Víctor Roselló Mallol, abogado
E-mail : victor@rosello-mallol.com
Web : www.rosello-mallol.com

0. INTRODUCCIÓN

El mes de enero de 2006, fecha de redacción de este trabajo, se cumplen los 6 años desde la entrada en vigor en España de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo, "LOPD"). Esta norma, no era la primera que, en nuestro país, se promulgaba sobre esta materia, ya que vino a sustituir la ya derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (en lo sucesivo, "LORTAD").

El objeto de estudio jurídico-práctico de este artículo es, por tanto, una materia que, a pesar del advenimiento de nuevas formas de recoger, almacenar y tratar información personal, se ha incorporado a aquellos ámbitos de actuación jurídico-legal, que requieren mayor atención y ha calado con mayor profusión en los espacios y bloques informativos de asesorías y consultorías. Sin embargo, no estamos ante la aparición de un nuevo aspecto deshilvanado de las nuevas tecnologías, sino de un marco normativo que viene haciendo historia en nuestro ámbito de la Unión Europea desde hace ya más de una década.

Trataremos entonces de ofrecer una guía básica, una síntesis, para entender y analizar el fondo de una normativa que afecta a un sector tan concreto y especialmente sensible como es el de las residencias geriátricas. Con cierta frecuencia, se tiene la falsa impresión que la LOPD es "una ley nueva" o que únicamente afecta a quienes actúan por Internet o en actividades eminentemente tecnologizadas. Lo cierto es que nos resulta difícil encontrar una empresa u organización que no se vea afectada por esta ley, ya que su ámbito de aplicación se define por "(...) los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado" (artículo 2.1 LOPD). No queremos abrir un debate jurídico sobre la definición de dato personal o el concepto de tratamiento, pero resulta evidente que cualquier empresa u organización que, en el ámbito de sus actuaciones, recoja información de personas, deberá someterse a lo establecido en la LOPD y demás normas de desarrollo. ¿Qué empresas no disponen de datos de clientes, proveedores o trabajadores para su día a día?

Visto el amplio abanico de supuestos a los que se aplica la LOPD, ¿por qué decimos que el sector de las residencias es "especialmente sensible" ? Una primera razón la apunta, en su Memoria del año 2004, el organismo independiente encargado de velar por el cumplimiento de la LOPD, la Agencia Española de Protección de Datos (en lo sucesivo, "AEPD"), al señalar que las residencias tratan información de un sector de la población, el de la tercera edad, que "precisa una especial protección, ya que en muchas ocasiones se encuentran en una situación que les impide conocer y ejercitar sus derechos en igualdad de condiciones". La condición de los titulares de los datos es, por consiguiente, una razón esencial para determinar la necesidad de que, quienes recojan y tratan dichos datos, es decir, las residencias, cumplan con lo dispuesto por la LOPD. Pero, aun siendo esencial, no es lo más importante.

Todo el sistema de protección de datos está basado en el principio de que cualquier información relacionada con una persona es susceptible de ser considerada dato personal. Pero, además, existe información que, por su naturaleza, merece un nivel superior de protección. La LOPD define esta información, en su artículo 7, como datos especialmente protegidos y parece indiscutible que las residencias, por el propio desarrollo de su actividad, precisan de ciertos datos, especialmente protegidos, de los residentes, como los relativos a su salud[1]. Estos datos exigen una mayor cautela en su recogida, almacenamiento y tratamiento y, en consecuencia, la principal razón por la que esta normativa tiene especial impacto en el ámbito de las residencias geriátricas.

Existe otro elemento que ha representado un importante impulso en la implantación de la LOPD en el sector, como es la publicación en el Registro General de Protección de Datos, el 27/12/2004, del Código Tipo de la Asociación Catalana de Recursos Asistenciales (ACRA). Los Códigos Tipo, previstos en la LOPD, representan una importante herramienta para adaptar las disposiciones de la ley, genéricas en muchos casos, a un sector de actividad concreto. Es por eso, y a pesar que solo pueden solicitar la adhesión a esta norma autorreguladora, los miembros del ACRA que, a lo largo de este trabajo, haremos referencias al Código Tipo del ACRA[2].

