Archivo por meses: enero 2011
La última norma social de la legislatura que desarrollará derechos constitucionales, el anteproyecto de Ley Integral para la Igualdad de Trato y la No Discriminación, ha sido presentada por el Gobierno en este mes. La iniciativa facilitará la lucha contra la discriminación por distintas causas, creará un organismo estatal que aglutinará las funciones y recursos en torno a esta materia e incluirá un nuevo régimen sancionador. Así, discriminar a alguien podrá acarrear multas de hasta 500.000 euros en los casos más graves.
La ley, que está previsto que entre en vigor en 2013, no conllevará, en cualquier caso, una reforma del Código Penal. El anteproyecto que coordinará el Ministerio de Sanidad, Política Social e Igualdad arranca con tres grandes objetivos: la ampliación de los recursos jurídicos de quienes sean discriminados, la identificación y el estudio de las causas de discriminación, y la sensibilización de la ciudadanía.
Tras la primera lectura del anteproyecto de Ley, que tiene como objetivo de forma simple el que «nadie pueda sentirse humillado» por razones de nacimiento, raza, sexo, convicción, discapacidad, edad, religión, identidad sexual o enfermedad, la valoración general ha sido especialmente controvertida, entre otras cuestiones en lo concerniente al art. 28.
El primer apartado del artículo 28 del texto establece que «cuando el interesado alegue discriminación y aporte un principio de prueba sobre su existencia, corresponderá a la parte demandada o a quien se impute la situación discriminatoria la aportación de una justificación objetiva y razonable, suficientemente acreditada, de las medidas adoptadas y su proporcionalidad».
Es lo que en términos jurídicos se llama «inversión de la carga de la prueba». En principio, el que alega algo en un tribunal tiene la obligación de demostrarlo. Solo en algunos casos, en los que se entiende que las partes en conflicto no tienen las mismas armas, para defender sus posiciones y que el que presenta la demanda está en clara desventaja, se le exime de la obligación de probar su acusación. Se trata de un principio consolidado en el llamado Derecho de daños, especialidad que ocurre en el ámbito del Derecho civil para la ordenación de las responsabilidades en materia sanitaria. Es el profesional sanitario quien debe probar que la causa de lo que le ha pasado al paciente fue otra.
Ahora la futura norma, según el Anteproyecto de ley, castigará todo tipo de discriminaciones directas e indirectas, las inducciones, órdenes o instrucciones de discriminar, la discriminación por asociación, por error o el acoso discriminatorio. Los motivos pueden ser el sexo, la religión, el estado de salud, los de identidad sexual y enfermedad, que se suman a los recogidos en el artículo 14 de la Constitución Española (CE) y a los incluidos en la normativa comunitaria y también cuestiones que en estos momentos son difíciles de probar ante los tribunales como la edad o el aspecto físico, o cualquier «otra condición o circunstancia personal o social». Las decisiones de los jueces y tribunales requieren la apreciación y valoración de circunstancias que, a veces, no están en disposición de los propios perjudicados. Por eso, la doctrina y jurisprudencia más avanzadas eximen al demandante de tener que aportar la prueba de la conducta del demandado si las circunstancias lo hacen imposible o muy difícil.
El no poderse acoger a lo dispuesto en el Art.24 de la Constitución Española, que reconoce el derecho a la presunción de inocencia ha recibido numerosas críticas desde todos los sectores y especialmente los jurídicos al entender que dar facilidades para la presentación de denuncias sin pruebas -y por tanto, incluso falsas- contribuiría no solo a colapsar los tribunales, sino a utilizarlos como herramienta de extorsión.
Publicado en Redacción Médica el martes, 25 de enero de 2011. Número 1382. Año VII.
Una de las obligaciones que exige la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal es la de implementar unas medidas técnicas y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida o accesos no autorizados. Las medidas de seguridad están recogidas en el Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la citada Ley y una de ellas es la obligación de todas las organizaciones de disponer de un Documento de Seguridad.
En este documento deben quedar reflejadas las medidas de seguridad que la organización debe cumplir, que en el caso de hospitales y centros sanitarios serán de nivel alto puesto que se recaban datos de salud de los pacientes. Asimismo, se deben reflejar los protocolos adoptados a nivel interno para llevar a cabo las medidas de seguridad a las que están obligados, es decir, se deberán definir las políticas internas para la realización de copias de seguridad, para la asignación de contraseñas, para la destrucción del papel, etc…
En concreto, el artículo 88 del Reglamento que desarrolla la LOPD, establece que el Documento de Seguridad, deberá recoger como mínimo los siguientes aspectos:
Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
Procedimiento de notificación, gestión y respuesta ante las incidencias.
Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
Si bien se trata de un documento interno de cada organización, puede ser requerido por la Agencia Española de Protección de Datos y en este caso deberá ser puesto a su disposición, motivo por el que su contenido debe estar siempre actualizado de manera que responda a la situación real del centro sanitario.
A efectos prácticos, la única forma de garantizar que este Documento se mantiene actualizado es asignar esta tarea a una persona de su organización, que en caso de ser un fichero que deba cumplir las medidas de seguridad de nivel medio o alto, será el responsable de seguridad. Esta figura, de conformidad con el artículo 3 del Reglamento que desarrolla la LOPD tiene la función de coordinar y controlar las medidas de seguridad aplicables. Así, se encargará de llevar un registro de todas las incidencias del personal con acceso a los datos, de verificar que se dispone de protocolos internos para el cumplimiento de las medidas de seguridad y que estos se llevan a cabo o de analizar los resultados obtenidos en las auditorías técnicas bienales, entre otras tareas.
