Las residencias de mayores tratan datos personales identificativos de los residentes, como pueden ser sus nombres y apellidos, documentos de identidad, números de teléfono, datos bancarios, e incluso también datos de contacto de sus familiares.
El principal riesgo de protección de datos en las Residencias de Mayores deriva del tratamiento de categorías especiales de datos personales como son los datos de salud (enfermedades, patologías, etc.), respecto de los cuales se debe tener especial diligencia y un mayor nivel de protección.
Otra de las especialidades con la que nos encontramos en las residencias de ancianos es que muchos de ellos no tienen plena capacidad de obrar o tienen su capacidad modificada judicialmente.
En estos casos, sería el representante legal del residente el encargado de obrar en nombre de este y a quien deberán dirigirse las debidas informaciones.
OBLIGACIONES A CUMPLIR EN LAS RESIDENCIAS DE MAYORES
Seguidamente te contamos que debes implementar en la Residencia para cumplir con la protección de datos:
1. Registro de actividades de tratamiento
Lo primero que debes tenerse en cuenta es qué tipo de datos manejas y qué cantidad.
Debes responder a preguntas como:
- Tipo de datos que recopilas
- Finalidad del tratamiento
- Política de almacenamiento de esos datos
- Si cedes esos datos o los transfieres fuera de nuestro país
- Medios de tratamiento
Es decir, que las residencias de mayores deben llevar a cabo un registro de actividades del tratamiento en el que debe constar los fines del tratamiento de los datos, qué categorías de interesados se verán afectados, qué categorías de datos personales van a tratarse (en este caso deberían incluirse también los tratamientos de datos sensibles relativos a la salud), y posibles destinatarios, entre otros aspectos.
2. Análisis de riesgos
El tratamiento de datos personales relativos a nuestros mayores por parte de las residencias entraña un alto riesgo para sus derechos y libertades de personas que pueden ser consideradas en situación de vulnerabilidad.
Es por ello que la residencia debe realizar un análisis de riesgos para identificar los tipos de riesgos y amenazas a los que están expuestos los datos personales, y establecer controles y medidas de seguridad adecuadas que minimicen esos riesgos y garanticen la confidencialidad.
Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales.
3. Evaluación de impacto
Además, al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados.
Las residencias geriátricas realizan un tratamiento de categorías especiales de datos ya que manejan datos de salud de sus residentes. Por tanto, estás obligado a realizar esa Evaluación de impacto.
4. Contratos con terceros
Las residencias de la tercera edad se relacionan también con terceros que disponen de algunos de los datos de los usuarios.
Es por ello que debes identificar adecuadamente a las empresas externas que te prestan servicios con tratamiento de datos personales por cuenta del responsable (que en este caso, es la residencia), como por ejemplo las farmacias, las gestorías, la empresa de mantenimiento informático, las empresas de videovigilancia, entre otras.
Con ellas deberá firmar los correspondientes contratos de encargado del tratamiento donde deberá recogerse, entre otros aspectos, el objeto, duración, naturaleza y finalidad del tratamiento, tipo de datos personales, categorías de interesados, obligaciones y derechos.
De igual forma, deberán instar a estas empresas externas a que acrediten un adecuado nivel de cumplimiento de la normativa de protección de datos.
Respecto a las farmacias, en los casos en que las residencias gestionen la medicación de sus residentes, implica necesariamente un traspaso de información sensible de la Residencia a la Farmacia, con motivo de la entrega de recetas o informes médicos indispensables para la dispensación.
Las residencias deberán informar sobre estas comunicaciones de datos y contar con el consentimiento de los pacientes o de sus representantes legales para estas cesiones, o acreditar que cuentan con poder suficiente para la gestión de los medicamentos de residentes y de la facturación de los mismos.
5. Consentimiento de residentes
La residencia deberá recabar el consentimiento expreso de sus residentes (o de sus representantes legales), siendo estos previamente informados de manera adecuada sobre el tratamiento de sus datos, así como de los derechos que les asisten en materia de protección de datos de carácter personal y las vías por las cuales pueden ejercerlos.
Se recomienda aprovechar el momento de ingreso del residente en la institución para que este o el representante legal, en su caso, otorgue poder suficiente para, entre otros aspectos, la gestión de su medicación, y para autorizar el tratamiento de sus datos personales necesarios para la adecuada prestación de los servicios.
Cuando el residente no cuente con plena capacidad de obrar, las debidas informaciones deberán dirigirse a su representante legal, que será quien autorice y consienta el tratamiento de los datos personales en nombre y representación de aquel.
