Brechas de datos personales en el sector de la salud
Última modificación:
Una brecha de datos personales puede implicar algo más que el acceso por terceros ajenos a la organización a la información personal, Será también una brecha de datos personales el acceso no autorizado realizado por un miembro de la propia organización, el acceso autorizado cuando implique un tratamiento adicional o un exceso de sus funciones, además de la destrucción, pérdida o alteración accidental o ilícita de datos personales. En definitiva, cualquier incidente en un tratamiento de la entidad que trate datos personales, si afecta a los derechos y libertades de los interesados con relación a la protección de sus datos de carácter personal, será considerado como una brecha de datos personales.
De acuerdo con los últimos datos del segundo semestre de 2021, el 15% de las notificaciones de brechas recibidas en la Agencia las realizaron responsables del tratamiento cuyo sector de actividad principal es el asistencial en el ámbito de la salud. En este sentido, mensualmente se recibe de media al menos una brecha que ha afectado a más de 200.000 personas en este sector. Ese porcentaje llega al 25% si se tienen en cuenta las brechas en otros sectores de actividad que tratan datos en el ámbito de la salud, como por ejemplo en el sector de los seguros de sanitarios. En definitiva, las brechas de datos personales se producen en tratamientos del sector salud con más frecuencia de la deseada y tienen un alto impacto personal y social.
Obligaciones del responsable del tratamiento
De forma directa y explícita, el RGPD establece tres obligaciones, en sus artículos 33 y 34, con respecto a una brecha de datos personales que afecte o suponga un riesgo para los derechos y libertades de los ciudadanos:
- Primero. La obligación de notificar la brecha a la autoridad de control. El cumplimiento de esta obligación conlleva dos beneficios:
- Un beneficio para la sociedad, ya que permite la creación de una sociedad resiliente, en particular en el marco de tratamientos con gran impacto social como son los realizados en el ámbito de la salud, gracias al hecho de compartir información a través de la Autoridad de Control adquirir un conocimiento valioso sobre los riesgos que comportan los tratamientos en el ámbito de la salud, su impacto real y cómo mitigar esos riesgos. Conocimiento que se comparte con responsables y encargados por medio los informes mensuales sobre notificaciones de brechas y de guías y entradas específicas sobre brechas de datos personales en el blog de la AEPD.
- Un beneficio directo para la entidad, una vez que el responsable comunica las brechas en tiempo y forma, puede demostrar a la Autoridad de Control conocimiento de sus obligaciones y diligencia en el tratamiento de datos personales, al haber sido capaz de detectar y reaccionar ante la brecha de datos personales.
- Segundo. La obligación de comunicar la brecha a las personas afectadas en caso de que suponga un alto riesgo para ellas. Esta obligación tiene dos beneficios obvios:
- Un beneficio para el sujeto de los datos. Este, al conocer qué ha sucedido con sus datos, puede tomar conciencia y ejecutar medidas personales para protegerse de los posibles impactos que pueda tener la brecha para sus derechos y libertades.
- Un beneficio para lo organización. Una organización que reacciona de forma ágil y transparente ante una potencial amenaza contra sus empleados y clientes es una organización que genera confianza y seguridad. No hay nada peor que los interesados tengan conocimiento a través de terceros de que sus datos, que ha confiado a una entidad, puedan haber sido filtrados de forma incontrolada, o ser usados en su contra sin tener ningún aviso previo.
- Tercero. La obligación del responsable actuar más allá de la notificación y la comunicación de la brecha producida. El responsable tiene la obligación documentar cualquier brecha de los datos personales, incluidos los hechos relacionados con ella, los efectos que ha causado la brecha y las medidas correctivas adoptadas. Esto último implica, además, realizar un análisis y gestión del incidente que implique las necesarias modificaciones del tratamiento y sus garantías para evitar que se vuelva a producir la brecha.
Hay que destacar que las obligaciones de notificación a la Autoridad de Control y de comunicación a los interesados se ha de realizar, cuando proceda, sin dilación indebida. Es decir, que cuando sea obligatorio proceder a la notificación y/o comunicación esta se ha de ejecutar a la mayor celeridad sin que hayan de interferir en el proceso de ejecución otras consideraciones que la de proteger los intereses de los interesados y de la sociedad en su conjunto. Además, en el caso de las notificaciones a la Autoridad de Control, esta notificación no ha de exceder las 72 horas desde el conocimiento de la brecha por el responsable (para más detalle consultar el RGPD art.33.4, 34.3 y la Guía para la Gestión de Brechas de Datos Personales).
