NOVEDADES EN LA LUCHA CONTRA EL BLANQUEO DE CAPITALES Y FINANCIACIÓN DEL TERRORISMO

A principios del mes corriente, la Comisión Europea ha aprobado la adopción de dos nuevas propuestas para mejorar la lucha contra el blanqueo de capitales y financiación del terrorismo.

Una de estas propuestas se basa en la elaboración de una nueva Directiva que derogará las actuales (Directiva 2005/60/CE y Directiva 2006/70/CE) y la otra, trata de perfeccionar el nuevo Reglamento sobre la información que acompaña las transferencias de fondos. Lo que persigue este Reglamento es que se establezcan las medidas necesarias para que, dado el caso, se permita seguir el rastro de las transacciones hasta poder dar con el ordenante de la misma.

No obstante, debemos destacar que en el marco de la nueva propuesta de Directiva, respecto los sujetos obligados, considera  como tales a las personas físicas y jurídicas que comercien profesionalmente con bienes respecto de las transacciones en que los cobros o pagos se efectúen con medios de pago al portador cuando el importe sea igual o superior a 7.500€ y no 15.000 como en nuestro actual marco jurídico.

Todo ello teniendo que ser auditado por un tercero, ajeno a la compañía y a cualquier relación comercial con el auditado, para así, verificar que  las políticas y procedimientos establecidos en su entidad reducen todos los riesgos a los que se refiere la nueva Directiva que aún está en estudio.

Estaremos atentos a cualquier novedad.

Lto. Isaac Fernández Sánchez

Legal Consultant

El envío de correo electrónico sin copia oculta a múltiples destinatarios puede acarrear sanciones de hasta 2.000 euros

Hechos tan cotidianos como puede ser, por ejemplo, el envío de correos electrónicos a diferentes destinatarios puede suponer un enorme dolor de cabeza para nuestra empresa. ¿Quién no se ha equivocado de campo alguna vez y se le ha escapado un envío masivo sin establecer a todos los destinatarios en el campo de copia oculta (CCO)?

Pues bien, aunque los tiempos que corren no son muy halagüeños, esta conducta está siendo sancionada por la Agencia Española de Protección de Datos (AEPD) a día de hoy con la friolera cantidad de 2.000 euros.

En base al art. 10 de la Ley 15/1999 (LOPD) el cual dispone que “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.”, y amparándose en sendas sentencias de la Audiencia Nacional (STAS  de  fechas  14  de  septiembre  de  2001  y  29  de  septiembre  de  2004) y otra del Tribunal Superior de Justicia de Madrid (STA de 19 de julio de 2001), la AEPD está facultada para sancionar por el incumplimiento de dicho deber con una cantidad, a nuestro entender más que desproporcionada, de entre 40.000 y 300.000 euros. Pues bien, tal conducta está considerada como una infracción grave.

En el presente caso, ha quedado acreditado en el expediente que el denunciante recibió un correo electrónico remitido por el denunciado, donde se visualizaban datos personales de múltiples personas, (direcciones de correo electrónico) (incluido el suyo propio) por lo que ha de entenderse vulnerado el deber de secreto que impone el artículo 10 de la LOPD.

El último ejemplo lo encontramos en la sanción de 2.000 euros de multa (gracias a tratarse de un descuido y no ser la entidad reincidente) impuesta a la ‘Fundación Santa María La Real’, entidad cultural establecida en Palencia, por enviar un correo electrónico a un millar de destinatarios sin generar una copia oculta de las direcciones de e-mail. Dicho envío se llevó a cabo por parte de la entidad con el inocente propósito de informar a sus clientes de que la misma estaría presente en la Feria del Libro de Madrid.

Como se ha establecido, el correo se remitió sin ocultar las direcciones de los destinatarios “por un error involuntario” de la persona que realizó el envío a través de la aplicación de Outlook de Microsoft, error que según la legislación vigente en materia de protección de datos es extensible a la empresa.