Revisado el panorama normativo, la aplicación práctica de una implantación LOPD se centrará en la protección del flujo de datos de los residentes tratados por las residencias. Aunque, conviene señalar que también pueden verse afectados por el arco normativo de la ley los datos de trabajadores, colaboradores externos, proveedores, etc... Así es que uno de los primeros trabajos a realizar por el auditor sería analizar las obligaciones de las residencias respecto a los mencionados datos, siguiendo cronológicamente la vida de los mismos, es decir, desde el primer momento, el de su recogida, pasando por su almacenamiento (informático o no), su tratamiento y, finalmente, las posibles comunicaciones a terceros del dato, fuera del ámbito de actuación de la residencia.

1. OBLIGACIÓN FORMAL: NOTIFICACIÓN DE LOS FICHEROS

Antes de analizar los requisitos para la recogida y tratamiento de datos, es necesario comenzar con una obligación de tipo formal que deben cumplir cualquier organización que disponga ficheros donde se archiven de datos de carácter personal de sus clientes, proveedores, trabajadores, etc...: la notificación de los mismos ante la AEPD. Además de la necesidad de notificar los ficheros creados por dichas organizaciones, será necesario hacer lo propio con cualquier modificación o cancelación de dichos ficheros.

A pesar que el procedimiento de notificación de los ficheros es ciertamente sencillo, respondiendo a facilitar el cumplimiento de esta obligación formal de la LOPD, es necesario tener en cuenta, a efectos de una mejor gestión de los ficheros comunicados a la AEPD, la recomendación de seguir los criterios fijados por dicho organismo, a la hora de agrupar los distintos ficheros físicos de que disponga la residencia en ficheros lógicos, de forma que éstos agrupen aquellos ficheros físicos que respondan a una misma finalidad. Por último, cabría apuntar que la obligación de notificar los ficheros ante la AEPD, es el punto de partida de todo el proceso, pero no es en ningún caso la única de las obligaciones establecidas por la LOPD, como veremos a partir de ahora.

2. LA RECOGIDA DEL DATO DE SALUD

El criterio general establecido por la LOPD para la recogida de cualquier tipo de dato personal, es el del consentimiento informado. Esto significa que existe la regla general de la necesidad del consentimiento del titular de un dato personal, para proceder a recabar dicha información. No obstante, este consentimiento debe ser consecuencia de una información previa que debe facilitar quien recoge el dato. Sin información, el consentimiento carece de sentido y validez. La forma, sea tácita, expresa o por escrito, de prestar este consentimiento, cambia en función de lo que se apuntó anteriormente, el tipo de dato afectado.

2.1 Consentimiento

¿Cuál es la forma en que las residencias deben recoger los datos (de salud) de los residentes? Por dato de salud, en el caso de las residencias, debemos entender los informes médicos previos a la entrada en el centro, las prescripciones médicas de seguimiento y medicación y los registros obligatorios según la normativa de servicios sociales.

El criterio general establecido por la LOPD para que la recogida de datos de salud sea legítima, es el de la necesidad del consentimiento expreso de su titular o que así lo establezca una ley. A pesar de esta regla general, el mismo artículo donde esto se establece, en su apartado 6, ya establece que los datos de salud, podrán ser objeto de tratamiento "cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto". El análisis de esta excepción permite llegar a la conclusión que, debido a que los datos de salud de los residentes son recogidos "para la prevención o para el diagnóstico médicos" y estos son tratados por personal sanitario "sujeto al secreto profesional", no sería necesario el consentimiento expreso de los residentes para el tratamiento de sus datos de salud.

A pesar de esta regla general aplicable, el Código Tipo del ACRA eleva[3] los requisitos exigiendo el consentimiento expreso y por escrito de los residentes, para recabar datos de carácter personal relativos a su salud; el propio Código Tipo entiende otorgado dicho consentimiento, mediante la firma del contrato de prestación asistencial.