Este consentimiento puede solicitarse de dos formas:
- Si el cliente/residente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En caso de que el paciente facilite sus datos personalmente en el centro, debe firmar un documento en el que se le informe sobre:
- responsable del tratamiento,
- finalidad para la que se van a usar los datos,
- si se van a ceder a terceros y
- el medio por el que puede ejercer sus derechos ARCO.
6. Derechos de los usuarios
Estos son los derechos que pueden ejercer los interesados:
- acceso a los propios datos personales;
- rectificación si los datos son inexactos;
- supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
- limitación del tratamiento;
- portabilidad de los datos;
- oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
- a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
En la residencia de ancianos debes proveer mecanismos para que los interesados puedan ejercer sus derechos.
Estos medios deben indicarse en el documento de consentimiento a firmar por los residentes y en la política de privacidad de la página web.
7. Contratos con empleados
Los empleados de la residencia que traten datos personales para el desempeño de sus funciones deben ser debidamente formados e informados sobre sus obligaciones y derechos en materia de protección de datos.
La residencia deberá firmar con ellos compromisos de confidencialidad y cumplimiento del deber de secreto.
También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.
En un centro geriátrico, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con familiares de los residentes y proveedores.
Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
8. Notificar brechas de seguridad
Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.
¿A quién?
Tanto a los afectados como a la AEPD.
En el caso de que se dé una situación de ciberataque o infracción en la residencia de ancianos, lo ideal es que estés prevenido con un plan de respuesta ante incidentes.
Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.
Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.
9. Nombrar un DPD
Puede ser necesario designar un Delegado de Protección de Datos (DPD) en la residencia, en atención al volumen de datos tratados, en el caso de que se realice un tratamiento a gran escala de categorías especiales de datos personales, como son los datos de salud.
Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.
El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.
OTROS TEMAS A TENER EN CUENTA
Información a los familiares acerca de los residentes
Si la persona afectada tiene capacidad plena de obrar sería dueña de sus propios datos y la cesión de los mismos debe realizarse mediante consentimiento expreso y escrito.
De no ser así, serán sus representantes legales quienes accedan a dicha información, ya que actúan en nombre y representación del afectado.
¿Cuánto tiempo puedo guardar los expedientes de los residentes?
El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.
En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.
¿Puedo publicar fotografías de los residentes realizadas en actividades en el centro?
No, no puedes publicarlas.
Salvo que tengas el consentimiento expreso de los residentes o de sus representantes legales.
La publicación en una página web de las fotos constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”. Y requiere el consentimiento del afectado.
¿Qué tengo que hacer si instalo cámaras de videovigilancia?
Si en tu residencia de mayores instalas un sistema de Vídeo Vigilancia también debes cumplir los siguientes requisitos:
- Instalar carteles informativos en todas las entradas al centro,
- incluir esas grabaciones en el Registro de actividades de tratamiento,
- no guardar grabaciones después de 30 días,
- las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local,
- si tenemos una pantalla donde vemos las grabaciones, ésta solo debe estar visible por personal autorizado y
- debemos tener un Impreso donde informe de:
- existencia de las grabaciones,
- fin para el que se recogen dichas grabaciones,
- posibilidad de que un cliente pueda ejercer sus derechos y
- identidad del responsable de esta información.
¿Puedo contratar una empresa externa para destruir los historiales clínicos?
Sí puedes.
Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este.
El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.
Derecho de acceso a historia clínica del residente
El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.
El derecho de acceso del paciente a la historia clínica puede ejercerse también por representación debidamente acreditada.
Los centros sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho.
También podrán dirigirse con estos fines las personas o instituciones a las que el fallecido hubiese designado expresamente para ello.
Todas estas personas no podrán solicitar acceso, rectificación o supresión de los datos del residente fallecido, cuando este lo hubiese prohibido expresamente, o así lo establezca una ley. Resolución AEPD R/02421/2017.
CONCLUSION
- El tratamiento sistemático de categorías especiales de datos personales como son los datos de salud conlleva, ya de por sí, un alto riesgo para la privacidad.
- En las Residencias, los datos de salud se refieren a un colectivo especialmente vulnerable, como es el caso de los mayores.
- Estos dos factores, datos sensibles de salud y personas que a menudo no pueden comprender el alcance de su privacidad, hacen que los tratamientos de datos en estas entidades presenten un alto riesgo de vulnerar los derechos y libertades fundamentales de sus residentes.
- Por ello, deben establecerse todas las garantías necesarias y las oportunas medidas técnicas y organizativas que permitan reducir el riesgo de vulneración del derecho a la protección de datos.
Buenas tardes.