Pese a la nimiedad de lo ocurrido, como a bien tenemos por aconsejar siempre, sólo hace falta que se te cruce alguna persona que normalmente se despierte con el pie izquierdo para que por un simple hecho como el que tratamos, se nos interponga una denuncia.

En este sentido, es muy importante hilar muy fino con estos temas porque aunque nuestra entidad establezca las medidas necesarias al respecto, un descuido que vaya junto con la persona indicada, nos puede generar un imprevisto económico sobre el que no teníamos pensado hacer fente.

Así que desde AT GROUP os emplazamos a tener mucho cuidado con los envíos de correos electrónicos masivos que realizamos y SIEMPRE a darle un último repaso a los campos, tanto de CC como de CCO, previamente al envío final de la información contenida en el e-mail.

Lto. Ricard  Millán Llamas

Legal Consultant

ATGroup

LOS SERVICIOS DE TELEMEDICINA COMO INNOVACIÓN EN EL CUIDADO DE LA SALUD DENTRO DE LOS PARÁMETROS LEGALES DEL ORDENAMIENTO JURÍDICO COMUNITARIO

Servicios de Telemedicina

Como punto de partida debemos dar contenido a un concepto que está tomando mayor fuerza en los servicios del cuidado de la salud europeos del Siglo XXI. La telemedicina es, por definición, y bajo la sombra del marco normativo comunitario[1], “la prestación de servicios sanitarios, a través del uso de las TIC[2], en situaciones en las que el profesional de la salud[3] y el paciente (o dos profesionales de la salud) no están en la misma ubicación. Se trata de una transmisión segura de los datos médicos y la información, a través de texto, sonido, imágenes u otras formas necesarias para la prevención, diagnóstico, tratamiento y seguimiento de pacientes”.

Es necesario asimismo acotar dicho concepto, y sobretodo establecer los límites de la telemedicina. Por tanto, NO es considerada telemedicina por la Comisión Europea[4] los portales de información de la salud, farmacia on-line, sistemas de archivo electrónico de información sanitaria, transmisiones electrónicas de prescripciones y referencias; todo ello por considerarse un servicio auxiliar e independiente, que en algunos casos, puede concurrir con un encuentro presencial del paciente con el profesional de la salud.

La telemedicina por tanto constituye una amplia variedad de servicios a través de los cuales se plasma en la atención médica, servicios como la teleradiología, teleconsulta, telemonitorización, teleoftalmología, telecirugía y teledermatología.

¿Qué beneficios podemos obtener con el uso de la telemedicina?

Principalmente puede mejorar considerablemente el estilo de vida de pacientes con enfermedades crónicas toda vez que se intensifica el acercamiento del profesional de la salud a las personas eliminando obstáculos geográficos y burocráticos.

La telemonitorización como herramienta de televigilancia a pacientes con enfermedades crónicas puede otorgar soluciones de autogestión y control remoto desde sus casas, lo cual reduce los costos de hospitalización y el ahorro en visitas de emergencia innecesarias.

Por otro lado aumentaría la productividad en la atención médica a través de la teleradiología y teleconsulta pues se optimizarían los recursos disponibles en tanto se acortarían los tiempos de espera del paciente y el profesional de la salud.

El acceso a una atención de calidad se intensificaría como consecuencia de la entrega de servicios sanitarios a los ciudadanos y residentes en todo el territorio europeo que viven en zonas remotas o escasamente pobladas afectadas por la falta de profesionales de la salud especializados.

Finalmente también podemos resaltar que la telemedicina trae consigo beneficios en la economía europea. Como ejemplo de ello es el rápido crecimiento que ha tenido en la última década este sector -en el que se encuentran pequeñas y medianas empresas-, y que se espera continúe creciendo. El valor potencial del mercado global del ehealth alcanza los 60 mil millones de euros, incurriendo Europa en un tercio, es decir unos 20 mil millones de euros que mueve este sector.

