Informedecumplimiento delaLOPDenHospitales

AgenciaEspaoladeProteccindeDatos
Octubrede2010

InformedecumplimientodelaLOPDenHospitales

1. INTRODUCCIN LaAgenciaEspaoladeProteccindeDatos(AEPD)haobservadoltimamenteunincrementoen las reclamaciones relativas al ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin en relacin con las Historias Clnicas, planteadas por ciudadanos que no han sido atendidos adecuadamente en centros hospitalarios, as como del nmero de procedimientos tramitadosporlaAgenciavinculadosalavulneracindelosdeberesdeseguridadysecretopor parte de centros sanitarios. En particular, en 2009 se registraron un total de 123 denuncias y actuacionespreviasdeinvestigacinenelsectordelasanidad. Dadalaimportanciadeestostratamientosdedatosylatrascendenciadelderechofundamentala laproteccindedatosenestesector,enelmesdemarzode2010laAgenciatomlainiciativade elaborar el Informe de cumplimiento de la LOPD en Hospitales y remitirlo a cada uno de los centros pblicos y privados que componen el Catlogo Nacional de Hospitales, al objeto de conocer el nivel de cumplimiento de la LOPD y de su normativa de desarrollo en centros hospitalarios,paraadoptarlasmedidasqueresultasenpertinentes. 2. MARCOLEGALAPLICABLE LaLeyOrgnica15/1999,de13dediciembre,deProteccindeDatosdeCarcterPersonal(LOPD) ysuReglamentodedesarrollo,aprobadomedianteRealDecreto1720/2007de21dediciembre (RLOPD),establecenelmarcogeneralqueregulaelderechofundamentaldeproteccindedatos. La actuacin de la AEPD en relacin con el citado Informe de cumplimiento de la LOPD en Hospitalesestbasadoenlasfuncionesqueleconfiereelartculo37.1delaLOPD.Enparticular, las de velar por el cumplimiento de la legislacin sobre proteccin de datos y controlar su aplicacin (art. 37.1 a), requerir a los responsables y encargados de los tratamientos, previa audienciadestos,laadopcindelasmedidasnecesariasparalaadecuacindelostratamientos dedatosalasdisposicionesdelaLey(art.37.1f),ascomorecabardelosresponsablesdelos ficheroscuantaayudaeinformacinestimenecesariaparaeldesempeodesusfunciones(37.1 i). Deberecordarsequelostratamientosdedatosdecarcterpersonalqueserealizanenelmbito hospitalario y, en particular, los relacionados con la gestin de las historias clnicas o la investigacin clnica, incluyen datos de salud, considerados datos sensibles o especialmente protegidos y, como tales, tienen un rgimen de garantas ms reforzado. En este sentido, conforme a lo dispuesto en los artculos 7.3 y 44.4 de la LOPD y el artculo 81 del RLOPD, este mayor nivel de garantas se concreta en la exigencia de un consentimiento reforzado, la

www.agpd.es

Pgina2

InformedecumplimientodelaLOPDenHospitales

cualificacindelasinfraccionescomomuygravesylaaplicacindelasmedidasdeseguridadde nivelaltoespecificadasenelpropioreglamento. Porotraparte,losprincipiosderespetoalaintimidadyalaconfidencialidad delainformacin clnica de los pacientes estn presentes asimismo en la legislacin sanitaria. La regulacin del derechoalaproteccindelasalud,recogidoporelartculo43delaConstitucinde1978,desde el punto de vista de las cuestiones ms estrechamente vinculadas a la condicin de sujetos de derechos de las personas usuarias de los servicios sanitarios, es decir, la plasmacin de los derechosrelativosalainformacinclnicaylaautonomaindividualdelospacientesenlorelativo a su salud, fue objeto de una regulacin bsica en el mbito del Estado, a travs de la Ley 14/1986,de25deabril,GeneraldeSanidad.EstaLey,apesardequefijabsicamentesuatencin en el establecimiento y ordenacin del sistema sanitario desde un punto de vista organizativo, dedicaaestacuestindiversasprevisiones,entrelasquedestacalavoluntaddehumanizacinde losserviciossanitarios.As,mantieneelmximorespetoaladignidaddelapersonayalalibertad individual,deunlado,y,delotro,declaraquelaorganizacinsanitariadebepermitirgarantizarla saludcomo derechoinalienabledela poblacinmediantelaestructuradel SistemaNacionalde Salud,quedebeasegurarseencondicionesdeescrupulosorespetoalaintimidadpersonalyala libertadindividualdelusuario,garantizandolaconfidencialidaddelainformacinrelacionadacon losserviciossanitariosqueseprestan.EstanormasecomplementaconlasprevisionesdelaLey 16/2003,de28demayo,deCohesinyCalidaddelSistemaNacionaldeSalud. Porsuparte,Ley41/2002,de14denoviembre,bsicareguladoradelaautonomadelpacientey de derechos y obligaciones en materia de informacin y documentacin clnica, completa las previsionesquelaLeyGeneraldeSanidadenuncicomoprincipiosgenerales.As,recogeentre sus principios bsicos que la persona que elabore o tenga acceso a la informacin y documentacinclnicaestobligadaaguardarlareservadebida(art.2.7),almismotiempoque estableceelderechoquetodapersonatieneaqueserespeteelcarcterconfidencialdelosdatos referentesasusalud,yaquenadiepuedaaccederaellossinpreviaautorizacinamparadaporla Ley(art.7.1). En su artculo 14, la Ley 41/2002 regula el archivo de las historias clnicas de los pacientes, estableciendoque,cualquieraqueseaelsoporteenelqueconsten,debequedargarantizadasu seguridad,sucorrectaconservacinylarecuperacindelainformacin. En relacin con los usos de la historia clnica, el artculo 16 de la Ley 41/2002 establece que su finalidadprincipalesgarantizarlaadecuadaasistenciasanitariaalpaciente,compatibleconotros usos de inters general, as como que el personal de administracin y gestin de los centros sanitarios slo puede acceder a los datos de la historia clnica relacionados con sus propias funciones,aadiendoqueelpersonalqueaccedealosdatosdelahistoriaclnicaenelejercicio desusfuncionesquedasujetoaldeberdesecreto.Almismotiempo,regulaensuartculo18el derechodeaccesodelpacienteasuhistoriaclnicayaobtenercopiadelosdatosquefigurenen ella, asignando a los centros sanitarios la responsabilidad de regular el procedimiento que garanticelaobservanciadeestosderechos.