En tanto que el Código Tipo del ACRA establece este requisito adicional de consentimiento expreso y por escrito, otorgado mediante la firma del citado contrato, resulta interesante analizar la regulación que se realiza sobre quién debe dar este consentimiento y la solución propuesta (y aceptada por la AEPD[4]) ya que nos encontramos ante un derecho (el de la protección de datos) personalísimo, circunstancia que debe ser aplicada en un ámbito, el de las residencias, donde, en muchos casos, el titular de este dato (el residente), no se encuentra en condiciones de dar dicho consentimiento. El Código Tipo del ACRA define tres posibles situaciones aportando sendas soluciones:

1. El residente está plenamente capacitado para expresar libremente su libertad. En este caso será el propio residente quien actúe en nombre propio en todos los actos de disposición de sus datos.



2. El residente está declarado incapaz por sentencia judicial firme. En este caso, será el representante legal o tutor, quien actúe en nombre del residente.



3. El residente no está declarado incapaz por sentencia judicial firme pero padece algún tipo de demencia. El Código Tipo del ACRA se refiere al artículo 11 del Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la LORTAD y al artículo 18.2 la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, para prever la posibilidad que el consentimiento en el tratamiento de los datos del residente, lo otorgue su representante legal.

2.2 Deber de información

Con independencia que se determine la necesidad de otorgamiento del consentimiento expreso, sea por escrito o no, según se aplique la LOPD o el Código Tipo del ACRA, en ambos supuestos, los titulares de los datos (o sus representantes), son acreedores de un derecho de información, lo que convierte a las residencias en deudoras de esta obligación.

¿Qué información debe facilitarse?

La residencia está obligada a informar al residente o a su representante, según proceda (artículo 5 LOPD):

1. De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.



2. Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.



3. De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.



4. De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.



5. De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Esta información debe facilitarse, en cualquier medio o forma a través de la cual la residencia recoja datos personales de los residentes. El Código Tipo del ACRA identifica alguno de estos medios: reuniones personales, conversaciones telefónicas o de cualquier otro tipo que se realicen con el residente o su representante y donde se recojan datos personales del primero.

Así mismo, esta información debe ser facilitada al residente o a sus representantes, en el caso que sus datos no hayan sido obtenidos directamente de sus titulares. En este supuesto, será necesario informar al titular de los datos, durante los tres meses siguientes a la consignación de los mismos, salvo que no hubiera sido informado con anterioridad, del contenido del tratamiento, de la procedencia de los datos, así como de los puntos a), d) y e) anteriormente señalados. Posteriormente haremos referencia a las reglas que deben regir la comunicación de datos de residentes a terceros, fuera del ámbito de la propia residencia.

2.3 Derechos de los titulares de los datos

Aparte del derecho de información, cualquier persona que entregue sus datos personales a un tercero, se convierte en titular de una serie de derechos, a efectos de garantizar el derecho más general, de conocer el uso que se realiza sobre los mencionados datos (derecho de autodelimitación informativa). Esta regla general, no resulta una excepción, en el ámbito de las residencias, en relación a los datos de salud de sus internos.

En el ámbito de los derechos de los residentes, en relación a la libre disposición sobre sus datos personales, no debemos perder de vista que nos encontramos ante un derecho que el Tribunal Constitucional, ha definido como fundamental, gozando de las máximas garantías del ordenamiento jurídico, por lo que la no observancia de dicho derecho por parte de los titulares de los ficheros (las residencias), tiene unas consecuencias jurídicas especialmente gravosas.

1. Derecho de acceso.

   Las residencias, como responsables de los ficheros donde se almacenan los datos de los residentes, deben garantizar a los titulares de dichos datos, el derecho a solicitar información sobre los datos que está tratando, el origen de dichos datos, las comunicaciones realizadas o que se prevé realizar de los mismos.

   La LOPD marca los requisitos de ejercicio de este derecho así como los plazos para responder a peticiones de este tipo; a estos efectos, resulta útil y recomendable que la residencia disponga de formularios para garantizar el ejercicio de este derecho a efectos de sistematizar el procedimiento y llevar un control sobre el mismo.

2. Derechos de rectificación, cancelación y oposición.

   El titular de los datos tiene derecho a solicitar a la residencia la rectificación o la cancelación de los datos que no se ajusten a la LOPD o, en su caso, aquellos que resulten inexactos o incompletos.

