En una publicación del medio español Confilegal “Los médicos deben evitar comunicar datos de salud por WhatsApp”, se sostiene que los médicos deben evitar comunicar datos de salud, a los pacientes, familiares u otros profesionales sanitarios, a través de programas de mensajería instantánea como el WhatsApp, ya que éstos no garantizan la confidencialidad e integridad de la información.
Este fue uno de los consejos, dice el documento, que dos abogadas expertas en privacidad y derecho tecnológico, María Suárez y Mireia Patricio -del despacho DA Lawyers- dieron a los asistentes a la jornada celebrada en el Colegio de Médico de Madrid para conocer cómo se está implantando el Reglamento General de Protección de Datos (RGPD) entre los médicos.
La idea de los promotores de esta jornada de trabajo, se indica, se centró como objetivo primordial en dar respuesta a las dudas sobre la norma europea, que entró en vigor el pasado 25 de mayo, y recomendar una serie de medidas básicas de seguridad adicionales que sugiere la aplicación de estas nuevas políticas de privacidad.
Sobre las medidas de seguridad que se deben cumplir para proteger dicha información se recomienda, por ejemplo, digitalizar los expedientes, establecer contraseñas para acceder a los ficheros que contienen datos de carácter personal, encriptar la documentación sensible, destruir la documentación sensible innecesaria que se pueda tener, asegurarse de apagar el ordenador cuando se termina de pasar consulta.

Notificar una brecha

La nueva normativa, se explica, también obliga la notificación de las brechas de seguridad que afecten a datos de carácter personal en 72 horas a la Agencia Española de Protección de Datos (AEPD), organismo regulador de privacidad.
Notificar una brecha no significa que la empresa vaya a ser sancionada si demuestra que hizo todo lo que puedo para evitar el delito.
En esta línea, el doctor Pablo Lázaro Ochaita, vocal de Ejercicio Libre de la Junta de Gobierno del Colegio, anunció a los asistentes a este encuentro que la institución organizará, tras el período estival, un curso práctico para los colegiados sobre qué herramientas usar para encriptar y proteger la información.
Una cuestión cada vez más importante, de acuerdo al texto, sobre todo cuando cualquier empresa, pyme o particular está expuesto a sufrir un ataque cibernético.
Además, se añade, para adaptarse al RGPD las expertas hicieron hincapié en algunos aspectos de especial importancia que deben tener en cuenta los facultativos como “además de cumplir la norma acreditar que se cumple, tener una mayor transparencia a través de la revisión de las cláusulas de protección de datos, contar con el consentimiento expreso para realizar comunicaciones comerciales y revisar los contratos que se tienen con los proveedores encargados del tratamiento de datos”.

¿Por cuánto tiempo debo conservar las historias clínicas?

Luego el documento indica que las expertas en privacidad afirman que el período de tiempo que se deben conservar las historias clínicas es una de las preocupaciones de los médicos que ejercen en el ámbito privado.
Por ello, explicaron que éstas se deben tener mientras tenga lugar el tratamiento del paciente y, como mínimo,  durante cinco años desde la fecha de alta del mismo, de acuerdo con lo dispuesto en la Ley 41/2002 de autonomía del paciente, sin perjuicio de que otra Ley establezca un plazo superior, como puede ser la legislación autonómica.
Además, en caso de jubilación del facultativo éstas se pueden ceder a otro profesional siempre que se cuente con autorización del interesado aunque conviene tener en cuenta que el médico que suceda al anterior debe informar a los pacientes del tratamiento de sus datos y de los derechos que les asisten.

¿Debo contar con un delegado de Protección de Datos?

Otra de las cuestiones que se preguntó, detalla enseguida el documento, fue la necesidad de contar con un delegado de Protección de Datos (dPD), una figura que no es obligatoria en el Reglamento salvo en casos muy concretos. Desde la AEPD, sin embargo se ha insistido en que pymes y autónomos puedan contar con este profesional, bien a nivel interno o de forma flexible fuera de la organización.
Las expertas destacaron que es una de las novedades más importantes del RGPD es el establecimiento del dPD encargado de supervisar el cumplimiento de la normativa y servir de intermediario entre la organización y la Agencia Española de Protección de Datos.
De acuerdo con la normativa, según explicaron las expertas, “en algunos casos es obligatorio designarlo sin embargo, un médico que trabaja en una consulta privada no lleva a cabo una actividad de tratamiento a gran escala, por lo que en principio no tendría la obligación de tener un dPD”.
Por lo visto, se destaca, los facultativos tienen mucho ganado a nivel de privacidad porque su profesión les obliga a la confidencialidad con sus pacientes.
Por último, se asevera que resulta fundamental que incrementan las medidas de seguridad para evitar ciberataques en sus clínicas y deben formar a sus profesionales que trabajan con ellos en materia de privacidad. Es la única forma de minimizar riegos, explican Suárez y Patricio.

RELACIONADOS
*CPLT rechazó amparo de acceso a la información contra Superintendencia de Salud referido a disponibilidad de bases de datos…
*CGR se pronuncia acerca de filtración de datos sensibles en red de asistencia pública de salud…