www.agpd.es

Pgina3

InformedecumplimientodelaLOPDenHospitales

Porltimo,esdedestacarqueenloconcernientealaconservacindeladocumentacinclnica, la Ley 41/2002 hace en su artculo 17 una referencia explcita a la LOPD y a su normativa de desarrollo,alestablecerquesondeaplicacinlasmedidastcnicasdeseguridadestablecidaspor la legislacin reguladora de la conservacin de los ficheros que contiene datos de carcter personaly,engeneral,porLaLeyOrgnica15/1999deProteccindeDatosdeCarcterPersonal. 3. ALCANCEYMETODOLOGA Laevaluacindelniveldecumplimientodelanormativadeproteccindedatospersonalesseha realizado mediante el envo a los centros sanitarios incluidos en el Catlogo Nacional de Hospitales que se encuentran bajo la competencia de esta Agencia, consistente en un cuestionariodelqueseharequeridosucumplimentacin. Atalefecto,el26demarzoseenviunprimerrequerimientosolicitandosucontestacinantes del31demayo.Confecha18dejunioselesreiteraaquelloshospitalesdelosquenosehaba recibido contestacin, ampliando el plazo para su contestacin hasta el 31 de julio de 2010. En estasegundacomunicacin,seadvertaexpresamentequeencasocontrarioseprocederaadar traslado del hecho al rgano encargado de la funcin inspectora y sancionadora por posible infraccinconformealartculo44.2.b)delaLOPD. LarelacindecentroshospitalariosobjetodelrequerimientosehaobtenidoapartirdelCatlogo deHospitales2009,publicadoenlapginawebdelMinisteriodeSanidadyPolticaSocialafecha 1 de marzo de 2010. El Catlogo Nacional de Hospitales es fruto de la colaboracin entre el Ministerio de Sanidad y Poltica Social y las Consejeras de Sanidad de las Comunidades Autnomas, el Ministerio de Defensa, los rganos competentes de las Ciudades Autnomas de CeutayMelillaylospropiosHospitales.SumarcolegalvienedefinidoporlaLey14/1986,de25 deabril,GeneraldeSanidad,queatribuyealEstadoentresusactuacionesElCatlogoyRegistro General de centros, servicios y establecimientos sanitarios que recogern las decisiones, comunicaciones y autorizaciones de las Comunidades Autnomas, de acuerdo con sus competencias (Art. 40.9). Asimismo, la Ley 16/2003, de 28 de mayo, de cohesin y calidad del SistemaNacionaldeSaludestableceensuartculo53.2queElsistemadeinformacinsanitaria contendr informacin sobre las prestaciones y la cartera de servicios en atencin sanitaria pblicayprivada,eincorporar,comodatosbsicos,losrelativosapoblacinprotegida,recursos humanosymateriales. El objetivo de este Catlogo es ofrecer informacin bsica de los hospitales existentes en el conjuntodelterritorionacionalalaspersonaseinstitucionesinteresadasenelconocimientodel sector,talescomoAdministracinSanitaria,estudiosos,usuarios,proveedoresdeservicios,etc.El Catlogo recoge informacin de los centros sanitarios destinados a la asistencia especializada y continuada de pacientes en rgimen de internado, cuya finalidad principal es el diagnstico y/o tratamientodelosenfermosingresadosenelmismo,ascomolaatencinapacientesdeforma ambulatoria.

www.agpd.es

Pgina4

InformedecumplimientodelaLOPDenHospitales

Elrequerimientofueenviadoalos654centrosqueseencuentranenelmbitodecompetencia delaAgenciaEspaoladeProteccindeDatos.Porlotanto,nohansidoobjetodeestaactuacin los centros de las Comunidades Autnomas de Madrid, Catalua y del Pas Vasco, que se encuentranbajocontroldelasAgenciasdeProteccindeDatosdeMadrid,CataluayPasVasco, respectivamente. El colectivo de centros objeto del estudio se ha circunscrito a 605, al haber sido eliminados aquellos centros para los que se producan algunas duplicidades en el Catlogo, o bien haban cesadosuactividad. Unavezfinalizadoslosplazosderequerimientosealadosseharecibidolacontestacinde562 centros(92,9%deltotal),distribuidosporComunidadAutnomaenlaformaquesemuestraenla Tabla1.

Comunidad Autnoma CIUDAD AUTNOMA DE CEUTA CIUDAD AUTNOMA DE MELILLA C.A. DE ANDALUCA C.A DE ARAGN C.A. DE CANARIAS C.A. DE CANTABRIA C.A. DE CASTILLA Y LEN C.A. DE CASTILLA-LA MANCHA C.A. DE EXTREMADURA C.A. DE GALICIA C.A. DE LA REGIN DE MURCIA C.A. DE LA RIOJA C.A. DE LES ILLES BALEARS C.A. DEL PAS VASCO C.A. DEL PRINCIPADO DE ASTURIAS COMUNIDAD DE MADRID COMUNIDAD FORAL DE NAVARRA COMUNIDAD VALENCIANA TOTAL GENERAL

