El FAX como vía NO segura para enviar datos del Paciente

EL FAX COMO VÍA NO SEGURA PARA ENVIAR DOCUMENTOS CON DATOS DE
PACIENTES El envío de comunicaciones con datos de pacientes por parte de las farmacias a otras
entidades utilizando la vía del “fax” puede constituir una infracción de la normativa de
protección de datos si el procedimiento no se realiza con la debida diligencia.
Esta afirmación afecta especialmente al procedimiento de la solicitud de vacunas
individualizadas a laboratorios por las oficinas de farmacia. Cuando el paciente solicita
una vacuna en su farmacia, el farmacéutico remite el informe médico que contiene la
solicitud al laboratorio que se indica para su elaboración. La vía usualmente utilizada
para el envío de esta solicitud al laboratorio es el “fax”, otras veces combinado con el
correo postal.
No cabe duda de que el informe remitido al laboratorio con la solicitud de la vacuna
contiene datos personales y de salud del paciente que son considerados de nivel alto
de protección. En este sentido el Real Decreto 1720/2007 de 21 de diciembre (RD
1720/2007), establece en su artículo 104: “Cuando (…) deban implantarse las
medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a
través de redes públicas o redes inalámbricas de comunicaciones electrónicas se
realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que
garantice que la información no sea inteligible ni manipulada por terceros.”
El cifrado es un método que permite aumentar la seguridad de un mensaje o de un
archivo mediante la codificación del contenido, de manera que sólo pueda leerlo la
persona que cuente con la clave de cifrado adecuada para descodificarlo. El envío de
comunicaciones por fax para ser cifrado requiere de una tecnología especial y
compleja, y la mayoría de las farmacias no cuentan con este mecanismo de
codificación.
El artículo 9 de la Ley Orgánica de Protección de Datos 15/1999 de 13 de diciembre
(LOPD) establece el Principio de Seguridad de los Datos, imponiendo al responsable
del fichero la obligación de adoptar las medidas que garanticen tal seguridad, y que
impidan el acceso a los datos por terceros no autorizados. El procedimiento de envío
de fax no cifrado no permite garantizar que la información no sea inteligible ni
manipulada por terceros, por lo que esta actuación carecería de la diligencia debida
con la que debe actuar el responsable.
En tal sentido se ha pronunciado la Agencia Española de Protección de Datos(AGPD)
en Resolución R/02116/2010, al imponer como sanción a un centro de Cirugía
Vascular, una multa de 3.000€. Los fundamentos de derecho de esta Resolución
establecen que el envío de comunicaciones con datos de salud por fax a otra entidad
constituye una infracción grave de la LOPD por la evidente vulneración del principio de
seguridad de datos. Lo sancionable no es sólo el resultado que depende de si
efectivamente hubo acceso por tercero no autorizado al documento de salud, sino
también la mera actividad de efectuar la comunicación por esta vía no segura.
En conclusión, el fax no es un medio seguro para la transmisión de información que
contenga datos de salud y este viene siendo el criterio de la AGPD. Deberá acudirse al
envío cifrado por fax, o bien a otras vías tales como el correo postal en sobre cerrado y
a la atención de la persona autorizada, o a la disociación de datos en el envío de la
información. El procedimiento de disociación sería considerado efectivo cuando del
contenido del envío resulte imposible asociar los datos a una persona física en
concreto.
En la práctica, a efectos a agilizar la solicitud al laboratorio la vía más rápida es el fax,
pero su uso dependerá del nivel de riesgo que cada Farmacia este dispuesta a asumir.
Lilliam Valenzuela
Abogado
Especialista en Protección de Datos y TIC