El Consejo de Europa fijó el 28 de enero como el Día Europeo de la Protección de Datos en una resolución de 26 de abril de 2006 y en 2018 entró en vigor para todos los países de la Unión Europea el Reglamento General de Protección de Datos (GDPR), normativa caracterizada por sus altas multas por incumplimiento, aunque con el principal objetivo de informar y concienciar sobre los derechos y obligaciones como usuarios de Internet.
El uso habitual de internet y de las redes sociales, con su velocidad de difusión en un mundo globalizado y con constantes avances tecnológicos en las comunicaciones, hacen que los datos transiten de forma indiscriminada y rápida. Estos avances suponen también un punto negativo, que es más facilidad para ciberataques.
El artículo 5.f del Reglamento General de Protección de Datos (RGPD) señala que los datos personales han de ser tratados de tal manera que se garantice una seguridad adecuada, lo que incluye tratamientos de datos no autorizados o ilícitos, la pérdida de información, robo o destrucción accidental.
La Ley señala que se han de adoptar las medidas técnicas y organizativas necesarias para garantizar la integridad y confidencialidad de la información. Se refuerza el derecho al olvido establecido por el Tribunal de Justicia de la Unión Europea mediante sentencia de 13 de mayo de 2014 en el famoso procedimiento contra Google.
Por su parte, el artículo 5 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) señala que están sujetos al deber de confidencialidad tanto los responsables como los encargados del tratamiento, así como cualquier persona que intervenga en cualquiera de las fases de intercambio de información.
Conscientes del objetivo de preservar la confidencialidad de los datos personales, primordialmente los datos de salud que manejamos, EMESA Prevención se ha adaptado a la citada Ley que entró en vigor en 2018 y tiene contratada una empresa externa que nos audita anualmente.
Con respecto a la Medicina del Trabajo, existen datos empresariales de la forma de ejecutar los trabajos, que pueden compartirse con los técnicos, pero no aquellos datos personales relacionados con la Vigilancia de la Salud, porque están considerados como datos especialmente sensibles, por lo que el principio de confidencialidad cobra especial importancia.
El sector sanitario es especialmente atractivo a ciberataques por el valor de sus datos, además es vulnerable porque los hackers se ceban en él, dado el atractivo y la facilidad que tienen para vender los datos personales de salud. El crecimiento rápido del manejo de la información hace que perdamos o minimicemos la seguridad. Durante la pandemia se han multiplicado muchas vías de entrada de virus informáticos con el teletrabajo y accesos a internet desde wifis no seguras y dispositivos móviles no controlados debidamente.
Pero también la Ley afecta a los profesionales, que no pueden entrar en la historia clínica sin consentimiento del interesado, excepto para casos muy concretos y tipificados. Si se produjera esto, habría un acceso injustificado a la historia clínica. Este tipo de acceso está tipificado en el Código Penal como descubrimiento y revelación de secretos con penas de multa, suspensión de empleo y sueldo, inhabilitación profesional y hasta 5 años de cárcel en los casos más graves. Aunque en casos que no revistan gravedad, se puede interpretar como una simple sanción administrativa.
Datos de manejo diario entre la documentación de PRL:
Cuáles son los datos de carácter personal que forman parte de la documentación que los técnicos de prevención y que debemos preservar, especialmente los dos primeros, que, al ser relativos a la salud, se consideran datos sensibles del máximo nivel.
- Aptos de vigilancia de la salud y expedientes médicos (en caso de asumir la VS).
- Historia clínica del trabajador (en caso de asumir la especialidad de Medicina en el Trabajo).
- Títulos de formación.
- Investigación de accidentes.
- Evaluaciones de riesgos, trabajadores sensibles, vulnerables, embarazadas. Etc.
- Registros de entrega de EPIs.
- Documentación de Coordinación de Actividades Empresariales de diferentes empresas (títulos de formación, aptos, etc.).
- Documentación de PRL de las ETTs (contrato de puesta a disposición, certificados de aptitud y de formación).
Documentos de PRL susceptibles de contener datos personales:
- El nombre, DNI, etc.
- La dirección, mail y el número de teléfono.
- Los registros sanitarios.
- Los consentimientos informados.
- Los ingresos y la información bancaria, etc.
Consideraciones de los Centros de Salud en materia de ciberseguridad
- Los centros médicos en materia de ciberseguridad deben tener un Plan de Contingencia que minimice el impacto y prevea la pérdida de datos sensibles, haciendo copias guardadas en otro servidor, o desconectada de la red, etc.
- Normalmente los ataques entran por los accesos remotos, que tienen que estar muy bien protegidos y que cuenten con un doble factor de verificación (doble contraseña).
- El teletrabajo, conectado a unas Wifis inseguras, da lugar a brechas de seguridad.
- Hay que contar con la obsolescencia de los sistemas informáticos. También que las versiones de tu directorio y servicio de correo estén actualizadas
- Por último, hay que destacar que la sensibilización y la concienciación de los usuarios es fundamental. Sin su colaboración en aplicar las medidas y normas de uso informático no vale para nada el tomar medidas, la mayoría de las veces muy costosas.
En EMESA Prevención, preocupados por el cumplimiento legal de la protección de datos, tratamos de implementar las anteriores medidas de Ciberseguridad y hacemos hincapié en la formación de los usuarios, desarrollando cursos anuales obligatorios para todo el personal, informando y recordando la importancia de trabajar bien en esta materia.