Centros requeridos 2 1 124 29 42 9 50 33 26 63 26 7 23 26 23 48 13 60 605

Centros contestados 2 1 119 27 35 8 49 28 24 53 26 7 20 24 23 47 13 56 562

% Centros contestados 100,00 100,00 95,97 93,10 83,33 88,89 98,00 84,85 92,31 84,13 100,00 100,00 86,96 92,31 100,00 97,92 100,00 93,33 92,89

Tabla1NmerodecentroshospitalariosrequeridosporComunidadAutnoma

En las Tablas 2 y 3 se puede observar la distribucin por Comunidad Autnoma de las contestacionesenfuncindelatitularidadpblicaoprivadadeloscentros,respectivamente.

www.agpd.es

Pgina5

InformedecumplimientodelaLOPDenHospitales

CENTROS DE TITULARIDAD PBLICA Centros Comunidad Autnoma CIUDAD AUTNOMA DE CEUTA CIUDAD AUTNOMA DE MELILLA C.A. DE ANDALUCA C.A. DE ARAGN C.A. DE CANARIAS C.A. DE CANTABRIA C.A. DE CASTILLA Y LEN C.A. DE CASTILLA-LA MANCHA C.A. DE EXTREMADURA C.A. DE GALICIA C.A. DE LA REGIN DE MURCIA C.A. DE LA RIOJA C.A. DE LES ILLES BALEARS C.A. DEL PAS VASCO C.A. DEL PRINCIPADO DE ASTURIAS COMUNIDAD DE MADRID COMUNIDAD FORAL DE NAVARRA COMUNIDAD VALENCIANA TOTAL GENERAL requeridos 1 1 67 19 17 5 26 22 18 39 10 5 11 0 12 0 6 33 292 Centros contestados 1 1 65 18 13 4 26 19 17 31 10 5 11 0 12 0 6 29 268 % Centros contestados 100,00 100,00 97,01 94,74 76,47 80,00 100,00 86,36 94,44 79,49 100,00 100,00 100,00 0,00 100,00 0,00 100,00 87,88 91,78

Tabla2:NmerodecentrospblicosrequeridosporComunidadAutnoma

CENTROS DE TITULARIDAD PRIVADA Centros Comunidad Autnoma CIUDAD AUTNOMA DE CEUTA CIUDAD AUTNOMA DE MELILLA C.A. DE ANDALUCA C.A. DE ARAGN C.A. DE CANARIAS C.A. DE CANTABRIA C.A. DE CASTILLA Y LEN C.A. DE CASTILLA-LA MANCHA C.A. DE EXTREMADURA C.A. DE GALICIA C.A. DE LA REGIN DE MURCIA C.A. DE LA RIOJA C.A. DE LES ILLES BALEARS C.A. DEL PAS VASCO C.A. DEL PRINCIPADO DE ASTURIAS COMUNIDAD DE MADRID COMUNIDAD FORAL DE NAVARRA COMUNIDAD VALENCIANA TOTAL GENERAL requeridos 1 0 57 10 25 4 24 11 8 24 16 2 12 26 11 48 7 27 313 Centros contestados 1 0 54 9 22 4 23 9 7 22 16 2 9 24 11 47 7 27 294 % Centros contestados 100,00 0,00 94,74 90,00 88,00 100,00 95,83 81,82 87,50 91,67 100,00 100,00 75,00 92,31 100,00 97,92 100,00 100,00 93,93

Tabla3:NmerodecentrosprivadosrequeridosporComunidadAutnoma

MediantelacumplimentacindelInformedecumplimientodelaLOPDenHospitalesloscentros sanitariosrequeridoshannotificadosusituacinrespectoalossiguientesaspectos: InscripcindeficherosenelRegistroGeneraldeProteccindeDatos Pgina6

www.agpd.es

InformedecumplimientodelaLOPDenHospitales

Deber de informacin al interesado y atencin al ejercicio de derechos de acceso, rectificacin,cancelacinyoposicin(ARCO) Contratacindeserviciosdetratamientodedatospersonales1 Medidasdeseguridady,especficamentesobreeldocumentodeseguridad;funcionesy obligacionesdelpersonal;controlyregistrodeacceso;comunicacindedatos;gestinde incidencias; gestin de soportes y documentos; copias de respaldo y recuperacin; y documentacinenpapel. Auditorademedidasdeseguridad

4. RESULTADOSGLOBALES Elanlisisderesultadosquesedetallaenlossiguientesapartadosdeldocumentoserefiereala muestradecentrosquehanremitidounacontestacinvlida. 4.1 INSCRIPCINDEFICHEROSENELRGPD El nivel de cumplimiento de la LOPD declarado por los centros hospitalarios en materia de inscripcindeficheroseselsiguiente: El 94,4% ha inscrito los ficheros de datos personales en el RGPD, y un 88,3% mantiene estasinscripcionesactualizadas. El 83,8% de los centros de titularidad pblica ha publicado la disposicin general de creacindeficheroseneldiariooficialcorrespondiente. El90,7%deloscentrostieneinscritoelficherodeHistoriasClnicasdePacientes. Un39,75%deloscentroshainscritoficherosconlafinalidaddeInvestigacinClnica,un 86,9% con la de Gestin Sanitaria, y un 89,9% ha inscrito ficheros relacionados con la gestininternadelcentro(recursoshumanos,proveedores,etc.) Un71,9%hainscritoficherosconfinalidadesdistintasalasindicadasanteriormente. El55%deloscentroshanimplantadolaHistoriaClnicaElectrnica.

Losdatosreferidosalporcentajedecentrosquetieneninscritossusficherosdedatosdecarcter personalhansidocontrastadosporestaAgencia,verificndosesuadecuacinconlainformacin presenteenelRegistroGeneraldeProteccindeDatos.