Medidas y garantías
Como todos los requisitos establecidos en el RGPD, y atendiendo al principio de responsabilidad proactiva, estas tres obligaciones son requisitos de mínimos. El art. 24 del RGPD establece que la dirección de la entidad aplicará, en sus tratamientos, medidas apropiadas a fin de garantizar y poder demostrar el cumplimiento, teniendo en cuenta naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. Además, cuando sean proporcionadas en relación con las actividades de tratamiento, se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
Por lo tanto, el RGPD está señalando que la entidad que implemente tratamientos en el sector salud tendrá la obligación de adecuar medidas y garantías atendiendo al riesgo de sus tratamientos. En el caso de tratamientos de salud se van a presentar factores de riesgo que van más allá de que se traten categorías especiales de datos. Existen otros factores de riesgo que dependerán de la naturaleza de los tratamientos de salud (eHealth, dispositivos IoT o móviles, almacenamiento en sistemas Cloud, etc.), del ámbito o extensión del tratamiento (en cuanto a las categorías de datos de salud, genéticos, raciales, vida u orientación sexual, geolocalización, hábitos; en cuanto al conjunto de población afectada, en cuanto a la vulnerabilidad de los colectivos tratados, etc.), en cuanto a los fines (asistencia directa al interesado, investigación, estadísticas, marketing, gestión de seguros, etc.) y el contexto del tratamiento (brechas producidas en el sector salud, situaciones de crisis o quiebra de las garantías jurídicas básicas de protección de datos en el país donde el responsable tiene un establecimiento, nuevas sensibilidades sociales, etc.). En la guía de Gestión del riesgo y evaluación de impacto en tratamientos de datos personales se puede encontrar una orientación de en qué medida un tratamiento en el entorno de salud debe tener en cuenta distintos factores para evaluar el riesgo.
En esa medida, la forma más efectiva para el cumplimiento de las obligaciones establecidas en el RGPD con relación a las brechas de datos personales es que el responsable disponga de una gestión de incidentes que incorpore de forma integrada la gestión de las brechas de datos personales, a un nivel adecuado, probado, proporcional al tratamiento y a sus implicaciones. La gestión de las brechas de datos personales ha de estar procedimentada y sometida al asesoramiento y supervisión de los Delegados de Protección de Datos. El DPD es una figura clave en la gestión de brechas de datos personales, tanto en la implantación como en la ejecución de los procedimientos de gestión de brechas y, además de su independencia respecto a los intereses del responsable, ha de tener conocimiento especializado de los tratamientos del responsable (es decir, a nivel jurídico, organizativo, técnico y, en caso de determinados tratamientos de salud, científico que sea pertinente). El DPD ser el punto de contacto con la Autoridad de Control en caso de materialización de una brecha. Finalmente, el DPD ha de ser consciente del contexto en el que se están desenvolviendo actualmente los tratamientos de datos de salud y los riesgos que esto produce a los tratamientos del responsable al que asesora.
El responsable tiene la obligación de ser consciente de cómo ha evolucionado el contexto de brechas de datos personales en el ámbito de la salud. En particular, los ciberincidentes de tipo ransomware que se han multiplicado en los últimos años, y que afectan desde hospitales a entidades aseguradoras en este sector. Actualmente, el ransomware en tratamientos de salud no se limita a comprometer la disponibilidad de los sistemas y los datos, sino que la confidencialidad se ve amenazada al ser una práctica habitual exfiltrar los datos para acabar publicados o vendidos en Internet. Los responsables de tratamientos de salud han de tener en cuenta este contexto e incorporar medidas técnicas y organizativas que permitan garantizar la disponibilidad de datos y servicios, minimizar el impacto personal y social, así como minimizar o evitar la exfiltración de datos.
En el mismo sentido, en el contexto de brechas de datos personales en el ámbito de la salud, se están produciendo brechas de confidencialidad causadas por el acceso indebido de miembros de la organización a datos de la historia clínica de pacientes, el envío de documentación con datos de salud o datos genéticos a destinatarios incorrectos, la destrucción incorrecta de datos en formato papel o incluso el extravío de muestras biológicas.
De nuevo, incidir en la obligación del responsable de conocer las brechas que se están produciendo en el contexto de los datos de salud, implicar a un DPD con recursos y conocimientos adecuados, la necesidad de plantear escenarios de brechas de datos personales para así implantar las medidas técnicas y organizativas apropiadas al nivel de riesgo de los tratamientos destinadas a evitar y/o minimizar el impacto de las brechas, y definir e implantar planes de contingencia destinados a evitar y/o minimizar el impacto de las brechas sobre los derechos y libertades de las personas cuando estas sucedan.