Los hospitales pueden vender los datos recogidos a través del wifi amparados por una normativa de transparecia.
Los
hospitales son lugares de tránsito. Pacientes, sus acompañantes, trabajadores… son miles las personas que en el día a día ocupan y pasan tiempo en estos edificios. Por esto, los grandes centros sanitarios suelen ofrecer servicios de
wifi gratuita para que las personas que tienen que pasar el día allí hagan uso de él. De esta situación surge una pregunta: ¿Podría un hospital público utilizar y
vender los datos de las personas que hagan uso de esa red wifi hospitalaria, al igual que lo hace un centro comercial, o un restaurante? La respuesta corta es: sí. La larga tiene más matices, pues hay varias peculiaridades a tener en cuenta para que esto sea una realidad.
“La venta de datos recogidos por parte de un hospital público en una base de datos recopilada a través del acceso a la wifi hospitalaria sería posible siempre y cuando
se advierta de dicha finalidad a los usuarios que se conecten y se recoja su consentimiento expreso para dicha cesión”, asegura a
Redacción Médica Maite Sope, técnico superior jurídico y jefe de sección de Administración y Gestión del hospital Santa Marina.
Aunque sobre el papel sí sería posible, la experta habla como,
en algunos casos prácticos, no se puede aplicar. Se refiere a su experiencia personal y comenta que, “en el caso concreto de un hospital perteneciente a la red pública de Osakidetza, esto no sería posible”. Argumenta que en esta situación “
las OSIS pertenecientes a dicha red carecen de personalidad jurídica propia, ya que ésta reside con carácter centralizado en la Organización Central”. De esta manera, detalla que cualquier acto de compra o venta se rige por la Ley de Patrimonio de Euskadi, y debe de autorizarse por el Consejo de Administración del ente público.
Obligaciones para poder vender los datos
A la hora de poner una red de wifi de acceso libre en un hospital, desde la organización se deben tener en cuenta
varias obligaciones relacionadas con la normativa de protección de datos. La primera obligación pasa por identificar el tratamiento de datos y elaborar un registro de este mismo. “Si bien el registro no es obligatorio en todos los casos ya que existen una serie de excepciones, es recomendable elaborarlo para poder identificar la capacidad de recogida, almacenamiento y gestión de datos del sistema”, detalla Maite Sope.
En segundo lugar,
la red wifi tendrá obligación de cumplir con el principio de transparencia. Para ello, a la hora de que los usuarios se conecten a esta, se debe facilitar “toda aquella información relativa al tratamiento, la información del responsable los derechos de las personas que se están conectando”.
|
La red wifi de un hospital público debe cumplir con el principio de transparencia
|
La tercera obligación del hospital será realizar un
análisis de riesgos y poner, en ese caso, las
medidas de seguridad correspondientes. “La evaluación debe abarcar tanto la parte técnica como la administrativa”, comenta la profesional. Esto abarca desde la parte de seguridad de la red, el almacenamiento, las copias de seguridad, etc., hasta lo relativo a los permisos y usuarios, los plazos de realización de las copias de seguridad o el lugar de almacenamiento de los datos.
Por último, será necesario
formalizar el contrato de encargo de tratamiento de datos con los otros prestadores de servicios. “Es necesario identificar qué prestadores de servicio acceden a los datos personales y formalizar con ellos el correspondiente acuerdo de tratamiento de datos con arreglo al artículo 28 RGPD”, explica la experta, que comenta que “es habitual” que exista una empresa de servicio de mantenimiento del sistema, almacenamiento de los datos, e incluso de control y revisión del tráfico de la red.
Requisitos para poder hacer uso de los datos
Por otro lado, Maite Sope detalla los requisitos que necesitaría reunir un hospital público para poder vender bases de datos recopilados a través de la red wifi. En primer lugar recuerda la importancia de contar con
consentimiento expreso del titular de los datos. Además, especifica que este consentimiento tiene dos vertientes. Por un lado se necesita el consentimiento para que los datos puedan ser cedidos a terceros para que otras empresas o negocios les envíen comunicaciones comerciales. Por otro, si estos datos van a tener el fin de enviar emails o SMS comerciales, también se debe contar con consentimiento.
|
Es esencial contar con el consetimiento expreso del titular de los datos para poder hacer uso de ellos
|
“En ambos casos, el consentimiento, además de expreso, debe ser libre y
no condicionado e informado”, recuerda la experta que añade que “siempre se debe informar a los interesados de la finalidad para la que serán recogidos sus datos”.
Asimismo, indica que, cuando
los datos personales se adquieren de una fuente diferente al interesado, se deben tener mecanismos para informar a la persona de dónde provienen esos datos, y en este caso, facilitar una vía para que se pueda ejercer el derechos de acceso, rectificación, supresión, limitación y oposición al tratamiento.
Finalmente, recuerda que las
bases de datos confeccionadas con datos recabados en fuentes accesibles al público (FAP) son también legales, y que en este caso no requieren del consentimiento de los interesados para el uso de sus datos, aunque sí para recibir comunicaciones comerciales.
Las informaciones publicadas en Redacción Médica contienen afirmaciones, datos y declaraciones procedentes de instituciones oficiales y profesionales sanitarios. No obstante, ante cualquier duda relacionada con su salud, consulte con su especialista sanitario correspondiente.
Andalucía 
Cataluña 
Madrid 
C. Valenciana 
Galicia 
Castilla y León 
País Vasco 
Canarias 
C-La Mancha 
Murcia 
Aragón 
Extremadura 
Asturias 
Baleares 
Navarra 
Cantabria 
La Rioja 
|