1

Enrelacinconelart.12delaLOPD

www.agpd.es

Pgina7

InformedecumplimientodelaLOPDenHospitales

4.2 DEBER DE INFORMACIN AL INTERESADO Y ATENCIN AL EJERCICIO DE DERECHOS ARCO Enlosformulariosderecogidadedatosdelospacientes,un24,3%deloscentrosnoha incluidouna clusulainformativaconformealoestablecidoenelartculo5delaLOPD. Asimismo,enun36,6%deloscentrosestaclusulanoestadaptadaencadaformulario enfuncindelficheroenelquesevanaincluirlosdatosy/ofinalidadparalaquevana serutilizados. Un72,5%deloscentroscuentanconcartelesinformativossobreelderechodeproteccin dedatospersonalesadisposicindelospacientesyusuariosdelcentro. El90,7%deloscentrosdisponendeprocedimientosparaelejerciciodelosderechosde acceso,rectificacin,cancelacinyoposicinporpartedelaspersonasquelosolicitan.En el 84,9% de los casos, la atencin de estos derechos se encuentra centralizada en una UnidaddelCentroHospitalario. En el 70,5% de los centros, cuando se ejerce el derecho de reserva de las anotaciones subjetivasqueconstanenlaHistoriaClnica,ladecisinsobrelosdatosquesefacilitanes tomadaporelprofesionalsanitario.

4.3 CONTRATACINDESERVICIOSDETRATAMIENTODEDATOSPERSONALES La contratacin o externalizacin de servicios de tratamiento de datos est ampliamente extendidaenlosCentrosHospitalarios(porejemplo,paralarealizacindeanlisisclnicosuotras pruebasmdicas,oparaelalmacenamientodelashistoriasclnicas),habiendooptadoun86%de ellos por este modelo de gestin. El 98,5% de los centros que han contratado este tipo de servicioshanincluidolasgarantasdeproteccindedatosprevistasenelartculo12delaLOPD enelcontratodeprestacindeservicios. Es relevante que slo un 39,1% de los centros que han contestado declaran que emplean procedimientosdedisociacindelosdatosdecarcterpersonal. Porotraparte,enel84,5%deloscentrosseinformaalpersonaldelimpiezasobrelanecesidadde garantizarlaconfidencialidaddelosdatos(porejemplo,enlarecogidadelabasura). 4.4 MEDIDASDESEGURIDAD En relacin con las medidas de seguridad de los datos de carcter personal, el nivel de cumplimientodelanormativaeselsiguiente:

www.agpd.es

Pgina8

InformedecumplimientodelaLOPDenHospitales

Documentodeseguridad Un90,8%deloscentrosdisponendedocumentodeseguridad;aunquesloel82,7%lo revisaperidicamenteymantieneactualizado.

Medidasbsicas En trminos generales, el nivel de cumplimiento de las medidas de seguridad de nivel bsico podraconsiderarseptimo: En el 95,5% de los centros se encuentran definidas las funciones y obligaciones del personal.Enparticular,enel94,4%deloscentrossanitarioselpersonalestinformado desuobligacindecustodiarladocumentacincuandostanoseencuentraarchivadaen losdispositivosdealmacenamientoporestarenrevisinotramitacin.Asimismo,enel 79,7% de los hospitales se realizan actividades de formacin del personal sobre proteccindedatos. El 88% de los hospitales dispone de procedimientos de notificacin y gestin de incidenciasqueafectenalosdatosdecarcterpersonal. En el 96,8% de los centros hospitalarios se encuentra limitado el acceso a los datos, de formaquelosusuariosnopuedanaccederadatosorecursosdistintosdelosautorizados. Elporcentajedeaquellosqueademsmantienenactualizadalarelacindeusuariosque tienen acceso autorizado a los datos personales es ligeramente inferior, alcanzando el 93,2% de los casos. Por otra parte, en el 88,4% de los centros el personal de gestin y controlsanitariotienelimitadoelaccesoalasHistoriasClnicasdelospacientes. Lamayoradecentrossanitarios(94,8%)hanimplantadomedidastcnicasqueimpidenel acceso de terceros no autorizados o la difusin de datos de carcter personal de los ficheros del centro sanitario (limitacin de la descarga de programas de intercambio de archivos,cortafuegos,etc.) Sinembargo,esmenor,sloenel81,1%decentroslassalidasdesoportesydocumentos que contienen datos de carcter personal se encuentran debidamente autorizadas, mientrasqueenel78,6%sehanadoptadomedidasparaevitarlasustraccin,prdidao acceso indebido a la documentacin durante su transporte (ej. traslado de las historias clnicas). La identificacin de los usuarios mediante una clave de acceso y una contrasea est implantadaenel96,9%deloshospitales. El 96,6% de los hospitales ha definido procedimientos de copias de respaldo y de recuperacindelosdatos.

www.agpd.es

Pgina9

InformedecumplimientodelaLOPDenHospitales

nicamente el 45% de los centros auditan que el personal autorizado ha utilizado los datosparalafinalidadquejustificelacceso.

Medidasdenivelalto En el 88,7% de los centros hospitalarios las medidas previstas en el documento de seguridad son las correspondientes al nivel alto, que son las aplicables para los datos relativosalasaluddelaspersonas. Sin embargo, la implantacin de algunas de las medidas de seguridad exigidas en el RLOPDparalosdatosdenivelaltoesinferioralporcentajequedeclarahaberlasprevisto eneldocumentodeseguridad.As,elporcentajedehospitalesquedisponedeunregistro deaccesosatodalainformacinesdel74,6%,mientrasqueelniveldehospitalesenlos queseguardalainformacinexigidaporelRLOPDdecadaaccesorealizadoalosdatos (identificacin del usuario, fecha y hora del acceso, fichero accedidos, tipo de acceso e indicacin de acceso autorizado o denegado) es ligeramente inferior, alcanzando el 70,5%. Es reseable igualmente el hecho de que un 31% de los centros no almacena el registrodeaccesoduranteelperiodomnimopreceptivodedosaos.

