El Informe 0501/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD) aborda las medidas de seguridad necesarias para la instalación de una solución hardware/software en hospitales, específicamente una pantalla monitor en cada cama para que el personal sanitario registre las constantes vitales de los pacientes. El informe se centra en dos cuestiones principales: el acceso a los datos del paciente y la visualización de estos datos por personas no autorizadas.
### Acceso a Datos del Paciente
El acceso a los datos del paciente se realiza mediante un lector de código de barras en la tarjeta identificativa del personal sanitario, lo que permite una identificación unívoca del profesional. Según el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, las medidas de seguridad para los tratamientos de datos personales se clasifican en tres niveles: básico, medio y alto. Dado que los datos de salud se consideran de nivel alto, deben aplicarse las medidas de seguridad correspondientes a este nivel.
En el nivel básico, se exige el control de acceso, donde los usuarios solo pueden acceder a los recursos necesarios para sus funciones. Además, se requiere una identificación y autenticación personalizada de los usuarios. En el nivel medio, se añade un mecanismo para limitar los intentos de acceso no autorizado. Finalmente, en el nivel alto, se debe registrar cada intento de acceso, incluyendo la identificación del usuario, la fecha y hora, el fichero accedido, y si el acceso fue autorizado o denegado.
### Visualización de Datos por Personas No Autorizadas
La visualización de datos de salud por personas distintas al personal sanitario, como familiares o visitantes en la habitación del paciente, constituye una cesión de datos. Según el artículo 3 de la Ley Orgánica 15/1999, la cesión de datos es cualquier revelación de datos a una persona distinta del interesado. Los datos de salud están sujetos a restricciones adicionales, y solo pueden ser tratados y cedidos cuando lo disponga una ley o con el consentimiento expreso del afectado.
El artículo 7.6 de la Ley Orgánica permite el tratamiento de datos de salud cuando sea necesario para la prevención, diagnóstico, asistencia sanitaria o gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto al secreto profesional. Además, el artículo 8 permite a las instituciones y centros sanitarios tratar los datos de salud de las personas que acuden a ellos, de acuerdo con la legislación sanitaria.
### Conclusión
Las medidas propuestas en la consulta para evitar la visualización de datos de salud por personas no autorizadas son adecuadas. Estas medidas incluyen el uso de lectores de código de barras para la identificación del personal sanitario y la implementación de niveles de seguridad altos para proteger los datos de salud. De esta manera, se garantiza que solo el personal autorizado pueda acceder y visualizar los datos del paciente, evitando así cesiones de datos sin el consentimiento del afectado.