El mundo global y la formación

El VIII Foro de Protección de Datos de Salud nos ha dejado multitud de temas interesantes que pretendo ir desgranando en sucesivas entradas de este blog. Un ejemplo de ellos fue la mención, también en la intervención de Jesús Rubí, de los posibles problemas de supervisión y control que se dan o pueden darse en un mundo globalizado en el que se prestan servicios de salud a los ciudadanos españoles desde cualquier lugar del mundo.


En concreto, se refirió a los nuevos servicios prestados por grandes multinacionales dirigidos a los ciudadanos individuales para, por ejemplo, custodiar todos sus datos clínicos y ponerlos a su disposición o a la de cualquier profesional sanitario elegido por él. El motivo de preocupación apuntado es que en los últimos tiempos se está poniendo de manifiesto que, cuando surge un problema y la Agencia Española de Protección de Datos ejerce sus poderes para salvaguardar los derechos de los ciudadanos, estas compañías  niegan la competencia de las autoridades de control europeas para supervisarlas y controlarlas e intentan sustraerse a la misma.

En mi opinión, este es un problema real y preocupante pero intrínsecamente ligado a otro mucho más general: la carencia de un estándar de protección de datos universalmente aceptado y, sobre todo, de unos mecanismos sencillos y accesibles para que las personas que constaten la violación de sus derechos o se sientan perjudicadas por una actitud ilícita, negligente o irresponsable puedan obtener una rápida satisfacción de sus demandas, la reposición de sus derechos y, en su caso, el resarcimiento de los daños causados.


Lo que nos lleva, desde el punto de vista práctico, a la necesidad de seguir trabajando para hacer llegar a los ciudadanos los posibles riesgos asociados a estos servicios (que, en muchos casos, se presentan de una forma sumamente atractiva e, incluso, como accesibles de forma gratuita) y la posible falta de recursos jurídicos que pueden sufrir las autoridades de protección de datos para defenderlos en el caso de que haya una utilización torticera de sus datos personales o, simplemente, un problema de seguridad que los haya comprometido. 


Finalmente, no quiero acabar esta entrada sin hacer mención a otro aspecto esencial que se debatió en el Foro y que creo tiene la mayor importancia: la formación de los profesionales en sus obligaciones de protección de datos, ya que se puso de manifiesto que, en muchas ocasiones, se aborda desde una perspectiva errónea.


En efecto, los profesionales de la salud no necesitan ni tienen por qué ser expertos en protección de datos sino que han de concentrarse en su labor primaria: la atención a sus pacientes, la investigación o la docencia. Por lo tanto, han de tener una formación básica en esta materia y, luego, corresponde a los gestores de los sistemas de salud y centros sanitarios el proporcionarles las herramientas necesarias para facilitarles el cumplimiento de las obligaciones que contraen en el tratamiento de los datos personales de los pacientes y, para el caso en que tengan dudas o necesiten ayuda, definir a quién deben recurrir y establecer procedimientos claros y sencillos para acceder a estos servicios.

Hay que ponerse a trabajar ya

Se acaba de celebrar en Pamplona el VIII Foro de Protección de Datos de Salud, organizado por la SEIS en colaboración con Navarra de Gestión para la Administración, S. A. (NGA) y, entre los muchos mensajes y conclusiones que podríamos extraer del mismo, quisiera comenzar fijándome en el requerimiento que hizo Jesús Rubí, Adjunto al Director de la AEPD, en su conferencia inaugural: ha llegado el momento de pasar del cumplimiento formal de la ley (en particular, de las medidas de seguridad) al cumplimiento real y material de las obligaciones que se imponen en la misma a los responsables de ficheros.


En efecto, en estos momentos, de acuerdo con todos los informes y encuestas a las que tenemos acceso, parece que ya se ha llegado (al menos en los grandes hospitales) a un nivel, si no excelente sí suficiente, en lo que respecta a las formalidades obligadas por la ley: declaración e inventario de ficheros, documentos de seguridad, etc. pero existe todavía una alarmante falta ¿de concienciación, de voluntad, de estrategia, de medios o de una mezcla de todo ello? para invertir realmente, de una forma coherente y sistemática, en los aspectos que indiscutiblemente pueden llevar a una mejora real de la seguridad de nuestros centros sanitarios: análisis de riesgos, realización de auditorías y adopción de las necesarias medidas correctoras, nombramiento de responsables de seguridad cualificados y con una dedicación exclusiva (o, al menos, relevante) a esta tarea, exigencia de responsabilidades a los directivos, profesionales y trabajadores del sistema sanitario.


Además, el cumplimiento sustantivo debe contemplar la rigurosa puesta en marcha de las medidas establecidas en el documento de seguridad así como establecer procedimientos y mecanismos de comprobación del grado de cumplimiento de las mismas y de la implantación de las medidas correctoras necesarias. Todo ello en un proceso continuo de mejora basado en el clásico Círculo de Deming: planificación de las actuaciones, implantación de lo planificado, verificación de su funcionamiento y actuación sobre las deficiencias. 


Ha llegado, pues, el momento de actuar, si no queremos que nuestros sistema sanitario quede expuesto a merced de los embates de los delincuentes, los aprovechados, los descuidados y los necios y, aunque las autoridades de protección de datos utilizan los medios a su alcance a través de mecanismos proactivos y reactivos, no pueden ser ellas las que se pongan manos a la obra. Corresponde a las administraciones públicas sanitarias y a los responsables de la sanidad privada ponerse, ya, ahora, manos a la obra y arreglar la situación.