Código de Conducta en entidades sociales

Tiempo de lectura: 26 minutos

El Consorcio de Salud y Social de Cataluña ha elaborado un Código de Conducta para el tratamiento de datos personales en el ámbito de la atención social. El código ha sido aprobado recientemente por la Autoridad de control de Cataluña, APDCAT.

Este es el segundo código de conducta del consorcio, tras el que se refiere al ámbito sanitario.

Se avanza, nuevamente, en la consideración de la atención social como una actividad asimilable a la atención sanitaria y se incrementa la protección de los datos personales de los colectivos vulnerables.

Al código se pueden adherir las entidades o servicios sociales públicos y privados, si bien su cumplimiento no está al alcance de las entidades pequeñas, que son la mayoría del tejido social de España, en general, y de Cataluña, en particular.

El código de conducta puede consultarse aquí (versión en catalán)

Introducción

El código de conducta es un instrumento garantista para el cumplimiento del RGPD, que lo expone en su artículo 40. Los Estados Miembros se obligan a promover la creación de códigos de conducta para mejorar la protección de los interesados en cuanto a los tratamientos de sus datos personales. Se puntualiza que se tendrán en cuenta la s características específicas de las micro, pequeñas y medianas empresas. Y se encomienda a las asociaciones un papel principal en la creación de códigos de conducta. La Autoridad de Control competente debe aprobar esos códigos cuando su aplicación no ataña a varios Estados Miembros.

Los códigos se dirigen habitualmente a sectores de actividad, de forma que tratamientos iguales o similares puedan abordarse con idénticos criterios y mecanismos. Se evita así la atomización de interpretaciones y prácticas, y se incrementa la protección de los interesados. Esto último, ciertamente prioritario en el caso de la atención social, colectivos vulnerables en sus múltiples vertientes.

Características

El texto se divide en dos libros.

El primero de ellos se dedica a la gobernanza del código (adhesión, baja, obligaciones de los adheridos, registro de entidades). Existirá un órgano de supervisión, cuya función es, en cierto sentido, análoga a la de la Autoridad de Control. Debe promover y difundir el código, evaluar su grado de cumplimiento, revisar su contenido frecuentemente, gestionar las altas y bajas de adheridos.

El segundo libro detalla las condiciones aplicables a los tratamientos de datos personales en el sector social.

Se inicia analizando los datos que son susceptibles de estar ligados a la condición social de la persona: identificación, datos bancarios y económicos, datos sanitarios (de salud y de asistencia sanitaria recibida, valoraciones, prescripciones), historia social e informes sociales, datos sociofamiliares (incluyendo entorno familiar, redes de soporte, vecindario y allegados, relaciones en el ámbito laboral e instituciones de soporte), informes psicopedagógicos, registros de incidencias (caídas, alteración de salud y conducta), intervenciones sociales, valoraciones de la autonomía personal.

Se determina, por tanto, un amplio repertorio de datos para la abundante tipología de actividades enmarcadas en la atención social.

El código indica, además, que las medidas de seguridad aplicables a los siguientes tipos de datos deberán corresponderse con las que se tomarían en caso de que esos datos fuera de categoría especial, de acuerdo con RGPD 9.1, incluso aunque no lo sean:

  • datos de contacto y de carácter administrativo
  • aficiones y estilo de vida
  • relaciones personales y familiares, si hay riesgo de conflicto
  • datos académicos y de formación, cuando concurre abandono o absentismo escolar, acoso escolar, falta de escolarización o analfabetismo, inadaptación escolar o falta de aprendizaje
  • datos profesionales, si se refieren a falta de competencias laborales o calificación profesional, dificultad de inserción laboral, acoso laboral o sobrecarga laboral
  • datos económico-financieros, si se refieren a insuficiencia o falta de ingresos, o endeudamiento
  • datos de género
  • datos que se refieren a la inacción de la administración o a su imposibilidad de aportar soluciones al interesado
  • hábitos
  • datos ambientales, poblacionales o geográficos
  • geolocaqlización instantánea
  • cualquier otra categoría de datos que comporte riesgos, especialmente si el riesgo es de discriminación con efectos graves

Personas atendidas

El código se aplica a los tratamientos de datos vinculados a personas atendidas por los servicios de atención social (también llamados usuarios, interesados o personas interesadas).