Asimismo, cuando se produzcan cambios relevantes en la organización, en los sistemas de información o en los criterios organizativos de la información, se deberá proceder a la revisión del Documento de Seguridad y a su actualización.
Por tanto, para el correcto cumplimiento de la normativa de protección de datos no sólo es necesario cumplir con las medidas de seguridad que el Reglamento exige, sino que éstas deben quedar recogidas y definidas en el Documento de Seguridad, documento que debe mantenerse actualizado en todo momento y que puede ser requerido por la Agencia Española de Protección de Datos.
Publicado en Redacción Médica el martes, 20 de enero de 2011. Número 1379. Año VII.
No parece tampoco normal que como parte del plan de ajustes anunciado el pasado 2 de diciembre en el Congreso, hayan aumentado las ventas de algunas marcas de cigarrillos baratas, resultando sorprendente que mientras el precio medio de la mayor parte de cajetillas de tabaco ha subido, el de las nuevas marcas más baratas se mantenga estable.
Tampoco va a ser normal que no se haya procedido a la revisión obligada que debería hacerse tanto del Estatuto de los Trabajadores como a la mayor parte de Convenios Colectivos, si tenemos en cuenta lo dispuesto en el Art. 34.4 regulador de las pausas durante la jornada de trabajo:
Pensemos en el tiempo de duración de bajar a la calle y consumo de un cigarrillo…
1.ª– Que la realice un agente de la autoridad el cual posee lo que denominamos «presunción de veracidad» y seguirá el trámite expediente y descargo preceptivo del procedimiento administrativo.
2.ª– Que en el caso de que estas denuncias sean realizadas por cualquier ciudadano se han de someter al procedimiento perteneciente a las denominadas denuncias voluntarias que todo ciudadano tiene derecho a efectuar, y no como un trámite de la instrucción de un procedimiento que sólo la autoridad por si puede realizar.
En el procedimiento para las denuncias voluntarias efectuadas por los particulares se precisa una ratificación del denunciante, y la aportación de las pruebas pertinentes con el fin de acreditar que el hecho denunciado es cierto. No olvidemos que rige el Principio de Inocencia en favor del denunciado del Artículo 24. 2 de nuestra carta Magna y no el polémico pseudo Principio de Presunción de Veracidad de la denuncias de los Agentes de la Autoridad.
Publicado en Redacción Médica el Jueves, 13 de enero de 2011. Número 1374 Año VII.
La Agencia de Protección de Datos de la Comunidad de Madrid ha resuelto recientemente la denuncia interpuesta a un Hospital del Servicio Madrileño de Salud por el familiar de un fallecido que solicitó su historia clínica y le fue entregada documentación perteneciente a otros pacientes. Esto es, se solicita un historial clínico de conformidad con el artículo 18 de la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y al entregarlo, se adjunta documentación que pertenece a otros pacientes. Este hecho lleva a la familia a denunciar al hospital por entender que no se están cumpliendo las medidas de seguridad adecuadas que garanticen la confidencialidad de los datos sanitarios de los pacientes.
¿Qué consecuencias puede tener una conducta de este tipo desde el punto de vista de la normativa de protección de datos? En el caso al que hacemos alusión, la Agencia de Protección de Datos de la Comunidad de Madrid ha determinado que esta conducta conlleva una vulneración de los artículos 4 y 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como una infracción grave en el artículo 44.3.d) de la citada Ley: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”.
Entiende la Agencia madrileña que los hechos se han debido a un posible fallo en la gestión de la documentación entregada por el Hospital a la denunciante, al incluir entre la información clínica del fallecido documentos relativos a otros pacientes, dando como resultado la vulneración del principio de calidad en el tratamiento de los datos de los pacientes incluidos en el fichero de Historias Clínicas del Hospital, previsto en el referido artículo 4 de la LOPD que establece que los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado; y a un posible error en la organización y gestión de la documentación incluida en el fichero de Historias Clínicas, cuya consecuencia fue la entrega a la familia del paciente fallecido de datos relativos a otros pacientes del hospital con los que no guardaban relación familiar alguna, lo que indica un fallo de seguridad, vulnerando lo previsto en el artículo 9 de la LOPD, que dispone que el responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Si bien se determina que las medidas de seguridad adoptadas por el Hospital pueden ser adecuadas a lo exigido en la normativa de protección de datos, el propio centro reconoce la entrega de documentación errónea, considerándola como un hecho aislado y excepcional. Sin embargo, manifiesta la Agencia, que este hecho no deja de constituir una vulneración del principio de calidad de los datos y del principio de implementación de las medidas de seguridad.
En cuanto a la sanción impuesta, en este caso, al tratarse de una Administración Pública se limita declarar la vulneración y comunicarla a las entidades responsables así como al Defensor del Pueblo, pero si se tratara de un hospital privado estaríamos hablando de una multa que oscilaría entre los 60.000 y los 300.000 euros. Es por esto que no es suficiente con implementar las medidas de seguridad, sino que es necesario formar y concienciar al personal para que en el manejo diario de la documentación clínica sean minuciosos y conozcan los riesgos que puede conllevar.
Publicado en Redacción Médica el martes, 11 de enero de 2011. Número 1372. Año VII.