   La cancelación de los datos dará lugar al bloqueo[5] de los mismos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de posibles responsabilidades derivadas del tratamiento, durante el plazo de prescripción de dichas responsabilidades. Una vez transcurridos dichos plazos, se procederá a la supresión[6] definitiva[7] de los datos.

   En el caso de ejercicio de los derechos de rectificación o cancelación, si la residencia ha comunicado a terceros los datos objeto de controversia, la propia residencia será responsable de informar a dichos terceros de la mencionada modificación o cancelación, a efectos que estos puedan hacer lo propio en sus ficheros.

   Por último, el derecho de oposición consiste en la posibilidad que los titulares de los datos puedan oponerse al tratamiento de los mismos, cuando estos han sido legítimamente recogidos sin su consentimiento (por ser aplicable alguna excepción legal), y siempre que no exista una ley que lo impida y existan motivos fundados y legítimos para dicha oposición.

3. ALMACENAMIENTO Y TRATAMIENTO DEL DATO

Una vez la residencia ha recogido los datos de los residentes, observando las garantías hasta ahora expuestas, existen una serie de obligaciones que también le competen y que hacen referencia a la forma en que los datos deben ser conservados y tratados. A estos efectos, nos centraremos en los dos aspectos que consideramos de más relevancia: medidas de seguridad a aplicar a los ficheros donde se almacenan los datos y deber de secreto en el tratamiento por parte del personal de la residencia.

3.1 Medidas de seguridad

Las residencias, como responsable de los ficheros donde se ubican los datos de los residentes, están obligadas a adoptar "las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural" (artículo 9 LOPD). Las mencionadas medidas de seguridad deben quedar establecidas en el Documento de Seguridad que la residencia deberá elaborar, implementar y mantener actualizado; este documento deber ser accesible por el personal con acceso a datos, que resulta obligado por su contenido.

Es en este ámbito donde resulta ciertamente trascendente el hecho que, entre los datos de los residentes que tratan las residencias, se encuentren datos relativos a su salud; y es que el Reglamento de Seguridad, atendiendo a la calificación de dichos datos como especialmente protegidos, exige que los ficheros donde este tipo de datos quedan archivados, adopten medidas de seguridad de tipo alto.

Las medidas de seguridad que las residencias deben implementar en los ficheros, automatizados y en papel, donde almacenan los datos personales de los residentes, quedan establecidas:

• Para los ficheros automatizados: Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal[8] (en lo sucesivo "Reglamento de Seguridad").



• Para los ficheros no automatizados[9]: Código Tipo del ACRA.

No es nuestra intención analizar las medidas de seguridad a tomar (son fácilmente accesibles en ambos textos) o su mayor o menor pertinencia, sino simplemente remarcar la necesidad de su aplicación y poner el acento en la mayor necesidad de tenerlas presentes, si cabe, en el caso que se traten datos de salud de las personas. Adicionalmente la LOPD define el hecho de "mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen" como una infracción grave, que puede ser sancionada con multas de 60.000 a 300.000 €.

Para cerrar este tema, simplemente añadir que las medidas de seguridad para proteger los datos de salud (especialmente para los ficheros automatizados) son ciertamente gravosas y que su pleno cumplimiento es indudablemente costoso; es por ello que recomendamos que en caso de que la residencia desee adquirir o actualizar su programa de gestión, tenga en cuenta su adaptación al Reglamento de Seguridad, como un argumento importante para decidirse por uno u otro programa. Además, las medidas de seguridad de tipo alto no afectan, únicamente al propio programa, sino también a la organización del sistema informático de la residencia, por lo que debemos señalar para concluir, que el diseño a priori de la red informática atendiendo a los criterios establecidos en la normativa analizada, resulta mucho menos costoso que su adaptación a posteriori.

3.2 Deber de secreto

Entramos aquí en un punto ciertamente importante en relación a la adecuación de la residencia a la normativa de protección de datos en interdependencia con las normas de la legislación sanitaria, que exigen a los profesionales que traten datos de salud, un deber de secreto sobre la información que conozcan en ejercicio de sus funciones, deber que persiste aún después de finalizar sus relaciones con el responsable del fichero (la residencia).

