Autor:
Xavier Mesegué Rius – Auditor en LOPD/LSSICE/PBC –
SETEMCAT
Al igual que el objetivo principal de la Prevención de Riesgos Laborales es la seguridad y salud de los trabajadores, para la Protección de Datos es la seguridad en el uso, manipulación y almacenamiento de los datos de carácter personal.
En PRL el uso, manipulación y almacenamiento de datos de carácter personal, supone la fuente principal de nuestro trabajo cuando relacionamos la formación y los puestos de trabajo a cada uno de los trabajadores, en la cesión de datos de carácter personal en la coordinación de actividades, dentro del marco de la vigilancia de la salud y un largo etc.
La ley de Protección de Datos, nos exige que todos estos datos de carácter personal, estén a buen recaudo, que su uso sea pertinente, adecuado y proporcional, que se informe a la persona o interesado de su uso, manipulación y cesión.
A continuación, les exponemos los 10 errores más frecuentes que se cometen tanto por parte de las empresas, de los Servicios de Prevención como de los técnicos y personal sanitario:
- Envíos de los resultados médicos a la empresa: Los archivos en formato papel que contengan datos de salud, deberán enviarse en un sobre precintado que contenga la palabra “confidencial”. En caso de ser enviados por correo electrónico, deberá estar encriptado o bien a través de una plataforma con acceso de seguridad de nivel alto, facilitando un usuario y contraseña para cada trabajador.
- Cesión indebida de datos en la coordinación de actividades empresariales: Previa a la cesión de datos de nuestros trabajadores a terceros, (TC1y TC2, formación, aptitud médica, etc) el trabajador deberá estar informado.
- Cesión de datos a terceros en las Plataformas de Coordinación a cuenta de la empresa cliente (1*): Cuando el servicio de prevención gestione plataformas de coordinación a cuenta de sus empresas clientes, el servicio de prevención deberá tener firmado el correspondiente contrato a terceros con la plataforma que manipule o almacene los datos de carácter personal de los trabajadores.
- Cesión de datos a terceros en las Plataformas de Coordinación a cuenta de la empresa cliente (2*): En el mismo sentido, el servicio de prevención deberá disponer del contrato a terceros con la empresa cliente en el cual quede constancia de dicha gestión y de la cesión de datos de sus trabajadores a las plataformas.
- Salida de soportes (ordenadores portátiles) fuera de las dependencias: Los ordenadores que contengan datos personales de nivel medio y alto que salgan de las dependencias, instalaciones o empresa, deberán disponer de control de accesos (usuario y contraseña). Además, estos equipos deberán estar registrados en el documento de seguridad de la empresa y autorizados por el responsable de seguridad.
- Acceso indebido a información confidencial en archivos informatizados: Los equipos u ordenadores que contengan datos confidenciales y de salud, deberán estar encriptados y solo podrán acceder a sus sesiones el personal médico y personal autorizado que consten en el documento de seguridad.
- Acceso indebido a información confidencial en archivos físicos: Todos los archivos físicos (formato papel) que contengan datos confidenciales y de salud, deben estar cerrados con llave y con acceso restringido al personal autorizado, así como, mantener un control de accesos físico (huella dactilar, iris, papel…) riguroso y mantenerlo registrado en el documento de seguridad durante dos añ
- Falta de formación e información en el uso, manipulación y almacenamiento de datos de carácter personal: Las personas y en especial, el departamento administrativo y los técnicos que manipulen datos de carácter personal, deberán estar formados e informados en materia de LOPD con la finalidad de saber cómo gestionar los datos que les proporcionen y de cómo cederlos con seguridad.
- Carencia de seguridad en los soportes informáticos (usuario y contraseñas): el usuario y contraseña son personales e intransferibles. En los equipos informáticos que contengan datos de carácter personal de nivel bajo, se deberán cambiar como mínimo cada 11 meses. En los soportes informáticos que contengan datos de carácter personal de nivel medio o alto, se deberán cambiar cada 3 meses
- Periodicidad o inexistencia de copias de seguridad: las copias de seguridad de los archivos que contengan datos de carácter personal de nivel básico, deberán realizarse como mínimo cada 30 días
Las copias de seguridad de los datos de nivel medio y alto (Salud) deberán hacerse a diario y como mínimo realizar una copia externa a las instalaciones con medidas de seguridad altas. Estas copias deberán ejecutarse siempre encriptadas y/o anonimizadas, con la finalidad de que nadie pueda reconocer al paciente.
(1*) y (2*) Estos contratos a terceros no se deberán llevar a cabo, siempre y cuando, conste y se haya puesto de manifiesto en el contrato mercantil entre las partes.