Ficherosmanuales Un 22,1% de los centros no cuentan con dispositivos de almacenamiento de historias clnicas dotados de mecanismos que obstaculicen su apertura (p.ej. archivadores con cerradura). En el 96,6% de los hospitales, los locales en los que se encuentran los dispositivos de almacenamientoseencuentrancerradoscuandonohaypersonaldelaorganizacinasu cargo. El96%deloscentrosdisponendemediosdedestruccinydesechodelainformacinque garantizanlaconfidencialidaddelainformacineimposibilitansuaccesoatercerosno autorizados.

4.5 AUDITORADEMEDIDASDESEGURIDAD LarealizacindelaauditorabienaldeseguridaddelficherodeHistoriasClnicasesunodelos aspectosenlosqueseobservaunmenorniveldecumplimientodelanormativadeproteccin dedatos,yaqueenun32,5%decentrosestaactuacinnosellevaacabo.Enun85,6%delos centrosquerealizanlaauditora,sehandetectadoenelladeficienciasdeseguridad. Un 22,5% de los hospitales han realizado la ltima auditora en 2010, un 30,8% en 2009, un 10% en 2008 y un 7,4% en 2006 o aos anteriores. Un 29,3% de los centros no aporta informacinsobrelafechadelaltimaauditoradeseguridadrealizada.

www.agpd.es

Pgina10

InformedecumplimientodelaLOPDenHospitales

Por otra parte, es de destacar que la gran mayora de centros hospitalarios (82%) optan de maneratotaloparcialporunauditorexternoparalarealizacindelaauditoradeseguridad. 5. RESULTADOSPORTITULARIDADDELCENTROHOSPITALARIO LosresultadosdelrequerimientoinformativoremitidoporlaAEPDaloscentroshospitalarios indicanengeneralunmayorniveldecumplimientodelanormativadeproteccindedatosen loscentrosprivados.Lasmayoresdiferenciasseobservanenlossiguientesapartados: En materia de inscripcin de ficheros, un 99% de los centros privados han cumplido con este requisito normativo, frente al 89% de los centros pblicos. La diferencia aumentacuandoserequieresobreelmantenimientoyactualizacindelainscripcin, que se lleva a cabo en el 96% de los hospitales privados frente a un 80% de los pblicos. En el caso de centros pblicos, el porcentaje de hospitales que ha publicado la disposicin general de creacin del fichero en el diario oficial correspondiente es ligeramenteinferioraldehospitalesquehaninscritosusficherosenelRGPD:83,8% frente a 89,1% respectivamente. Esta pequea diferencia obedece al hecho de que algunos hospitales no han modificado la primera inscripcin realizada de manera centralizadaporelMinisteriodeSanidadyConsumoen1994comoconsecuenciadela entrada en vigor de la Ley Orgnica 5/1992, de 29 de octubre, de Tratamiento Automatizado de los Datos de carcter personal (LORTAD), antes de realizar las transferencias de sanidad a la mayora de comunidades autnomas. Si bien posteriormente la Agencia ha modificado de oficio el responsable del fichero, en un nmeroreducidodecasosnoseharealizadounanuevapublicacindelficheroenel diariooficialcorrespondienteporpartedelhospitalodelcentrogestorcompetentede laComunidadAutnoma. Mientras que el 94,5% de los centros privados han incluido en los formularios de recogidadedatosunaclusulainformativaconformealartculo5delaLOPDyel80% de ellos dispone de carteles informativos sobre el derecho de proteccin de datos personalesadisposicindelosusuarios,estosporcentajesdesciendenal55%yal64% respectivamenteenelcasodeloscentrospblicos. En relacin con el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin, el 96% de los centros privados cuentan con procedimientos para su atencinefectiva,frenteal84%deloscentrospblicos. Un 98% de los centros privados y un 83% de los centros pblicos han elaborado el DocumentodeSeguridadprevistoenelreglamentodelaLOPD.

www.agpd.es

Pgina11

InformedecumplimientodelaLOPDenHospitales

En el caso de los hospitales privados el 85,6% mantiene un registro de todos los accesos a la informacin, aunque solamente el 79% almacena este registro por un periodomnimodedosaos,yel65%auditaquelosaccesoshansidorealizadospor personalautorizadoqueloshautilizadoparalafinalidadquejustificsuacceso. Porotraparte,el62,6%deloshospitalespblicosdisponedeesteregistrodeaccesos, el 58% lo mantiene por un periodo mnimo de dos aos y en el 25% de los casos se auditanestosaccesos. El 95% de los centros hospitalarios privados cuentan con un procedimiento para la notificacinygestindelasincidenciasdeseguridad,frenteal80,4%deloscentrosde titularidadpblica. En el 89,4% de los hospitales privados los dispositivos de almacenamiento de las historiasclnicascuentanconmecanismosqueobstaculizansuapertura(porejemplo, archivadoresconcerradura),descendiendoesteporcentajeal65,3%enelcasodelos pblicos. El 86% de los hospitales privados han adoptado medidas para evitar la sustraccin, prdidaoaccesoindebidoaladocumentacindurantesutransporte(ej.trasladode lashistoriasclnicas),frenteal70%deloshospitalespblicos. En el 94% de los centros privados se ha informado al personal de limpieza sobre la necesidad degarantizarlaconfidencialidaddelosdatos(porejemplo,enlarecogida delabasura),mientrasqueesteporcentajeesdel74%enelcasodecentrospblicos. Unadelasmayoresdiferenciasseproduceenlarealizacindelaauditorabienalde seguridaddelficherodehistoriasclnicas,requisitoqueescumplidoporel88%delos hospitalesprivadosfrenteaun44%delospblicos.