Esos tratamientos afectan tanto a los interesados como a las personas vinculadas a éstos y cualquier otra persona que pueda verse afectada por esos tratamientos.

El código dedica un artículo específico a cada una de las siguientes categorías de usuarios.

Menores de edad

El código llama menores de edad a los menores de 14 años.

Personas especialmente vulnerables

El código explicita varias categorías.

Personas en riesgo de discriminación en razón de:

  • sexo, género, orientación o vida sexual
  • brecha digital que impida o limite el acceso a servicios o el ejercicio de derechos
  • cualquier otro motivo que cause discriminación
  • personas en riesgo de estigmatización (personas con enfermedades mentales, adicciones, afectaciones psíquicas o psicológicas),
  • personas diagnosticadas (o sospechosas) de sida, VIH, hepatitis, enfermedades crónicas o infecciosas habitualmente relacionadas con el estilo de vida u orientación sexual
  • personas investigadas o procesadas, encausadas en un proceso penal, encarceladas actual o anteriormente, o multadas con privación de derechos de carácter penal
  • situación de pobreza o riesgo de exclusión social
  • personas sin hogar
  • minorías étnicas o religiosas
  • inmigrantes, refugiados, apátridas o en situación irregular
  • personas con capacidad limitada para manifestar su voluntad, sea por dificultad en comprender la información o por otros motivos que incidan en su capacidad volitiva

Víctimas de delitos y de violencia de género

Personas que reciben asistencia, urgente o no, de servicios sociales, víctimas de delitos o posibles delitos, o personas que han padecido consecuencias derivadas de actos de violencia.

Terceras personas

Personas que mantienen relaciones familiares, sentimentales, de afinidad, de vecindad, laborales o de cualquier otro tipo con la persona atendida por servicios sociales. Esa relación debe ser oportuna o adecuada para que la persona atendida reciba una atención social correcta.

Profesionales de la atención social

Las que prestan, directa o indirectamente, atención social.

Profesionales de la atención social en situación de conflicto

Profesionales definidos anteriormente que son objeto de amenazas, acciones violentas o ilegítimas ejecutadas por terceras personas que han visto facilitada la comisión de esos hechos ilegítimos por haber accedido a los datos personales de esos profesionales.

Garantías aplicables al tratamiento de datos

Se trata de un conjunto de buenas prácticas.

  • La información debe presentarse de forma clara y sencilla
  • Se expondrán carteles visibles con información completa sobre el tratamiento
  • Cuando la información resida en diversos lugares, se pueden utilizar carteles conteniendo la primera capa de información, y un apuntador o referencia a la información completa
  • Se usarán todos los idiomas convenientes según los destinatarios potenciales
  • Si los destinatarios son menores o tienen necesidades especiales para comprender la información, ésta se adecuará convenientemente
  • Se procurará que los acompañantes de las personas atendidas sean partícipes de la información facilitada a esas personas atendidas.
  • Se evitará el uso del consentimiento como base legitimadora del tratamiento, acudiendo por tanto, a la obligación legal, interés público contrato, interés vital. Adicionalmente, a la ejecución de un contrato o al interés legítimo (en este caso, previa ponderación)
  • El consentimiento será más factible en servicios complementarios a la atención social propiamente dicha.
  • Se evitará la captación de imágenes de personas vulnerables, cuando éstas sean identificables, para promoción del centro de atención social
  • Cuando los interesados sean personas especialmente vulnerables y el tratamiento se base en el consentimiento, debe adecuarse la forma de obtener el mismo para que se pueda acreditar que ese consentimiento se corresponde con una decisión tomada sobre la base de la información y el concimiento adecuado de la persona interesada emn relación con su situación personal, su formación y el grado de comprensión que presumiblemente tendrá el interesada. Si se estima conveniente, se consultará con el acompañante o la persona vinculada
  • Cuando se recabe el consentimiento a quien ostente la patria potestad o tutela de menores de 14 años, se participará a los menores del alcance del consentimiento, atendiendo a su madurez
  • La comunicación de datos de la persona interesada a personas vinculadas por razones afectivas o familiares requerirá el consentimiento de aquella, para lo cual hay que elaborar un protocolo, instrucción técnica, manual de buenas prácticas o instrumento análogo.
  • Las comunicaciones a cualquier persona vinculada se considerarán amparadas en interés público si esas comunicaciones son necesarias o oportunas en relación a la reducción de los riesgos sociales de la persona atendida, o si resultan en beneficio de la situación social de esa persona