Soy trabajadora Social en una residencia de ancianos y tenemos por tradición poner en un cartel los cumpleaños de cada residente para que todos sepan. Lo unico es que tenemos muchos Jose`s y Maria`s en la residencia. Como lo hago para diferenciar?
En las puertas de las habitaciones tenemos sus nombres para identificar y saber donde está cada un. Ahí como lo hago pongo el nombre y el primer apellido?
Hola Dora, para evitar problemas, lo mejor es que tengas el consentimiento expreso de los residentes o de sus representantes legales.
Hola, mi madre está en una residencia, hace unos días tuvo un incidente con otra residente y me llamaron para decírmelo, cuando pregunté con quién había sido me dijeron que no podían decírmelo por protección de datos, ¿esto es así? el altercado fue con mi madre, creo que tengo derecho a saber con quien fue. Me gustaría que resolvieran mi duda. Gracias
Hola Ana,
En primer lugar solicítalo por escrito a la residencia, y si no te dan la información, dependiendo del tipo de incidente que haya sido, podrás presentar una denuncia ante la policía o el juzgado.
Good evening thanks for the info
THANKS TO YOU
Hola ..por circunstancias necesito un documento en el que diga las visitas recibidas por mi madre en la residencia y me lo niegan alegando que eso se obtiene por orden judicial..es legal?
Buenas, hemos solicitado a la Residencia por escrito nombre completo y número de colegiado de la enfermera que atiende a padre para interponer una queja al Colegio de enfermeras y se niegan a darnos el dato alegando protección de datos, ¿cómo podemos proceder? Gracias
Agradecería respuesta a la siguiente cuentión:
Si no quiere la residencia de gente mayor, a pesar de haberlo pedido por escrito, devolver documentación médica de una persona anciana que estuvo allí interna y después falleció que debo hacer como familiar, denunciarlo a la Agencia de Prot. datos? Muchas gracias, saludos
Hola Fermina,
No entiendo muy bien su pregunta. ¿Se refiere a una documentación médica que entregó usted a la residencia? Habría que saber cuales son los motivos por los que se niega a entregarla.
¿era usted el familiar que constaba como de referencia o era otro familiar?
En cualquier caso, la documentación médica habría que pedirla al establecimiento sanitario (ambulatorio, hospital, ect), puesto que la residencia es un establecimiento de servicios sociales.
En relación a la atención sanitaria la normativa obliga a los establecimientos de servicios sociales a facilitar que los usuarios tengan acceso a los recursos sanitarios públicos, por lo que es allí donde deberá dirigirse a solicitar la documentación médica.
Buenas tardes,
Me surge una duda, trabajo en una residencia y es muy común que los familiares nos pregunten por residentes ajenos a ellos. Cuando nos piden informacion concreta tenemos muy claro que no debemos darla, pero cuando el residente ha fallecido y nos preguntan si «x» persona sigue viva y corroboramos que «x» persona ha muerto ¿sería violar la protección de datos y la confidencialidad? O por el contrario no supondría una falta puesto que el RGPD no se aplica a la protección de datos personales de las personas fallecidas?
Gracias
Un saludo.
Hola P.O,
En cuanto al fallecimiento, la normativa de protección de datos no va más allá de los derechos de acceso, rectificación y supresión que los familiares, representantes, o herederos pueden ejercer sobre los datos personales de las personas fallecidas. O el respeto sobre las instrucciones que el fallecido haya podido dejar al respecto antes de morir. Por lo que respondiendo a su pregunta, no veo ningún problema en comunicar el fallecimiento de un residente.
Por favor me pueden informar si la residencia debe darme copias de Los datos médicos dé mí madre soy hija
Hola Elena,
Solo tiene acceso a esos datos tu madre y el personal sanitario que la atiende. Si eres la tutora legal, por estar tu madre incapacitada, si que tienen la obligación de entregartelos a ti.
Hola buenas han metido a mi abuela en una residencia y no sé en cual me gustaría encontrarla para poder ir a verla ya k ella me crio cuando fallecieron mis padres sus hijos o sea mis tíos no kieren decirme dnd está x favor a vr si usted puede decirme a donde puedo ir para k me ayuden a localizarla . Muchas gracias
Tengo a mi madre en una residencia donde ha habido una negligencia por parte de la medicación que ha pautado incorrectamente el médico a mi madre , le he pedido la documentación de cada día de los fármacos pautados , el médico se niega a facilitarmelos que tengo que hacer? Denuncia a la residencia o al médico ?? Que he de hacer para que me entregue esa documentación vital ya que han puesto en riesgo la vida de mi madre