Por el contrario, se observa una mayor implantacin de la Historia Clnica Electrnica en los centrospblicos,conunporcentajedel66,8%frenteal44,3%delosprivados. Esimportanteasimismodestacarquelacontratacinoexternalizacindeltratamientodelos datos est ampliamente implantada tanto en los centros pblicos (83,4%) como en los privados(88,3%).Enamboscasos,noobstante,elporcentajedecentrosenlosqueseaplican procedimientosdedisociacindelosdatospersonalesenlosserviciosexternalizadosesbajo (44%encentrospblicosy35%encentrosprivados). 6. RESULTADOSPORCOMUNIDADESAUTNOMAS

www.agpd.es

Pgina12

InformedecumplimientodelaLOPDenHospitales

Concarctergeneral,seobservaunaltoniveldecumplimientodelanormativadeproteccin dedatosenlascomunidadesautnomasdeLaRiojayMurcia.Enelrestodecomunidadesel comportamientovarasegnelconceptoanalizado: Los centros hospitalarios de las CCAA de Aragn (66,67%) y Cantabria (75%) son los quepresentanunmenorporcentajedeinscripcindeficherosdedatospersonalesen el RGPD. En el resto de comunidades, el promedio de inscripcin supera el 87% de centroshospitalarios.Estasmismascomunidadessonlaquecuentanasimismoconun menorporcentajedehospitalesenlosquedichainscripcinsemantieneactualizada: en Aragn es slo un 41% y un 50% en Cantabria. En ambos parmetros, los indicadores estn penalizados por el bajo nivel de cumplimiento en los centros sanitariosdetitularidadpblica. Destacaelbajoniveldecumplimientodelrequisitodepublicacindeladisposicinde creacin de ficheros de hospitales de titularidad pblica en boletn o diario oficial correspondiente, en las CCAA de Cantabria (25%), Aragn (50%), Canarias (54,5%) y Asturias(58,3%). La inclusin de la clusula informativa conforme al artculo 5 de la LOPD en los formularios de recogida de datos de los pacientes es particularmente baja en los hospitales pblicos de Aragn (5%), Castilla y Len (23%), Asturias (25%), Canarias (27%)yGalicia(32%). La disponibilidad de procedimientos para el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin supera el 75% de los hospitales en todas las CCAA, a excepcin de los centros pblicos de las comunidades de Cantabria (50%), Valenciana (62%), Canarias (64%) y Asturias (67%), que se sitan por debajo de ese umbral. Lacontratacindeactividadesrelacionadasconeltratamientodedatosesmayoritaria en los hospitales de todas las CCAA, a excepcin de los centros pblicos de Extremadura (50%) y Cantabria (53%) en los cuales esta alternativa de gestin est equilibradaconlagestin100%internadelostratamientosdedatos. Aunque en promedio ms del 90% de hospitales cuentan con el documento de seguridad preceptivo segn el RLOPD, un 45% de los centros pblicos de Canarias y 49%delosdelaComunidadValenciananodisponendel. En el 55% de los centros pblicos de Canarias y en el 45% de los de la Comunidad Valencianalasmedidasdeseguridadaplicadasalosdatosdecarcterpersonalnose correspondenconlasdenivelaltosegnelRLOPD.

www.agpd.es

Pgina13

InformedecumplimientodelaLOPDenHospitales

El registro de todos los accesos a la informacin es particularmente bajo en los hospitales pblicos de Extremadura (17,6%), Baleares (27,3%), Aragn (38,9%) y Andaluca(40%). Porotraparte,el55%deloscentrospblicosdeBalearesyComunidadValencianano cuentanconprocedimientosparalanotificacinygestindeincidenciasdeseguridad, valorsensiblementesuperioralregistradoenelconjuntodehospitalesdetitularidad pblica(20%). Ladisponibilidaddedispositivosdealmacenamientodedocumentos(historiasclnicas) que cuenten con mecanismos que obstaculicen su apertura (p.ej. archivadores con cerradura)esparticularmentebajaenloscentroshospitalariospblicosdeCantabria (25%),Galicia(35,5%)yComunidadValenciana(48%). Elnivelderealizacindelaauditorabienaldeseguridadenloshospitalespblicoses muy dispar segn la Comunidad Autnoma de que se trate. As, es particularmente bajo en las comunidades de Castilla y Len (7,7%), Asturias (8,3%), Comunidad Valenciana (10,3%), Aragn (16,7%), Canarias (18%) y Cantabria (25%). Por el contrario,eselevadoenLaRioja(100%),Galicia(96,8%),CastillaLaMancha(84,2%), Extremadura(82,3%)yMurcia(80%).

7. CONCLUSIONES Elinformedecumplimientodelanormativadeproteccindedatoshasidocontestadoporel 92%deloscentroshospitalariosrequeridos.Enelcasodel8%restante,sehadadotrasladoal rganoencargadodelafuncininspectoraysancionadoradadoquepodraincurrirseenuna infraccinconformealartculo44.2.b)delaLOPD. Enrelacinconlamuestradehospitalesquehancontestadoalrequerimiento,sondedestacar lassiguientesconclusiones: El cumplimiento de la normativa es alto en el conjunto de centros privados, alcanzndoseniveleselevadosenlamayoradeconceptosclaveanalizados:inscripcin deficheros(99%),inclusindeclusulasinformativasenlosformulariosderecogidade datos (94,5%), disponibilidad de procedimientos para atender el ejercicio de los derechosARCO(97%)y,engeneral,enlaimplantacindemedidasdeseguridadysu auditoraperidica. En promedio, y con excepcin de las comunidades de La Rioja y Murcia, el nivel de cumplimiento en los centros pblicos es menor que en los centros privados. Las mayoresdiferenciasconstossedanenlainclusindeclusulasinformativasenlos formularios de recogida de datos (55% frente a 94,5%) y en la realizacin de la