Garantías para la minimización de datos

El responsable del tratamiento velará porque la comunicación de datos cumpla con el principio de minimización de datos

Se evitará lo máximo posible el uso de formularios de campo libre para recabar información. En caso de que deban utilizarse, se entenderá que el tratamiento tiene un factor agravante de riesgo.

La geolocalización se limitará a los casos donde exista un riesgo real de extravío, o si la persona tiene problemas de orientación espacial o temporal. Deberá redactarse un protocolo que regule el uso de la geolocalización. Los datos de geolocalización se conservarán el mínimo tiempo necesario.

Garantías para el ejercicio de derechos

El ejercicio de derechos regulados en RGPD 15 a 22 contará con un protocolo o procedimiento documentados.

Deben crearse formularios específicos para ejercer el derecho a acceder a la historia social o información social de la persona interesada. Ese derecho puede limitarse si su ejercicio afecta negativamente a derechos y libertades de terceros.

Debe garantizarse los derechos de acceso a las personas vinculadas.

Medidas generales para los tratamientos

En los tratamientos de datos relacionados con la atención social, las entidades adheridas a este código utilizarán el Esquema Nacional de Seguridad (ENS, RD 311/2022 de 4 de mayo) como norma en la gestión de la seguridad. También utilizarán el ENS los terceros que presten servicios a una entidad adherida.

Los trabajadores de los responsables y encargados de tratamiento recibirán formación general sobre protección de datos (normativa vigente, código de conducta, medidas de seguridad). Esa formación deberá ser periódica, al menos cada dos años.

En su caso, y previa consulta al delegado de protección de datos, la formación general referida en el párrafo anterior será sustituida por formación específica para determinados perfiles profesionales.

A continuación se exponen medidas destinadas a garantizar los diversos vectores del ENS.

Confidencialidad e integridad de los datos

Pseudonimización y anonimización

Se implementará un protocolo para gestionar los datos de geolocalización, incluyendo las restricciones de acceso a los mismos.

Los datos deberán cifrarse con TLS, incluyendo los correos electrónicos y sus adjuntos

Deberá implementarse la autenticación de usuarios, preferentemente por certificado digital

En atención domiciliaria se elaborará un protocolo para garantizar la privacidad de la información cuando el domicilio sea compartido

En atención telefónica se elaborará un protocolo de identificación de usuarios, consistente en alguna pregunta sobre información residente en la base de datos y, en caso de duda, de un secreto y otro mecanismo en caso de que el interesado haya olvidado el secreto.

Los usuarios de los sistemas informáticos se agruparán en perfiles, determinando al menos los permisos de lectura y edición. La definición de perfiles debe ser conocido por el departamento de personal.

Se creará un directorio de usuarios, con indicación del perfil asignado, así como programas y bases de datos a los que puede acceder, y los permisos de lectura, modificación y borrado. El directorio conservará los usuarios incluso cuando hayan causado baja en la entidad o hayan sido suspendidos de usar los sistemas. El directorio se revisará una vez al año para desactivar los usuarios que fuera necesario.