A pesar de este deber legal genérico resulta muy recomendable, que las residencias hagan firmar a sus empleados, un documento donde se establezca esta obligación por escrito, a efectos de prevenir y reaccionar ante incumplimientos dolosos o culposos de la misma. Esta declaración debería ser firmada por todo el personal que esté trabajando en la residencia al momento de implantación de la normativa de protección de datos así como por cualquier persona que entrase en el centro a partir de dicho momento.

El Documento de Seguridad de la residencia debe establecer y detallar las funciones del personal en relación a su acceso a los datos personales de forma, que únicamente accedan a aquellos estrictamente necesarios para el desarrollo de sus funciones laborales. La inclusión de estas obligaciones en el Documento de Seguridad, debe tener su correlación en el diseño de la red informática de la residencia, de forma que técnicamente se limite a los usuarios (los trabajadores), el acceso a datos que no precisen para cumplir con sus obligaciones.

4. OTROS TRATAMIENTOS: CESIONES DE DATOS Y TRATAMIENTO POR CUENTA DE TERCEROS

Nos centraremos aquí en los casos en que los datos personales de los residentes, pueden ser conocidos o tratados por terceros, fuera del ámbito de actuación de la residencia.

La LOPD define básicamente dos supuestos que responden a estas características, pero que tienen consecuencias jurídicas muy diferenciadas:

1. Cesión o comunicación de datos: "Cualquier revelación de datos a una persona distinta del interesado". Bajo esta genérica definición quedan englobados todos los supuestos en que los datos personales de los residentes son facilitados a terceros organismos (privados o públicos), a efectos que estos realicen tratamientos propios y no sujetos a condiciones impuestas por el responsable del fichero (la residencia). En este supuesto, que ahora analizaremos, este tercero pasa a convertirse en otro responsable del fichero, debiendo adoptar las medidas que la LOPD prevé para esta figura.



2. Tratamiento de datos por cuenta de terceros: En este caso, el acceso de los datos por parte de un tercero, responde al encargo de una prestación de servicios por parte de la residencia, a dicho tercero, que implica el tratamiento de los datos personales ubicados en sus ficheros. En este supuesto, el acceso o tratamiento de los datos por parte del tercero, responde a un determinado encargo de la residencia, debiéndose adaptar a unas finalidades concretas; en dicho supuesto, el tercero, es considerado como un encargado del tratamiento.

4.1 Cesión o comunicación de datos

La regla general establecida por la LOPD, para la cesión o comunicación de datos a terceros responde a una doble necesidad:

1. Que exista el consentimiento previo de la persona afectada.



2. Que la cesión de los datos responda al cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario.

A pesar del que se acaba de indicar, es necesario tener en cuenta que el artículo 11.2 de la LOPD prevé supuestos en los que no será necesario el consentimiento del titular de los datos para proceder a su cesión. A continuación enumeramos las excepciones aplicables a la actividad de las residencias geriátricas:

1. Cuando una ley lo prevea (artículo 11.2.a) y d) LOPD). En este supuesto la cesión de datos quedaría amparada por lo que dispone el artículo 7.4 de Decreto 284/1996 (en Cataluña), donde se dispone que la residencia, en el caso de encontrarse ante un ingreso de un residente, no acompañado de una serie de representantes enumerados en la propia ley, estará obligada a comunicar al juez una serie de datos personales (entre los que se incluyen datos de salud del residente).



2. También se podrán ceder los datos del residente, además de los Juzgados, a los siguientes organismos siempre que una ley así lo prevea: administraciones públicas competentes; Hacienda Pública y al Defensor del Pueblo o al Tribunal de Cuentas o a los órganos equivalentes en cada Comunidad Autónoma.



3. Cesión de datos de salud para solucionar una urgencia (artículo 11.f) LOPD): el Código Tipo del ACRA, por ejemplo, prevé la cesión de los residentes para estas finalidades, a médicos, hospitales, centros de salud, servicios de ambulancia y trabajadores sociales.