Regulación normativa: Una tarea conjunta de la UE y los Estados Miembros

A pesar de tener una amplia variedad de beneficios y del crecimiento económico que provoca, lo cierto es que la telemedicina tiene un despliegue no tan rápido como cabría esperar en un mundo en el que las nuevas tecnologías de la información y la comunicación rigen el día a día de gran parte de la población.

Parte de este retraso es debido a la falta de regulación normativa y concreción en las disposiciones legales de los Estados miembros en este campo. Son muy pocos los Estados que han emprendido una labor legislativa que regule los servicios sanitarios prestados a través de la TIC. Y es que tanto el usuario de los sistemas nacionales de salud como los mismos profesionales y corporaciones que ofrecen dichos servicios necesitan unas condiciones regladas sobre las que desarrollar la telemedicina.

No es posible emprender el despliegue de servicios de telemedicina sin las debidas garantías legales para los actores que intervienen. En este sentido el Reporte de la Comisión Europea sobre la Ciudadanía Europea de 2010 reveló que uno de los principales obstáculos en el ejercicio del derecho de los ciudadanos a recibir una atención médica en otros Estados Miembros a través de una calidad y entrega que responda a sus necesidades -por ejemplo a través de la telemedicina-, consiste en la falta de claridad jurídica dentro de los propios Estados, lo cual actúa como un factor importante que genera en los actores desconfianza en la seguridad del uso de las nuevas tecnologías.

En Polonia por ejemplo, la Ley sobre las profesiones de médicos y dentistas, de 5 de diciembre de 1996 exige que el diagnóstico se realice únicamente después de haber examinado al paciente personalmente.

En España el artículo 43.2 de la Constitución Española proclama y ampara el derecho a la protección de la salud y exige a su vez a los poderes públicos organizar y tutelar la Salud Pública a través de medidas preventivas y de las prestaciones y servicios necesarios. De modo que en la medida en que el uso de las nuevas tecnologías ayuden a hacer efectivo el derecho a la protección de la salud, su utilización no será solo posible y lítica, sino también obligatoria.

En esta línea, cualquier obstáculo en la libertad de los proveedores de salud de promover el uso de la telemedicina está prohibido. Ningún Estado Miembro puede adoptar normas que dificulten su ejercicio, salvo que se base en razones imperiosas de interés público, como sería el caso de la Salud Pública; no obstante la carga de la prueba en este caso recae sobre el Estado u organismo que pretende establecer limitaciones administrativas o de reembolso.

Finalmente debe aclararse que la telemedicina no pretende reemplazar las atenciones sanitarias presenciales ni mucho menos hacer a un lado la prestación del cuidado de la salud tradicional, sino más bien actuar como herramienta complementaria que potencialmente incremente la calidad y eficiencia en la prestación de la medicina tradicional en el Siglo XXI.

Así pues los puntos legislativos clave que desde la UE se están abordando consisten en la clarificación de requisitos en la concesión de licencias para la prestación de telemedicina transfronteriza; normas a cumplir en materia de PROTECCIÓN DE DATOS; condiciones y derechos de reembolso y los casos de responsabilidad civil; el Tribunal competente y la Ley aplicable en caso de conflicto.

La normativa de protección de datos personales en la Telemedicina

En un primer momento nos centraremos en la problemática en materia de protección de datos de carácter personal que hay de trasfondo en la prestación de servicios sanitarios a través de las nuevas tecnologías. Máxime cuando existe un tratamiento de datos personales especialmente protegidos por la Ley[5] por considerarse sensibles en las personas físicas, como es la salud. Al ser una información extremadamente sensible, su tratamiento (generación y transmisión) debe estar garantizado por las más amplias medidas -organizativas y tecnológicas- de seguridad (o de Nivel ALTO) a fin de evitar el acceso y/o su tratamiento por terceros no autorizados por el titular de los datos.

Como norma general de regulación en la protección de datos de carácter personal debemos hacer referencia a la Directiva Europea 95/46/CE, la cual establece, entre otros, los derechos de los afectados y los criterios para la legitimación en el tratamiento de datos. Actualmente el texto de la misma se encuentra bajo revisión[6].