Siempre que sea posible, los programas de atención social que generen historia social deben mantener un histórico de cambios en los registros y datos, identificando el cambio, usuario, fecha y hora. Ese histórico debe mantenerse de forma síncrona con el historial de accesos (definido más adelante en el código).

El transporte de documentación física, si existe, debe hacerse en soportes que permitan el cierre mecánico. Durante el transporte, esos soportes no quedarán desatendidos en ningún momento.

El tratamiento mediante dispositivos portátiles requerirá un control de acceso, cifrado y, en su caso, bloqueo o destrucción a distancia o tras repetidos intentos fallidos de acceso.

La transmisión de datos desde o hacia esos dispositivos portátiles deberá ser cifrada.

Exactitud y autenticidad

Las entidades adheridas al código elaborarán un protocolo de identificación inequívoca de usuarios de los servicios de atención social.

Si se recogen nombre y apellidos que contienen letras de un alfabeto distinto del latino, debe garantizarse la romanización correcta de las mismas.

Las personas transgénero o trans-sexuales se identificarán con el sexo que ellas prefieran, al efecto que sean atendidas de la forma que esperan. A falta de otra referencia, se utilizará la identificación oficial.

Trazabilidad

Las entidades dispondrán de un registro de accesos, que contendrá la identificación del usuario, su perfil, fecha y hora del acceso, la información accedida y el motivo. Se registrará incluso el intento de acceso.

Ese registro contendrá también las modificaciones hechas en los documentos, usuario, fecha y hora. Además, el sistema permitirá recuperar la versión del documento anterior al cambio.

El registro de accesos se conservará al menos tres años.

El registro de accesos deberá ser revisado, periódicamente, por un órgano competente. Se revisará una muestra aleatoria representativa del periodo, para validar su adecuación o justificar sus deficiencias.

Conviene revisar los accesos denegados para concluir si son debidos a un error humano o a un intento de un usuario ilegítimo, y conocer si finalmente accedió a la información. En tal caso, se procederá a una investigación exhaustiva que permita detectar si ha habido afectación de derechos y libertades de interesados. Todo ello, sin perjuicio de informar de la brecha de seguridad a la Autoridad de Control y, en su caso, a los propios interesados (RGPD 33 y 34)

Toda persona interesada podrá acceder, por si misma o por representación, al registro de accesos de su información de carácter social. Si el interesado, tras consultar el registro, tiene dudas sobre la legitimidad de algunos accesos, puede ejercer su derecho a que se revise la idoneidad del sistema de acceso, y a recibir respuesta antes de dos meses, sin dilación indebida. La información facilitada al interesado sobre los accesos, debe contener el nombre del profesional que accedió, y si fue de forma legítima y con cuál motivo, o de forma ilegítima.

Disponibilidad

Al menos una vez cada siete días debe generarse una copia de seguridad de los datos. Las copias serán indemnes a ataques informáticos y se custodiarán, a ser posible, en un espacio distinto de aquel donde residen los sistemas de proceso de datos. Los centros de procesos de datos contarán con sistemas anti-incendios. Las medidas de seguridad aplicables a las copias de seguridad serán, al menos, equivalentes a las aplicadas a los sistemas de proceso, sin prejuicio de que se apliquen, además, medidas pertinentes y específicas a las copias.

Debe garantizarse el suministro eléctrico en todo momento, por medio de mecanismos alternativos. En su caso, esos mecanismos deben cubrir el tiempo de respuesta de un eventual nivel de servicio contractual por parte del proveedor de energía.

Debe garantizarse la conectividad de los sistemas informáticos en todo momento.

Los espacios de custodia de documentación física deben contar con cierres mecánicos o análogos.

Los centros de proceso de datos deben contar con mecanismos de cierre que impidan accesos indebidos.

