fbpx

Protección de datos

¿Deben tener los servicios de salud su propio delegado de protección de datos?

Tribuna
Sanidad, tecnología, Internet

PRIMERO.- Como es bien sabido las distintas Comunidades Autónomas han creado diferentes Servicios de Salud que han recibido variadas denominaciones y han asumido como regla general la naturaleza de entes públicos de derecho privado (por ejemplo el Servicio Vasco de Salud y Catalán), o bien organismos autónomos administrativos (Andalucía, Aragón, Cantabria, o Castilla-La Mancha). Todos ellos presentan un común denominador, entidades dotadas de personalidad jurídica propia y plena capacidad de obrar, creadas con el fin de proveer los servicios y gestionar los centros y establecimientos destinados a la atención sanitaria que le sean asignados, así como desarrollar los programas de salud que se le encomienden con el objetivo final de proteger y mejorar el nivel de salud de la población (véase en este sentido, a modo de ejemplo, el art. 67 de la Ley 8/2000, de 30 de noviembre, de ordenación sanitaria de Castilla-La Mancha).

A tal efecto se han dotado de sus propias y complejas estructuras administrativas que pivotan a nivel periférico sobre las “Gerencias”, órganos administrativos que actúan bajo los principios de autonomía y desconcentración de la gestión, y a los que corresponde optimizar la gestión de los servicios y dirigir los recursos y centros que se les asignen.

Estas Gerencias, por tanto, son las responsables de garantizar la correcta gestión de la asistencia sanitaria en cualquiera de sus modalidades asistenciales, gestionando para ello abultadísimos presupuestos y enormes plantillas de profesionales (sanitarios y no sanitarios).

A su vez, a lo largo de estos últimos años hemos podido constatar como muchos de esos Servicios de Salud, conscientes de la enorme importancia que reviste en este ámbito tanto la seguridad de la información, como  la protección de datos personales,  junto a la ya señalada complejidad organizativa de su estructura, y el ingente volumen de información objeto de tratamiento- la mayoría de ella datos sensibles, como son los datos de salud-,  se ha ido dotando paulatinamente de su propia infraestructura organizativa. A modo de ejemplo cabría citar:

1.- El Servicio de Salud de Castilla-La Mancha (aprobada por su Directora-Gerente),

2.- Aragón (Orden de 16 de marzo de 2015, del Consejero de Sanidad, Bienestar Social y Familia, por la que se aprueba la Política de Seguridad de las Tecnologías de la Información y la Comunicación en el Servicio Aragonés de Salud y se crean el Comité de Seguridad de la Información y la figura del Responsable de Seguridad),

3.- Islas Baleares (Decreto 2/2018, de 23 de febrero, por el que se aprueba la política de seguridad de la información del Servicio de Salud de las Illes Balears)

4.- Orden 491/2013, de 27 de junio, por la que se aprueba la política de seguridad de la información en el ámbito de la Administración Electrónica y de los sistemas de información de la Consejería de Sanidad de la Comunidad de Madrid.

Es más, en el caso del Principado de Asturias, la muy reciente Resolución de 14 de noviembre de 2018, de la Consejería de Sanidad, por la que se crean el Comité de Seguridad de Sistemas de Información de Salud del Principado de Asturias (COSSISPA) y los Comités de Seguridad de Sistemas de Información de Salud de las Áreas Sanitarias, contempla expresamente la creación de un Delegado de Protección de Datos propio para el Servicio de Salud.

SEGUNDO.- Con la entrada en vigor tanto del Reglamento General de Protección de Datos, y posteriormente de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, surge y se regula una nueva figura, “el delegado de protección de datos”. La referida L.O. establece que, en todo caso, se debe designar delegado de protección de datos en “Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes” (Letra l) del art. 34.1), con única salvedad de los profesionales sanitarios que ejerzan la profesión a título individual.

La designación de este delegado corresponde únicamente al “responsable del tratamiento o encargados del tratamiento” (art. 34.1 de la L.O.), condición ésta que en los distintos Servicios de Salud suele recaer sobre la persona titular de la Dirección-Gerencia de la entidad de que se trate, de modo que la designación del delegado de protección de datos tan solo podría realizarla la persona titular del Servicio de Salud correspondiente.

Asimismo también se obliga a que, formando parte de los Comités de Ética de la Investigación de las Gerencias, haya un delegado de protección de datos, o en su defecto un experto en el RGPD (letra h) de la disposición adicional decimoséptima de la Ley).

Es más, el incumplimiento del deber de designar delegado de protección de datos, está tipificado como infracción administrativa grave en los siguientes términos: “El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/67 y el artículo 34 de esta ley orgánica”.

TERCERO.- A la vista de las previsiones normativas anteriormente transcritas, resulta jurídicamente cuestionable la implantación de un único delegado de protección de datos para todos los sectores de actividad administrativa de una Comunidad Autónoma, incluido el sector sanitario. Es más, un escrupuloso cumplimiento de normativa vigente exigiría proceder a la designación por parte de cada Servicio de Salud de su propio delegado de protección de datos para evitar, de este modo, incurrir en la comisión de la señalada infracción administrativa, y aun así quedaría por ver como se implementa la figura en los distintos centros sanitarios públicos.

Es cierto que la existencia de un único delegado de protección de datos para toda la Administración regional (incluida educación y sanidad), podría tener encaje conforme a lo previsto en el art. 37.3 del Reglamento General de Protección de Datos. Dicho precepto admite que se pueda designar un único delegado de protección de datos para varias autoridades u organismos públicos, pero cuando resulte oportuno “teniendo en cuenta su estructura organizativa y tamaño”. Ahora bien en el caso de los Servicios de Salud resulta evidente, a la luz de las consideraciones antes expuestas, que no concurre ninguna de las dos condiciones descritas para justificar la adopción de un modelo con un único delegado de protección de datos para toda la Comunidad Autónoma.

¿Estamos ante una cuestión meramente organizativa que habría que abandonar a la decisión soberana de cada Administración? No lo creo, aunque en el momento actual parece existir cierta disparidad en cuanto a los modelos de delegados de protección de datos existentes en el conjunto del Sistema Nacional de Salud; así  mientras hay CCAA como Andalucía, Madrid o Asturias con su propio DPD, otras como Euskadi o Castilla-La Mancha han optado por un modelo generalista, un único DPD para el conjunto de la Administración autonómica, por lo que sin duda sería deseable un pronunciamiento claro por parte de la Agencia Española de Protección de Datos.

En todo caso parece innegable que: a) la singularidad de los datos de salud, b) la complejidad organizativa del servicio de salud, c) el volumen de información que tratan las Gerencias y d) las previsiones legales analizadas, son argumentos más que suficientes para apostar por la existencia de un DPD para sanidad.