El personal que presta servicios de atención al público ¿Está obligado a consignar en el ejercicio de sus funciones de cotejo y compulsa de documentos su nombre, apellidos y DNI
Atendiendo a la normativa que regula el servicio de atención al ciudadano, la denominación del cargo o puesto de trabajo del titular del órgano competente para la emisión de un documento y el nombre y dos apellidos del mismo son suficientes para identificar al funcionario que formaliza un documento, sin que sea exigible la identificación del mismo mediante su DNI. Este criterio parece trasladable al funcionario, que ocupando un puesto de trabajo en una unidad de Registro, coteja los documentos originales y la copia presentada, ya que resultará identificado con su nombre y apellidos si consta en el sello de compulsa, tal y como señala el precepto transcrito, la identificación del órgano y la fecha en que se realiza la misma. De este modo, la inclusión del DNI podría no ajustarse al artículo 5 del RGPD, en relación con el principio de minimización de datos, salvo que tal dato fuese exigido por una norma especial.
En todo caso, es recomendable la utilización de un sello del órgano correspondiente, sin necesidad de que aparezca la identificación del funcionario que realiza esta labor.
Basado en: Guías sectoriales AEPD. Protección de datos y Administración Local.
Respecto a la firma electrónica utilizada por los empleados públicos ¿es factible que en las propiedades de la firma vaya asociado el dato del DNI de la persona firmante?
La implantación de un sistema de firma electrónica no tiene porqué modificar el contenido de los documentos que los empleados públicos firmen en el ejercicio de sus atribuciones si dicha modificación no tiene su origen en una norma. No debe así confundirse el contenido del certificado electrónico, que debe reunir los requisitos exigidos por la normativa aplicable, con el contenido del documento resultante de la firma electrónica que deberá incluir los datos requeridos por la normativa que le resulte aplicable.
Por consiguiente, la incorporación, tanto en la firma de los documentos electrónicos o en papel como en la marca de agua, del dato relativo al DNI del funcionario firmante podría constituir un tratamiento excesivo y, en consecuencia, contrario al principio de minimización de datos del artículo 5 del RGPD.
Basado en: Guías sectoriales AEPD. Protección de datos y Administración Local.
¿Cómo debo manejar un profesional del SAS las categorías especiales o sensibles de datos personales?
Las categorías especiales de datos son aquellas que incluyen datos que revelen el origen étnico o racial, las opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o a la vida sexual o las orientaciones sexuales de una persona física.
La regla general contemplada en el RGPD es la prohibición del tratamiento de categorías especiales de datos (art. 9). No obstante, se recoge un amplio abanico de excepciones a esta regla general, entre las que interesa resaltar las derivadas de motivos de interés público:
- El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social. Sobre los tratamientos realizados con las finalidades citadas se prevé que el tratamiento se realice por un profesional sujeto a deber de secreto o bajo su responsabilidad, así como por cualquier otra persona sujeta a la obligación de secreto.
- El tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.
- El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos. Finalmente, se admite que los Estados miembro puedan mantener o introducir condiciones adicionales, incluidas limitaciones, sobre los tratamientos de datos genéticos, biométricos o de salud.
Las “categorías especiales de datos” merecen una protección reforzada y sólo se podrán tratar, es decir, almacenar, transmitir o revelar, entre otras formas de tratamiento, bajo ciertas condiciones y con determinadas garantías. Además, deberán adoptarse especiales medidas de privacidad, en particular de protección de datos desde el diseño y por defecto, seguridad y gestión de brechas de datos, así como los procedimientos oportunos y eficaces que garanticen un elevado nivel de protección, adecuado a los riesgos que existen en relación con los derechos de las personas.
Expresadas las finalidades que habilitan el tratamiento de categorías especiales de datos por los profesionales, los medios técnicos o recursos que habrían de utilizarse para ello también deben identificarse para garantizar esa protección reforzada:
- Aunque pueda parecer obvio, la primera regla a satisfacer consiste en hacer uso exclusivamente de las herramientas que la Administración de la Junta de Andalucía, SAS incluido, pone a disposición de sus empleados, pues serán las que hayan superado los test de privacidad y seguridad. Tales herramientas podrán ser de desarrollo propio, desarrolladas por prestadores de servicios contratados o licencias de uso corporativo de soluciones de terceros ya existentes en el mercado.
- La segunda regla básica es actuar a nivel profesional conforme a las indicaciones que establecen los códigos deontológicos, códigos de conducta, las políticas, las normas y los procedimientos aprobados que resulten de aplicación.
Basado en: AEPD. FAQ-0215 y guía para profesionales del sector sanitario
¿Whatsapp es una herramienta corporativa para los trabajadores?