4. Cuando la cesión de datos responda a la libre y legítima aceptación de una relación jurídica que implica la conexión del tratamiento con ficheros de terceros (artículo 11.2.c) LOPD). A efectos de ejemplo, incluimos los supuestos que el Código Tipo del ACRA incluye entre esta excepción:
   
   
   1. Otras residencias: únicamente para el traslado de expedientes, nunca para finalidades comerciales o publicitarias.
   
   
   
   2. Despachos profesionales o gestorías, bancos siempre que la residencia contrate sus servicios profesionales para el cumplimiento de las legítimas finalidades de los centros y que el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros[10].
   
   
   
   3. Cesiones de datos personales de residentes o familiares a farmacias para la tramitación y facturación de recetas de medicamentos no incluidos en los servicios básicos de la residencia.

Hasta el momento hemos analizado los supuestos en que la residencia se convierte en cedente de los datos personales; en el caso contrario (si la residencia recibe dichos datos) también será aplicable la regla general del consentimiento previo, a menos que no nos encontremos ante una excepción legal. En este supuesto, tal y como se ha indicado anteriormente, la residencia debería informar a los titulares de los datos, en el plazo de tres meses desde que recabó sus datos de la información señalada en el apartado 1.2 in fine de este artículo. Esta información no sería necesaria si existe una previsión legal por la que la residencia recibe estos datos, en el caso de Cataluña podemos señalar el artículo 7.2 del Decreto 284/1996, que obliga a la residencia a disponer de un informe médico del residente, en el momento de su ingreso donde se contengan sus datos personales y los relativos a su salud.

4.2 Tratamiento de datos por cuenta de terceros

En el caso que la residencia encargue a un tercero la prestación de un servicio, el desarrollo del cual implique el acceso a datos ubicados en sus ficheros, nos encontraremos ante un supuesto de tratamiento de datos por cuenta de terceros. En este caso, la relación entre la residencia y este tercero debe estar regulada en un contrato escrito donde se establezca que el encargado del tratamiento (el tercero) "únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento (la residencia), que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas". Adicionalmente el mencionado contrato, deberá contener las medidas de seguridad que el encargado del tratamiento adoptará en sus sistemas informáticos en el tratamiento de los datos, así como la necesidad de destrucción de los mismos, una vez la prestación del servicio haya concluido.

En este supuesto, además de aquellos más conflictivos a los que hemos aludido a lo largo de este trabajo, podemos incluir el caso en que profesionales externos a la residencia accedan a los datos de residentes a los efectos de prestar un servicio de asistencia médica. Adicionalmente al caso de los datos de los residentes, entraría en este supuesto, por ejemplo, circunstancias tan habituales como el encargo a una gestoría de la elaboración de las nóminas del personal de la residencia.

5. CONCLUSIONES

Podemos concluir que la adecuación de las residencias geriátricas a la normativa de protección de datos, debe llevarse a cabo con la máxima rigurosidad al afectar a dos elementos tan especialmente sensibles como la tercera edad y los datos de salud. Nos encontramos, por tanto, ante la necesidad de adecuación de las empresas a una legislación ciertamente compleja que, en el ámbito de las residencias, y por los motivos que hemos tratado de argumentar en este artículo, deviene especialmente sensible.

Es por ello que debemos recomendar a los responsables de residencias geriátricas, que huyan de las, tentadoras y más económicas, soluciones estandarizadas en esta materia (muy presentes en el mercado) y que exijan la máxima implicación de los auditores a los que encarguen esta importante labor. Cualquier auditoria, por otra parte, además de contar con una persona de marcado perfil jurídico, es necesario que prevea la participación de algún experto en soluciones de seguridad informática, debido al alto componente técnico que se exige para la correcta aplicación de esta normativa.

En resumen, queremos finalizar remarcando la necesidad legal de adecuarse a la LOPD y sus normas de desarrollo, debido, no únicamente a las altas sanciones previstas en caso de incumplimiento, sino al ser un beneficio para la imagen de la residencia. Ante esta necesidad legal añadida a la complejidad de la materia, aconsejaríamos que los responsables de residencias, examinen minuciosamente a quien confían esta labor, ya que una auditoria bien realizada y debidamente publicitada, reporta beneficios para su negocio, pero una auditoria a medias o deficientemente enfocada y ejecutada puede acabar provocando la exteriorización de una mala imagen y, en definitiva, repercutir en los balances económicos.

En Barcelona, a 17 de enero de 2006