Tiempo de lectura: 7 minutos
El Consorcio de Salud y Social de Cataluña (consorci.org) ha publicado un código de conducta para el ámbito sanitario. Interesante documento con implicaciones más allá de la mejora en la gestión de los datos personales en entornos sanitarios, al proponer una amalgama de conceptos de salud y sociales.
El documento se compone de dos libros uno de funcionamiento y el otro de contenido técnico. Es accesible en este enlace (catalán) o en este otro (castellano).
Su objetivo último es mejorar la protección de las personas intervinientes en los procesos sanitarios (desde pacientes y personas vinculadas a trabajadores sanitarios), en cuanto a sus datos personales se refiere. Para ello, unifica criterios de concepto y procedimiento para las entidades que se adhieran al código.
Quiénes pueden adherirse al código
Pueden adherirse voluntariamente al código las instituciones sanitarias que estén en el ámbito competencial de la autoridad de control catalana APDCAT, así como otras entidades relacionadas (encargados y auxiliares). Concretamente:
- Hospitales del sistema público de salud catalán, sean ellos mismos públicos o privados.
- Centros sanitarios de atención primaria, ambulatoria o domiciliaria del sistema público catalán, sean ellos mismos públicos o privados.
- Centros sanitarios de diagnóstico (por imagen, análisis químicos, pruebas médicas, otros …) que presten servicio al sistema público catalán, sean ellos mismos públicos o privados
- Entidades que presten servicios de salud laboral y vigilancia de la salud a otras entidades del sistema público de salud catalán, sean aquéllas públicas o privadas, que elaboren o mantengan historias clínicas
- Entidades de carácter científico o técnico que realicen tareas de investigación, desarrollo, docencia o formación en el ámbito sanitario
- Otras entidades con vinculación o relación manifiesta con el sector sanitario
- Otras entidades que presten servicios al servicio público de salud catalán como por ejemplo, servicios logísticos, de almacenamiento de información, de prestaciones de carácter técnico o informático
- Otras entidades que actúen habitualmente como encargadas de cualquiera de las anteriores
Conceptos
El código define su propio escenario en cuanto a datos, interesados y tratamientos, complementario al exigible en el RGPD
Categorías de datos
El código define el dato de salud como toda información o conjunto de informaciones que permita conocer o determinar, sin esfuerzos desproporcionados, el estado completo o parcial de bienestar físico, mental y social, como también la ausencia, o no, de afecciones o enfermedades.
El código se aplicará, además de a las categorías de datos previsibles por la naturaleza del propio código, a las siguientes:
- datos que indiquen el grado de adaptación de la persona al medio biológico, al estado fisiológico de equilibrio y a la alimentación, cuando resulte relevante para el tratamiento, diagnóstico o prestaciones de carácter asistencial o en el marco de la investigación de salud
- datos relativos a los hábitos de la persona que tenga un impacto en el estado de la personas o afecten o puedan afectar a los datos del apartado anterior, cuando resulte relevante para el tratamiento, diagnóstico o prestación de servicios de carácter asistencial o en el marco de la investigación en salud
- datos ambientales, poblacionales, geográficos, étnicos, de carácter religioso o filosófico o de cualquier otro tipo con incidencia específica sobre el estado de salud de una persona o sea relevante para el tratamiento, diagnóstico o prestación de servicios de carácter asistencial o en el marco de la investigación en salud
Personas frágiles
Se define la persona frágil como aquella que tenga o pueda tener afectadas sus condiciones cognitivas o volitivas por razón de su situación personal o familiar, económica, enfermedad, estado físico o psíquico, adicción o cualquier otra situación de dependencia o afectación.
Son también personas frágiles aquellas con dificultades para comprender, por cualesquiera motivos, el alcance de los tratamientos de datos personales o del ejercicio de derechos relativos a ellos.
Son también personas frágiles aquellas en situación de brecha digital o de género.
Personas con riesgo de estigmatización
Personas que sufran enfermedades mentales o tenga afectaciones de carácter psíquico o psicológico, cuando esta condición no sea obstáculo para llevar una vida normal.
Personas diagnosticadas, o sobre las que pesan sospechas, de padecer sida, VIH, hepatitis, padezcan enfermedades crónicas o infecciosas tradicionalmente vinculadas a estilos de vida o a la orientación sexual, con independencia de que esa vinculación responda o no a la realidad de la enfermedad.
Personas diagnosticadas de condiciones genéticas que prevean, determinen o identifiquen posibles condiciones médicas futuras que puedan afectar los derechos, libertades e intereses legítimos de las personas.
Personas afectadas por condiciones médicas derivadas de las condiciones económicas, sociales, culturales o derivadas del entorno socioeconómico de la persona.
Víctimas de delitos
Personas que reciban asistencia sanitaria, urgente o no, por razón de haber sufrido un delito o posible delito, o derivado de actos de violencia.
Mujeres que hayan sufrido actos de violencia en el ámbito doméstico o de la pareja.
Persona pública
Personas con relevancia social o que tengan un reconocimiento público u ocupen un espacio en el debate público, incluso en el ámbito territorial o local, ocupen un cargo o profesión de relevancia pública o reciban asistencia sanitaria fruto de un suceso de interés periodístico o público.
Algunas recomendaciones
Se desaconseja el uso de formularios con campos de texto libres.
Los adheridos al código utilizarán, independientemente de su condición pública o privada, el Esquema Nacional de Seguridad (ENS) como instrumento para garantizar la seguridad de la información.
El personal de las entidades adheridas recibirá formación específica en el código de conducta, al menos cada dos años.
Se aconseja el uso de la pseudonimización en aquellas situaciones en que la información sea accesible por personas no autorizadas, como por ejemplo, los carritos de medicación o las bandejas de comida.
Se recomienda, con detalle, qué datos anonimizar en la exhibición de datos médicos.
Se recomienda el cifrado TLS de datos y la autenticación de usuarios por certificado digital.
Se proporcionan guías para incluir en la metodología de valoración de riesgo y la evaluación de impacto.
Conclusiones
Los códigos de conducta están contemplados en artículo 40 del RGPD y son un mecanismo para demostrar cumplimiento, a la vez que para fortalecer los derechos de los interesados. Además, suelen incidir en aspectos que la ley general no contempla, y que son muy relevantes en el marco de aplicación específico del código (que suele ser sectorial).
Destaca, por tanto, el detalle con que, en algunos aspectos, se desarrolla el texto. Otros, más previsibles, como el de seguridad organizativa e informática, recalcan lo ya dicho en normas de uso habitual (ISO 27001 o el propio ENS). Cabe, sin embargo, la novedad de exponer la anonimización, la pseudonimización y el cifrado como medidas garantistas, mencionadas también en el RGPD.
El RGPD otorga a las asociaciones un papel primordial en el desarrollo de códigos de conducta, como ha sido el caso del Consorcio de Salud y Social de Cataluña.
Las definiciones concretas de ciertos colectivos (personas frágiles o con riesgo de estigmatización) trasladan al ámbito social el concepto de salud, una corriente que se repite en diversos puntos del código y que responde a añejas aspiraciones de ambas disciplinas: salud y social. El código es un paso importante hacia esa integración, con la vista presumiblemente puesta en una historia clínica también integrada.
Antonio March | amc@datium.eu
Diciembre 2020
Imagen : Dianne – Pexels