El Servicio Andaluz de Salud, directamente o a través de la Administración de la Junta de Andalucía, pone a disposición de sus profesionales todas las herramientas que estos necesitan para el desempeño de sus funciones. Como aplicación que permite la comunicación directa multidispositivo y multiformato entre empleados (chat online, mensajería instantánea, audio, video, documentos ofimáticos, reuniones…), a fecha de redacción de esta FAQ, se dispone de la aplicación ZOOM. La misma se provee mediante la adjudicación de un pliego sujeto a la Ley de Contratos del Sector Público que entre otros aspectos regula la posición de encargado del tratamiento del adjudicatario, así como las medidas de seguridad exigibles a la solución informática conforme al Esquema Nacional de Seguridad. Todo ello sin olvidar que existen otras herramientas de comunicación de propósito específico como el Webmail para el correo electrónico, Ficheros Junta como repositorio de archivos, Consigna para la compartición de archivos pesados, etc.
Ciertamente existen algunos servicios que se ofrecen a través de la versión Business de Whatsapp, principalmente mecanismos de notificación de información y algún otro destinado a la notificación de incidencias TIC por parte de los profesionales. Pero todos ellos implementan un “robot” encargado de la gestión de las comunicaciones que se integran con los sistemas de información corporativos específicos, y por tanto desatendido por humanos, actuando bien como tablón de anuncios o bien como formulario interactivo mediante un agente conversacional.
Estos servicios, como decimos con licenciamiento profesional de uso por parte de la organización o centro que los emplea, no llevan aparejado una licencia de uso profesional a modo de aplicación cliente para los empleados receptores de los mensajes, lo que obliga a que cada persona haga uso de la versión gratuita personal de la aplicación a modo de contrato individual con META (matriz de Whatsapp). Además, un volumen muy importante de profesionales del SAS no dispone de teléfono móvil corporativo, lo que añade nuevos riesgos para los datos personales que puedan procesarse en sus terminales personales mediante la aplicación Whatsapp, al no estar sometidos a los controles y medidas de seguridad que proporciona la organización (software antimalware y de análisis de tráfico de red, reglas de conexión, control de metadatos, trazabilidad, copias de seguridad, etc).
¿Puede derivarse responsabilidad y de qué tipo en el caso de acceso injustificado por el profesional sanitario a las HC?, ¿y en caso de tratar datos sensibles con herramientas no corporativas?
El personal sanitario que accede a una HC injustificadamente, por interés propio o para revelación a terceros, puede verse sujeto a distintos tipos de responsabilidad penal, disciplinaria y administrativa por protección de datos, que en algunos casos pueden darse, incluso, de manera conjunta (por ejemplo, la indemnización a la víctima es concurrente con otras sanciones).
- Este tipo de accesos está sancionado en el Código Penal como delito de descubrimiento y revelación de secretos. En dicho Código se prevén penas de hasta cinco años de prisión, según los casos, a las que se suman penas de multa, suspensión o inhabilitación.
- Cuando no tengan la suficiente gravedad para ser delito, estas conductas se podrán castigar con una sanción administrativa. En el caso de las entidades públicas, dicha sanción podrá consistir en el apercibimiento a la administración o entidad pública y, en su caso, se dará publicidad de la infracción cometida.
- En el caso del profesional que realice su actividad en un centro sanitario, se le podrá imponer una sanción disciplinaria.
- La vulneración del deber de confidencialidad que supone el acceso injustificado a la historia clínica es contemplada en la mayor parte de los Códigos deontológicos de las profesiones sanitarias como falta grave o muy grave, acarreando consecuencias que llegan hasta la inhabilitación profesional.
- El acceso indebido a la historia clínica puede dar lugar al deber de abonar a la víctima una indemnización de carácter civil, cuya cantidad dependerá de la valoración de los Tribunales.
- En todo caso debe tenerse en cuenta que este tipo de conductas inciden también en las obligaciones relacionadas con la notificación de brechas de seguridad a las autoridades de protección de datos y, en su caso, la comunicación a los propios interesados.
El hecho de hacer uso de aplicaciones no corporativas (mensajería instantánea, almacenamiento o intercambio de archivos, servicios ofimáticos en nube…) para el manejo de datos personales, supone en la mayoría de los casos una comunicación de datos al proveedor del servicio, pudiendo además incurrir en comunicaciones de datos a terceros no autorizados que sean invitados a formar parte de grupos de chat o a acceder los repositorios. Tal circunstancia podría dar lugar igualmente a las responsabilidades antes mencionadas.
Basado en: Guías sectoriales AEPD. Guía para profesionales del sector sanitario