1Agencia Española de Protección de Datos

FORO SOBRE PROTECCIÓN DE DATOS DE SALUD

CASOS PRÁCTICOS: LA EXPERIENCIA DE LAS AUTORIDADES DE PROTECCIÓN DE DATOS

Sociedad Española de Informática de la SaludPamplona, 16 y 17 de marzo de 2011

Cristina Gómez PiquerasJefe de Servicio de la AEPD

2Agencia Española de Protección de Datos

SUPUESTOS

Medidas de seguridad cuando se transmiten datos de salud.

Tratamiento de datos de salud (excesivos).

Utilización de datos del fichero pacientes para enviar felicitaciones con direcciones de correo electrónico visibles.

Cesión de datos de salud a terceras empresas y tratamiento de datos de salud por parte de éstas.

Mutuas y prevención de riesgos laborales.

3Agencia Española de Protección de Datos

Medidas de seguridad cuando setransmiten datos de salud

PS/00353/2010Una Sra. asegurada con AXA acude a un médico particular que trabaja para esa misma compañía. Le hace pruebas y estima que es necesario hacer una intervención quirúrgica. El médico envió el informe a la compañía aseguradora mediante fax.El médico alegó Qué podía enviar los informes por correo

electrónico encriptado, pero que las compañías solicitan que se envíe por fax.

Qué la afectada conocía el sistema ya que ella misma se lo había comunicado.

4Agencia Española de Protección de Datos

PS/00353/2010

Artículo 104 del Real Decreto 1720/2007:

“Cuando deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.”.

5Agencia Española de Protección de Datos

Tratamiento de datos de salud (excesivos)

PS/00219/2010Una Sra. recibió dos envíos postales remitidos por KELLOGS ESPAÑA. En el exterior del sobre, y junto con sus datos postales se incluía “Enferma celiaca”.

La empresa tenía los datos de la denunciante en el fichero “Prescriptores”, incluyendo un dato denominado “Alta” con la información “CELI_ENE05”

KE había contratado una prestación de servicios de marketing directo y los datos los facilitó la denunciante al ir a un congreso.

No pudo acreditar el consentimiento de la afectada.

6Agencia Española de Protección de Datos

Utilización de datos del fichero pacientes para enviar felicitaciones con direcciones de

correo electrónico visibles

PS/00561/2010

Una señora acude a un Clínica Dental y le solicitan sus datos personales en un formulario, en el que consta la información recogido en el artículo 5 de la LOPD.

En las Navidades la Clínica envía una felicitación a sus clientes por correo electrónico en cuyo apartado “para” aparecen todas las direcciones de correo electrónico destinatarias del mismo correo, y que corresponden a clientes de la clínica.

Se debió a un error puntual.

No se sancionó el posible desvío de finalidad en la utilización de datos al no haberse denunciado.

7Agencia Española de Protección de Datos

Cesión de datos de salud a terceras empresas y tratamiento de datos de salud por parte de éstas

PS/00179/2010

Es relativamente habitual que al acudir a un Hospital allí se hagan pruebas óticas u oftálmicas y después se reciba la carta de una óptica o de un centro auditivo ofertando el producto que se necesita para corregir el problema.

Existe dificultad para acreditar la cesión, pero existen circunstancias acreditativas de los hechos.

8Agencia Española de Protección de Datos

PS/00179/2010

Una señora denunció que, tras acudir a un Hospital público con su hijo menor, recibió una carta a nombre del menor, informándoles de las ayudas auditivas del centro en virtud de los acuerdos establecidos con una Comunidad Autónoma.

Este procedimiento se archivó por prescripción de la infracción, tratamiento de datos sin consentimiento (artículo 6 de la LOPD).

9Agencia Española de Protección de Datos

EMPRESAS Y ABSTENTISMO LABORAL

Una empresa puede controlar el absentismo laboral, de acuerdo con el artículo 20.4 del ET.

Si contrata una empresa externa para controlar el absentismo debe:• Comunicar a la empresa los datos básicos de

los trabajadores de baja.• Informar a sus trabajadores de la contratación

de esa empresa y la finalidad de su trabajo: seguimiento de la enfermedad control del absentismo.

10Agencia Española de Protección de Datos

EMPRESAS Y ABSTENTISMO LABORAL (II)

La empresa contratada facilitara al empresario información sobre el carácter justificado o no de la baja de su trabajador, a los efectos de posibilitar que ejerza la función del control del absentismo.

Nunca facilitara la historia clínica ni datos concretos de salud al empresario

11Agencia Española de Protección de Datos

EMPRESAS Y ABSTENTISMO LABORAL (III)

Si la propia empresa realiza el seguimiento de bajas y control del absentismo laboral debe:• Informar a sus trabajadores de que la propia

empresa realizara esa función y la finalidad de su trabajo.

El servicio médico informara al empresario sobre el carácter justificado o no de la baja de su trabajador, a los efectos de posibilitar que ejerza la función del control del absentismo.

Nunca facilitara la historia clínica ni datos concretos de salud al empresario.

12Agencia Española de Protección de Datos

PREVENCIÓN DE RIESGOS LABORALES

La empresa tiene la obligación de garantizar la seguridad y salud de sus trabajadores (prevenir los riesgos laborales) mediante la vigilancia periódica de su estado de salud (reconocimientos médicos periódicos) (Ley 31/1995).

Si la empresa opta por tener un servicio de prevención propio, el responsable del fichero será la propia empresa pero los datos de salud los tendrá el servicio médico.

El servicio médico informará al empresario sobre la aptitud de sus trabajadores, no le facilitara datos de salud.

13Agencia Española de Protección de Datos

PREVENCIÓN DE RIESGOS LABORALES (I)

El servicio de prevención ajeno realizará la vigilancia de la salud de los trabajadores de las empresas que sean sus clientes e informara a la empresa de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud de los trabajadores para el desempeño de su puesto de trabajo.

Nunca facilitara la historia clínica ni datos concretos de salud de los trabajadores al empresario.

La transmisión de esos datos de aptitud y posible adecuación del puesto de trabajo es una cesión amparada por la Ley 31/1995, artículos 30.3 y 23.1.

14Agencia Española de Protección de Datos

MUTUAS

Las Mutuas, en contingencias comunes, reconocen el derecho a la prestación económica; deniegan, suspenden, anulan o declaran la extinción del derecho; ejercen el control de la prestación económica; y:

Pueden formular propuestas de alta médica a la Inspección médica de los Servicios Públicos de salud.

Realizar tratamientos médicos, intervenciones quirúrgicas, pruebas diagnósticas en los casos de demora en el servicio público de salud.

15Agencia Española de Protección de Datos