www.agpd.es

Pgina14

InformedecumplimientodelaLOPDenHospitales

auditorabienaldeseguridad(45%frentea88%).Ademsdelassealadas,lasreas de mejora ms importantes son la instalacin de carteles informativos sobre el derecho a la proteccin datos, la revisin peridica del documento de seguridad, el registro de todos los accesos a la informacin, el archivo de las historias clnicas en dispositivos dotados de mecanismos que obstaculicen su apertura, as como la adopcin de medidas para evitar la sustraccin, prdida o acceso indebido a la documentacin durante su transporte. Es importante asimismo destacar que en el casodeloshospitalesdetitularidadpblica,losindicadoresvaransignificativamente segnelaspectoycomunidadautnomadequesetrate. La mayora de hospitales (86%) han contratado actividades de tratamiento de datos personales. En la prctica totalidad de estos casos se ha incluido en el contrato de prestacindeservicioslaclusulainformativaprevistaenelartculo12delaLOPD.Sin embargo, el porcentaje de centros que en este escenario aplican procedimientos de disociacindelosdatosdecarcterpersonalestodavabajo(34%). La implantacin de la Historia Clnica Electrnica alcanza al 55% de los hospitales requeridos, siendo mayor en los centros pblicos que en los privados (67% frente a 44%).

8. RECOMENDACIONES Alaluzdelosresultadosanteriormenteexpuestos,ysinperjuiciodelnecesariocumplimiento de todas las obligaciones previstas en la normativa de proteccin de datos de carcter personal,esnecesariohacerespecialhincapienlossiguientesaspectosdelamisma: Manteneractualizadalainscripcindelosficherosdedatosdecarcterpersonal. En el caso de ficheros de titularidad pblica, tener publicada en el diario oficial correspondiente y actualizada la pertinente disposicin general de adecuacin a la LOPDyalRLOPD Incluirenlosimpresosyformulariosderecogidadedatosdelospacientesyusuarios clusulas informativas respecto al tratamiento de datos personales, conforme al artculo5delaLOPD,yadaptarlasencadaformularioenfuncindelficheroenelque se van a incluir los datos y/o finalidad para la que van a ser utilizados (asistencia sanitaria, epidemiologa, investigacin, docencia, evaluacin de la calidad asistencial, etc.) Colocarcartelesinformativossobreelderechoalaproteccindedatospersonalesde losusuariosdelcentro,queseanfcilmentevisiblesporstos. Informar al personal de limpieza sobre la necesidad de garantizar la confidencialidad delosdatos(porejemplo,enlarecogidadelabasura) www.agpd.es Pgina15

InformedecumplimientodelaLOPDenHospitales

Es recomendable aplicar procedimientos de disociacin de los datos de carcter personalenlostratamientosdedatosquehayansidoexternalizados. Registrar todos los accesos realizados a los historiales clnicos, almacenando la informacindecadaunodeellosprevistaenelReglamentodedesarrollodelaLOPD duranteunperiodonoinferioradosaos. Realizar auditoras para verificar si el personal autorizado utiliza los datos para la finalidadquejustificelacceso. Almacenar los archivos fsicos de historias clnicas en reas en las que el acceso est protegido con puertas de acceso dotadas de sistemas de apertura mediante llave o dispositivo equivalente. Asimismo, y en el interior de estas reas, almacenar los expedientesclnicosenarchivadoresquedispongandemecanismosqueobstaculicen suapertura. Custodiar la documentacin clnica de pacientes cuando sta no se encuentre archivada en los dispositivos de almacenamiento indicados en el punto anterior por encontrarseenprocesoderevisinoconsulta,impidiendoquepuedaseraccedidapor personasnoautorizadas. Adoptar medidas para evitar la sustraccin, prdida o acceso indebido a la documentacindurantesutransporte(ej.trasladodelashistoriasclnicas). Realizarlaauditorabienaldeseguridaddelficherodehistoriasclnicasydeotrosque puedan contener datos relativos a la salud de las personas, adoptando medidas correctorasparasubsanarlasdeficienciasencontradas.

