Todo profesional o negocio que, como consecuencia del desarrollo normal de su trabajo, tiene contacto con información personal y privada de terceros, cuenta con la obligación legal de protección y salvaguarda de la intimidad. Los datos médicos se constituyen, por sí mismos, como información especialmente sensible y, por ello, la regulación al respecto será amplia y exigente. Por eso, los profesionales en la materia hemos de poner el foco de atención en una reciente fuga de datos que afectó a medio mundo.
Los datos médicos: concepto general
En sentido amplio, se define como dato de carácter personal toda aquella información numérica, fotográfica, acústica, alfabética o de cualquier otra clase que concierne a personas físicas identificadas o identificables; esta información puede referir tanto a su identidad (nombre, filiación, domicilio…) como a su existencia y ocupaciones (trabajo, enfermedades, estudio…).
Más concretamente, son aquellos datos de carácter personal relativos a la salud, incluyendo las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo.
La fuga de datos que afectó a medio mundo
El pasado miércoles 18 de septiembre, la televisión alemana, en colaboración con la plataforma norteamericana Propublica, denunció la filtración de más de un millón de paquetes de datos.
Una empresa proveedora de servicios radiológicos había estado filtrando por accidente, a través de internet, información médica concerniente a millones de pacientes de más de cincuenta países. Entre estos datos podían encontrarse exámenes de cáncer de pecho o radiografías de la columna o del tórax.
Aunque la investigación acaba de comenzar, los datos podrían haber sido utilizados por compañías de seguros, empleadores, bancos, empresas de publicidad y otros muchos sujetos, con tal de realizar informes de predicción de conducta.
Desgraciadamente, por grave que sea, este tipo de fugas se producen más habitualmente de lo que pudiera parecer, por lo que pueden encontrarse multitud de ejemplos similares. Y es que, aunque la informatización de la información cuenta con gran cantidad de beneficios (acceso remoto, envío ágil de datos, búsquedas avanzadas…) si no se protegen correctamente también pueden dar lugar a situaciones tan graves como estas.
¿Qué medidas han de tomarse para garantizar la protección de datos?
La noticia comentada ha de servir de prueba acerca de la necesidad de poner especial énfasis en la protección de datos de carácter personal. Todo aquel que, por su ejercicio profesional o por cualquier otra causa, maneje información sensible debe establecer estrictas medidas que garanticen la protección de la misma ante injerencias de terceros.
A modo de ejemplo, puede atenderse al siguiente procedimiento de defensa de información sensible en el contexto de un negocio que cuente con varios empleados:
1. Determinar cuáles son, exactamente, los datos de carácter personal: en el seno de la información que se maneje, habrá de discernirse cuál es sensible y cuál no. Los datos médicos, por supuesto, formarán parte de la primera clase.
2. Determinar el flujo de información: este paso consiste, en esencia, en determinar quién tiene acceso a qué información. Dentro de una empresa o negocio deberá conocerse exactamente quién tiene capacidad de administrar qué datos.
3. Establecer, con claridad, el marco jurídico para la protección de datos: en atención a la legislación vigente, será oportuno redactar un aviso de privacidad que habrá de ser leído, entendido y firmado por todo aquel que entregue datos al negocio, ya sea cliente, proveedor o empleado.
Asimismo, deberán confeccionarse convenios de confidencialidad que habrán de ser conocidos y aceptados por aquellos que accedan a información sensible, comprometiéndose a no divulgarla de ninguna manera.
4. Monitorizar el manejo de la información: esto se realizará con la finalidad de asegurar el cumplimiento efectivo de las normas legales de protección de datos.
5. Definir consecuencias: si fruto del paso anterior se encontrase algún caso de tratamiento indebido de información sensible, deberá existir una relación de las consecuencias aplicables. Claro ejemplo podría ser la rescisión de un contrato.
¿Qué debe hacer quien se vea afectado por una situación similar?
En aquellos casos en los que se considere que ha existido un incumplimiento de la LOPD y, por lo tanto, que datos de carácter personal se han visto comprometidos, deberá acudir al amparo de la Agencia Española de Protección de Datos.
Para ello será recomendable contar con el apoyo de expertos en la cuestión, cuyo conocimiento permita seguir el camino preferible para el reclamo de la finalización de la situación irregular y para la obtención de una posible indemnización por los daños sufridos.
En conclusión, los datos médicos se constituyen como información especialmente sensible con respecto a la cual es necesario imponer medidas de protección. Así se evitarán casos como el comentado. En todo caso, ya seas una empresa que desee adecuarse a la legislación o un particular cuya información se ha visto comprometida, te recomendamos que nos consultes. Como profesionales, sabremos poner a tu disposición la solución que necesitas.