Encargados de tratamiento

Todo encargo de tratamiento debe prever mecanismos que aseguren que el encargado dispone de medidas de seguridad adecuadas al tratamiento efectuado, de acuerdo con RGPD 28 y 32

El encargado de tratamiento contratado por un responsable adherido al código de conducta deberá cumplir con el Esquema Nacional de Seguridad (ENS)

Análisis de riesgos

Los análisis de riesgos de tratamientos considerarán la adecuada formación del personal, tanto en volumen como en tiempo transcurrido desde la última formación

El uso de formularios de campo libre debe considerarse un agravante de riesgos.

En lo posible, se tendrá en cuenta la opinión de los interesados al valorar el riesgo

Riesgos asociados con la confidencialidad de los datos

Riesgos de carácter social: situaciones de vulnerabilidad, indefensión, estigmatización, discriminación, pérdida de oportunidades laborales o de vivienda, dificultad para acceder a servicios básicos, deterioro de las relaciones personales de los interesados.

Riesgos para las terceras personas vinculadas a los interesados.

Riesgos en atención domiciliaria

Riesgos de incorrecta identificación del receptor de información

Riesgos asociados con la integridad de los datos

Riesgos para la situación social del interesado

Riesgos asociados con la exactitud y autenticidad de los datos

imposibilidad de acceso a servicios de atención social del interesado

Riesgos asociados con la trazabilidad de los datos

Registro de modificaciones

Riesgos asociados con la disponibilidad de los datos

Imposibilidad de acceder a los servicios de atención social

Afectación a la situación social o daños físicos o psicológicos

Pérdida de tiempo, desplazamientos innecesarios

Otros riesgos

Incumplimiento normativo

Metodología del análisis de riesgos y la evaluación de impacto

Al valorar la probabilidad y gravedad del riesgo se usarán criterios objetivos

Se considerarán escenarios reales y específicos de la atención social. En particular los siguientes:

  • Categorías de personas interesadas, tomando en cuenta sus capacidades cognitivas y de comprensión
  • Cantidad de personas interesadas afectadas por el tratamiento
  • Volumen de datos tratados, en particular los de categoría especial
  • Las posibles finalidades de los tratamientos, especialmente estudios, investigaciones o estadísticas
  • Las tecnologías de la información aplicadas, especialmente las novedosas o las desactualizadas
  • El ámbito geográfico, la posibilidad de comunicarse con los interesados y la posible brecha digital

Tratamientos de investigación en el ámbito social

El código concluye con un capítulo dedicado al tratamiento de datos personales en actividades de investigación en el ámbito social.

Conclusiones

El Consorcio de Salud y Social de Cataluña aporta un instrumento cuidadosamente elaborado para potenciar las garantías que las entidades de atención social deben ofrecer a los colectivos vulnerables que atienden a fin de proteger sus derechos y libertades.

Se va cerrando la asimilación de historia social e historia clínica o, de otra forma, que las carencias sociales son carencias de salud, sanitarias.

Se abarcan de forma muy amplia los datos personales que deben considerarse asociados a la vulnerabilidad, y por tanto, tratados con la máxima cautela por responsables y encargados. A los interesados se les asocia con las personas vinculadas, mereciendo ellas también la atención del código. Algo que ya es inherente a la vida cotidiana de las entidades sociales pero que no está suficientemente explicitado en las disposiciones de protección de datos. Ante una situación crítica, la persona vulnerable raramente sabrá defender sus derechos, quizá ni siquiera sospechar que se estén conculcando; las personas vinculadas sí están en disposición de identificar la situación y reclamar cumplimiento.

Dotado también de un detallado sistema de gobernanza, el código de conducta deberá ser pronto un referente para el sector social, tanto para las organizaciones de mayor dimensión como para grupos de entidades más pequeñas, que pueden acometer un proyecto de adecuación vía las asociaciones. Todo ello en aras de incrementar la protección de las personas en situación de vulnerabilidad.

Antonio March | amc@datium.eu
Febrero 2023

Imagen: Michael Discenza – EEUU – Unsplash