El tratamiento de datos, según establece la normativa en materia de protección de datos, puede ser realizado tanto en soporte papel como por medios digitales, lo cual incluye la telemedicina.

Como especialidad del ámbito de aplicación de la normativa europea, se encuentra el hecho de que la misma no es sólo aplicable cuando el Responsable del Tratamiento –de los datos-  está domiciliado en territorio comunitario, sino que también lo es en tanto utilice equipamiento situado en éste para el tratamiento de los datos (art. 4 de la Directiva), es por ello que los Responsables del tratamiento de fuera de la UE que traten los datos personales dentro de la UE, deben cumplir asimismo con la normativa europea de protección de datos.

Regulación específica

La Directiva 95/46/CE, al igual que la LOPD y la Legislación sanitaria sectorial[7], regula el tratamiento de datos de índole sanitaria, y para empezar prohíbe dicho tratamiento a no ser que se cumplan unos requisitos determinados (art. 8 de la Directiva).

Los datos relativos a la salud, según el Tribunal Europeo de Justicia[8], deben interpretarse en un sentido amplio a fin de incluir información sobre todos los aspectos de la salud de un individuo, tanto física como mental. En esta línea el Grupo de trabajo del artículo 29[9] ha proporcionado una interpretación sobre el alcance del contenido de los datos de salud, a saber:

-         Cualquier dato personal ligado estrechamente al estado de salud de una única persona, teniendo como ejemplo los datos genéticos o datos sobre el consumo de medicamentos, alcohol o drogas.

-         Cualquier otro dato que se encuentre en la documentación médica relativa a un tratamiento de un paciente, estando incluidos datos administrativos como el número de la Seguridad Social, fecha de ingreso en el hospital, etc. Cualquier otro dato que no sea pertinente para el tratamiento del paciente no se incluirá en el archivo médico.

En este caso, la prohibición general del tratamiento de datos de salud no aplica en tanto la misma Directiva establece unas excepciones relacionadas con los fines médicos y la atención médica:

-         Si el afectado ha otorgado el consentimiento explícito a dicho tratamiento de datos.

-         En caso que el afectado / interesado esté  física o jurídicamente incapacitado para dar su consentimiento; siempre que el tratamiento sea necesario para proteger un interés vital de interesado o de otra persona.

-         Cuando el tratamiento de datos resulte necesario para los fines de la medicina preventiva, diagnóstico médico, prestación de asistencia o tratamientos sanitarios, o la gestión de dichos servicios, siempre que el tratamiento sea realizado por profesionales sanitarios sujetos a la legislación nacional competente en lo que respecta a la obligación de secreto profesional, o por otra persona sujeta asimismo a una obligación equivalente de secreto (art. 8 (3) de la Directiva).

Principios generales para el tratamiento de datos de salud

Se presentan a continuación algunos de los principios fundamentales que la normativa comunitaria establece para que rijan el tratamiento de datos:

Los datos personales deben:

Los Responsables del tratamiento deben:

-         Ser captados para los propósitos legítimos, determinados y explícitos, sin conservarse más allá de lo estrictamente necesario (artículo 6(1)(b)). No se considerará incompatible el tratamiento posterior con fines históricos, estadísticos o científicos en la medida que los EEMM establezcan las garantías adecuadas. -         Estar limitados a los datos necesarios para las finalidades concretas que deben cumplir. -         Ser transferidos únicamente a terceros países fuera de la Comunidad Europea siempre que dicho país garantice un nivel adecuado de protección[10], o en caso contrario, estar avalada dicha transferencia por las condiciones del art. 26.

-         Otorgar información a los interesados sobre la identidad del Responsable del tratamiento y los destinatarios de los datos, la finalidad del tratamiento y la posibilidad de un ejercicio de derecho de acceso (arts. 10 y 11). -         Permitir el acceso de los afectados a sus datos personales. -         Poner en marcha las debidas medidas técnicas y organizativas para proteger los datos personales frente accesos no autorizados o destrucciones accidentales o ilegítimas. Dichas medidas deben corresponderse con el nivel de los datos del que gozan por los riesgos que representa su tratamiento y la naturaleza del dato protegido (art. 17). -         En ocasiones específicas, cumplir con la normativa europea de protección de datos incluso si el Responsable del tratamiento se encuentra fuera de la UE (art. 4).