www.agpd.es

Pgina16

InformedecumplimientodelaLOPDenHospitales

9. ANEXO:RESULTADOSGENERALESDELINFORMEPORTITULARIDAD
InformedecumplimientodelaLOPDenHospitales.Resultados SehaninscritolosficherosdelCentroHospitalarioenelRGPD? Lainscripcinsemantieneactualizada? En el caso de los ficheros de titularidad pblica, se ha publicado la disposicin general de creacindelosficheroseneldiariooficialcorrespondiente? EntrelasfinalidadesdelosficherosinscritosenelRGPD,seencuentraladegestindeHistorias Clinicasparaasistenciasanitaria? SehainscritounficheroconlafinalidaddeInvestigacinClnica? SehainscritounficheroconlafinalidaddeGestinSanitaria? SehaninscritolosficherosdeGestininternadelCentro(Recursoshumanos,proveedores,etc)? Se han inscrito ficheros con finalidades diferentes de las sealadas en las cuestiones precedentes? EneseCentrosehaimplementadolaHistoriaClnicaElectrnica? EnlosformulariosderecogidadedatosdelospacientesyusuariosdelCentro,sehaincluido unaclusulainformativaconformealoestablecidoenelart.5delaLOPD? Laclusulainformativaestadaptadaencadaformularioenfuncindelficheroenelquesevan aincluirlosdatosy/ofinalidadparalaquevanaserutilizados(asistenciasanitaria,epidemiologa, investigacin,docencia,evaluacindelacalidadasistencial.)? Disponen de carteles informativos sobre el derecho de proteccin de datos personales a disposicindelospacientesyusuariosdelcentro? Disponendeprocedimientosparaatenderalaspersonasquesolicitanelejerciciodelderechode acceso,rectificacin,cancelacinyoposicin? LaatencindeestosderechosseencuentracentralizadaenunaUnidaddelCentroHospitalario? SiseejerceelderechoalareservadelasanotacionessubjetivasqueconstanenlaHistoriaClnica, ladecisinsobrelosdatosquesefacilitan,latomaelprofesionalsanitario? ElCentroHospitalario,tienecontratada/externalizadalaprestacindeserviciosdetratamiento de datos personales (custodia de historias clnicas, destruccin de documentos, mantenimiento informtico,pruebasanalticas,monitorizacindeensayosclnicos,)? Enloscontratosdeprestacindeservicios,seincluyelaclusuladeproteccindedatosprevista enelart.12delaLOPD? Enlosserviciosexternalizados,seaplicanprocedimientosdedisociacindelosdatosdecarcter personal? Se informa al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos(porejemplo,enlarecogidadelabasura)? DisponendeldocumentodeseguridadprevistoenelRLOPD? Serevisaperidicamenteeldocumentodeseguridady,ensucaso,seactualiza? Lasmedidasprevistaseneldocumentodeseguridad,correspondenalasdefinidasparaelnivel altoenelRLOPD? Disponendemedidastcnicasqueimpidanelaccesodetercerosnoautorizadosoladifusinde datos de carcter personal de los ficheros del centro sanitario (limitacin de la descarga de programasdeintercambiodearchivos,cortafuegos)? Seencuentrandefinidaslasfuncionesyobligacionesdelpersonal? Elpersonalconocesusobligacionesylasnormasquetienequeaplicar? Serealizanactividadesdeformacindelpersonalsobreproteccindedatos? Elpersonalquerealizalasfuncionesdefacturacinygestinycontrolsanitario,tienelimitadoel accesoalaHistoriaClnica? Centros pblicos 89,43 80,00 83,02 86,04 55,09 83,40 85,66 70,94 66,79 55,09 42,64 Centros privados 98,97 95,88 0,00 94,85 25,77 90,03 93,81 72,85 44,33 94,50 82,82 TOTAL 94,42 88,31 39,57 90,65 39,75 86,87 89,93 71,94 55,04 75,72 63,67

64,15 83,77 76,60 76,23 83,40

80,07 96,91 92,44 65,29 88,32

72,48 90,65 84,89 70,50 85,97

81,51 36,60 73,96 83,02 70,19 81,89 93,21

87,63 30,93 94,16 97,94 94,16 94,85 96,22

84,71 33,63 84,53 90,83 82,73 88,67 94,78

92,45 93,21 74,72 92,45

98,28 98,97 84,19 84,88

95,50 96,22 79,68 88,49

www.agpd.es

Pgina17

InformedecumplimientodelaLOPDenHospitales

Se encuentra limitado el acceso a los datos y recursos de todo el personal (se impide que los usuariospuedanaccederadatosorecursosdistintosdelosautorizados)? Semantieneactualizadaunarelacindelosusuariosquetienenaccesoautorizadoalosdatos personales? Losusuariosseidentificanmedianteunaclavedeaccesoyunacontrasea? Sedisponedeunregistrodetodoslosaccesosalainformacin? Enelcitadoregistro,seguardanlosdatosrelativosalaidentificacindelusuario,lafechayhora enqueserealiz,elficheroaccedido,eltipodeaccesoysisehaautorizadoodenegado? Enelcitadoregistro,yenelcasodequeelaccesohayasidoautorizado,seguardalainformacin quepermiteidentificarelregistroaccedido? Seauditasielpersonalautorizadoutilizalosdatosparalafinalidadquejustificelacceso? Lainformacindelcitadoregistro,semantieneporunperiodomnimode2aos? Serealizancesionesocomunicacionesdedatos? Existeunprocedimientodenotificacinygestindelasincidenciasdeseguridad? LasalidadesoportesydocumentosfueradelCentroHospitalario,seencuentranautorizadas? Elprocedimientoderealizacindecopiasderespaldoyrecuperacindelosdatos,seencuentra definido? Los dispositivos de almacenamiento de los documentos (historias clnicas), disponen de mecanismosqueobstaculizansuapertura(p.e.archivadoresconcerradura)? Los locales en los que se encuentran los dispositivos de almacenamiento, se encuentran cerradoscuandonohaypersonaldelaorganizacinasucargo? Se han adoptado medidas para evitar la sustraccin, prdida o acceso indebido a la documentacindurantesutransporte(ej.trasladodelashistoriasclnicas)? Elpersonal,estinformadodesuobligacindecustodiarladocumentacincuandostanose encuentraarchivadaenlosdispositivosdealmacenamientoporestarenrevisinotramitacin? Disponen de medios de destruccin y desecho de la informacin que garanticen la confidencialidaddelainformacineimposibilitensuaccesoatercerosnoautorizados? SeharealizadolaauditoriabienaldeseguridaddelFicherodeHistoriasClnicas? Elinformedeauditoriaindicaquesehanencontradodeficienciasenlaseguridad? Laauditorahasidorealizadaporunauditorexterno? Laauditorahasidorealizadaporunauditorinterno? En el caso de que la auditora haya sido realizada por un auditor interno, se ha realizado con garantasdeindependencia? Ensucaso,sehanadoptadolasmedidascorrectorasrelativasalasposiblesdeficiencias?

94,72 89,81 96,23 62,64 58,11 59,25 24,91 58,11 80,00 80,38 76,98 95,09 65,28 94,34 70,19 90,94 92,83 44,74 42,86 34,59 18,05 18,80 40,98

98,63 96,22 97,59 85,57 81,79 76,98 64,95 79,04 79,04 94,85 84,88 97,94 89,35 98,63 86,25 97,59 98,97 88,32 71,48 74,23 17,87 19,59 78,69

96,76 93,17 96,94 74,64 70,50 68,53 45,86 69,06 79,50 87,95 81,12 96,58 77,88 96,58 78,60 94,42 96,04 67,50 57,81 55,30 17,95 19,21 60,68

www.agpd.es

Pgina18