El nuevo escenario que nos plantea la COVID-19 ha ocasionado una gran transformación digital en varios sectores empresariales que han acelerado la implantación de nuevas tecnologías para la prestación de sus servicios y la atención de sus clientes.
En ese sentido, el sector salud, detectando la necesidad de los pacientes, ha precipitado la puesta en marcha de las consultas médicas en línea, conocido como telemedicina.
La Organización Mundial de la Salud (en adelante OMS) define la telemedicina como “el suministro de servicios de atención sanitaria en los que la distancia constituye un factor crítico, realizado por profesionales que apelan a tecnologías de la información y de la comunicación con objeto de intercambiar datos para hacer diagnósticos, preconizar tratamientos y prevenir enfermedades y heridas, así como para la formación permanente de los profesionales de atención de salud y en actividades de investigación y evaluación, con el fin de mejorar la salud de las personas y de las comunidades en que viven”.
Por lo tanto, la telemedicina se presenta como un instrumento clave para la prestación de la asistencia sanitaria porque permite una mayor accesibilidad y eficiencia del servicio asistencial.
Sin embargo, es importante recordar que la telemedicina no deja de ser un método de transmisión de datos de carácter personal y, en particular de datos de salud, por lo que conlleva una especial protección por parte del personal sanitario.
Nuestro actual marco normativo, no contiene una regulación específica sobre la telemedicina, sin embargo, por sus particularidades debemos remitirnos a la Ley 34/2002, de 11 de julio, de Servicio de la Sociedad de la Información y Comercio Electrónico (LSSI), así como a la normativa sanitaria, en particular la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente (LAP).
Igualmente, para la regulación de los datos de salud, nos debemos remitir al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) y a la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
El RGPD establece con carácter general la prohibición del tratamiento de datos de salud, salvo que concurra una de las circunstancias que recoge su artículo 9.2, como son el consentimiento explícito del interesado, el cumplimiento de obligaciones y el ejercicio de derechos en el ámbito del Derecho laboral y de la seguridad y protección social, para proteger intereses vitales, por razones de un interés público esencial, para fines de medicina preventiva o laboral, por razones de interés público en el ámbito de la salud pública, con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos.
Asimismo, nuestra normativa vigente recoge la obligación de los responsables y encargados de tratamiento de implementar las medidas de seguridad necesarias para garantizar la integridad, confidencialidad y disponibilidad de los datos de carácter personal, así como los derechos y libertades de los interesados.
En ese sentido, recomendamos una serie de cuestiones para tener en cuenta en el tratamiento de datos de salud en la telemedicina:
1) Verificar las medidas de seguridad y confidencialidad de las plataformas y/o aplicaciones móviles a utilizar para realizar las consultas telemáticas. El artículo 32 RGPD recomienda aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2) Utilizar plataformas especializadas y no plataformas genéricas como Zoom, Skype o aplicaciones de mensajería instantánea como WhatsApp, que pueden presentar vulnerabilidades y por tanto ocasionar brechas de seguridad.
3) Elaborar un aviso legal que contenga toda la información necesaria para los destinatarios del servicio establecida en el artículo 10 de la LSSI.
4) Elaborar los términos y condiciones de uso de la plataforma y/o aplicaciones móviles con una descripción detallada del servicio a prestar y los derechos y responsabilidades de los usuarios de dicha plataforma.
5) Elaborar una política de privacidad que contenga toda la información respecto a la recopilación de datos, así como los tratamientos, finalidades, bases legitimadoras, destinatarios y plazos de conservación, según lo establecido en el artículo 13 del RGPD.
6) En caso de ofrecer videollamada, se deberá informar al paciente previamente para el tratamiento de sus datos de imagen y voz.
Como vemos, las nuevas tecnologías están muy ligadas al sector salud y por lo tanto los centros sanitarios y los profesionales de la salud deben adoptar medidas de seguridad que permitan garantizar la privacidad y confidencialidad de los datos personales de sus pacientes.
Para poder llevar a cabo estas garantías, desde Áudea recomendamos, analizar y valorar detenidamente todas estas implicaciones antes de iniciar este tipo de tratamientos, con su correspondiente análisis de impacto para la privacidad, tal y como establece la legislación vigente al tratarse de datos especialmente protegidos junto con el uso de nuevas tecnologías.
Mariola Pineda
Departamento Legal
Áudea Seguridad de la Información