Normativa sobre protección de datos conexa

La Directiva 2002/58/CE establece una serie de requisitos específicos en relación con la prestación de servicios de comunicaciones electrónicas presentados al público a través de redes públicas de comunicación, a fin de garantizar la confidencialidad de las comunicaciones y la seguridad de sus redes. Ejemplo de ello es la obligación de notificar las violaciones de datos personales a la autoridad nacional competente.

Asimismo, las Directivas 95/46/CE y 2002/58/EC, en la línea de la aplicación de los derechos de los pacientes en los servicios sanitarios transfronterizos, exigen a los Estados Miembros donde se lleva a cabo el tratamiento médico, que garantice el derecho fundamental a la intimidad en dicho tratamiento, de conformidad con las medidas de seguridad implementadas en base a las provisiones normativas propuestas por la UE en materia de protección de datos.

Dicho esto, las reglas que se aplican sobre el tratamiento de datos también afectan a las facturas médicas de los pacientes y los registros de salud.

Finalmente, la Directiva 2011/24/UE, en sus arts. 4 (f) y 5(d) establece el derecho de los pacientes que hayan recibido tratamiento médico transfronterizo (incluso a través de telemedicina), a recibir un informe médico escrito o electrónico y el acceso a por lo menos una copia del mismo.

Lto. Sergio Hurtado Rivera

Legal Consultant

AT Group

---

[1] Ver Directiva 2011/24/EU sobre la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza; así como el Comunicado de la Comisión sobre telemedicina para el beneficio de los pacientes, los sistemas de cuidado de la salud y la sociedad, COM(2008)689, http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0689:FIN:EN:PDF

[2] Tecnologías de la Información y la Comunicación (en.: ICT’s).

[3] Contemplado en el art. 3.f) de la Directiva 2011/24/EU según el cual incluye un doctor en medicina, enfermero responsable de cuidados generales, odontólogo, matrona o farmacéutico a tenor de la Directiva 2005/36/CE u otro profesional que ejerza actividades en el sector de la asistencia sanitaria que estén restringidas a una profesión regulada según se define en el artículo 3 (1) (a) de la Directiva 2005/36/CE, o una persona considerada profesional sanitario conforme a la legislación del Estado miembro de tratamiento.

[4] Vid nota 1.

[5] En el caso de España, el art. 7 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

[6] Ver “Commission proposal for a regulation on the protection of individuals with regard to the processing of personal data and on the free movement of such data”, http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf.

[7] Ver, a nivel estatal la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; y en Cataluña, sin perjuicio de la demás normativa autonómica, la Ley 21/2000,  de 29 de diciembre, sobre los derechos de información concernientes a la salud y la autonomía del paciente, y la documentación clínica, modificada por Ley 16/2010, de 3 de junio.

[8] Sentencia del Tribunal Europeo de Justicia de 6 de noviembre de 2003, asunto C-101/01 – Bodil Lindqvist, 50 y 51. 

[9] El Grupo de trabajo del artículo 29 fue creado en 1996 bajo el auspicio de la Directiva de protección de datos (Directiva 95/46/CE) y está compuesto por un representante de la autoridad de protección de datos competente de cada Estado Miembro. Entre sus funcione se encuentra el asesorar a los Estados en relación con la protección de datos; promover la misma aplicación de la Directiva de protección de datos en todos los EEMM, y facilitar a la Comisión dictámenes sobre las leyes comunitarias que afectan al derechos a la protección de datos de carácter personal

[10] La Comisión es quien tiene la potestad, en virtud del art. 25(6) de la Directiva 95/46/CE, de determinar si un tercer Estado cumple un nivel adecuado de protección de datos por razón de su normativa interna o los Acuerdo internacionales que haya suscrito.