Y LEÓN CASTILLA-LA MANCHA CATALUÑA COMUNIDAD VALENCIANA EXTREMADURA GALICIA MADRID (COMUNIDAD DE) MURCIA (REGIÓN DE) NAVARRA (COMUNIDAD FORAL) DE) PAÍS VASCO LA RIOJA CEUTA y MELILLA (INGESA) TOTALES Fuente: Ministerio de Sanidad y Política Social Diseño metodológico Id 26

27 Distribución y error muestral Se ha extraído una muestra representativa de 700 centros sanitarios en los que se han realizado encuestas a los responsables de protección de datos / seguridad, administradores o gerentes. La selección de los Centros Sanitarios ha sido aleatoria. El margen de error es del ± 3,68% para p=q=0, y para un nivel de confianza del 9,%. La muestra definitiva aplicada en la investigación fue la siguiente: Tabla 3: Distribución de la muestra y error muestral Tipo de centro Muestra Error muestral Hospitales 190 ±6,34% Centros de salud 246 ±6,10% Consolutorios locales 264 ±6,07% TOTAL 700 ±3,68% En la elaboración del diseño metodológico se ha tenido en cuenta la siguiente premisa: una muestra suficiente para garantizar la extracción de conclusiones a nivel nacional. Para enriquecer el análisis de resultados, aun a riesgo de obtener un mayor error muestral, se ha segmentado la muestra por zonas geográficas de todo el territorio nacional, dividiendo las regiones españolas en 7 áreas diferentes (en este caso, el error es, en cualquier caso, inferior a ±10%): Área 1 (Noreste): Huesca, Zaragoza e Islas Baleares. Área 2 (Levante): Albacete, Comunidad Valenciana y Murcia. Área 3 (Andalucía): Comunidad Andaluza, Badajoz e Islas Canarias Área 4 (Centro): Teruel, Ciudad Real, Cuenca, Guadalajara, Toledo, Ávila, Salamanca, Segovia, Soria, Valladolid, Zamora y Cáceres. Área (Noroeste): Cantabria, Burgos, León, Palencia, Comunidad Gallega, La Rioja, Navarra, País Vasco y Principado de Asturias. Área 6 (Cataluña) Área 7 (Comunidad de Madrid) Diseño metodológico 27