Es probable que los formularios de su portal no cumplan con la normativa vigente sobre el tratamiento de datos de salud.

Resumen del artículo

• Las casillas de consentimiento preseleccionadas violan el principio de "consentimiento libre" establecido por el GDPR, invalidando cualquier tratamiento posterior de los datos.

• Las políticas de privacidad deben estar disponibles en todos los idiomas que ofrece su portal de servicios, garantizando que los usuarios comprendan claramente lo que están aceptando.

• Abordar los patrones oscuros (diseños manipulativos que influyen en las decisiones de los usuarios) ayuda a reducir el consentimiento engañoso o poco transparente.

• Implementar un consentimiento granular permite a los usuarios aceptar, rechazar o revocar el uso de tipos específicos de datos, brindándoles mayor control sobre su información.

• Mantener registros de auditoría claros y detallados sobre el consentimiento, que incluyan quién lo otorgó, en qué momento y para qué propósito, es fundamental para cumplir con las normativas.

Los portales de servicios sanitarios recopilan datos personales cada vez que los usuarios envían tickets. La información incluye el nombre de la persona, la dirección de correo electrónico, el departamento, la información del gestor y las descripciones de los problemas que fluyen hacia las plataformasde gestión de servicios de TI (ITSM).Estos tickets pueden contener datos de salud de categoría especial según el artículo 9 del GDPR, incluidos detalles relacionados con discapacidades, medicación o una aplicación móvil de salud. En la Unión Europea, los "datos de salud" se definen como "todos los datos relativos al estado de salud de un interesado que revelen información sobre el estado de salud física o mental pasado, presente o futuro del interesado".

Según el GDPR, el consentimiento para procesar datos de categorías especiales debe ser libre, específico, informado e inequívoco. Sin embargo, la mayoría de los portales de servicios sanitarios no cumplen con este requisito. Estas deficiencias en el consentimiento no son simples tecnicismos; son incumplimientos sustanciales. Cuando el consentimiento otorgado en un portal de servicios no cumple con las normas del GDPR, cualquier acción posterior —ya sea una solicitud creada, un flujo de trabajo activado o un informe generado a partir de esos datos— se considera un tratamiento de datos no conforme.

Una investigación que analizaba las prácticas de privacidad en aplicaciones sanitarias descubrió que el 44% de las aplicaciones comparten información personal con terceros sin la debida divulgación en las políticas de privacidad. Los entornos ITSM sanitarios presentan lagunas de consentimiento similares. Las organizaciones asumen erróneamente que los términos de servicio estándar del portal de servicios constituyen un consentimiento adecuado.

Las instituciones de salud que integran sistemas de consentimiento informado en sus portales de servicios reportan mejoras tangibles en sus resultados de auditoría. Además, logran que los usuarios comprendan con mayor claridad el tratamiento de sus datos, mitigando significativamente los riesgos legales por infracciones de privacidad. Al contar con trazabilidad documental, estas organizaciones garantizan un cumplimiento sólido ante cualquier investigación regulatoria.

Conseguir un consentimiento conforme requiere seis controles de implementación que abordan:

1. mecanismos de inclusión voluntaria,
2. información multilingüe sobre privacidad,
3. eliminación de patrones oscuros,
4. opciones de consentimiento granular y
5. pistas de auditoría del consentimiento.
   

Cada uno de estos temas se trata en detalle en los capítulos siguientes.

Los mecanismos de consentimiento previo sustituyen a las casillas premarcadas

La violación del consentimiento más común en los portales de servicios es la casilla premarcada. Los usuarios encuentran formularios con casillas ya marcadas que aceptan el tratamiento de datos, las políticas de privacidad o las condiciones del servicio. Para negarse, los usuarios deben desmarcar activamente las casillas.

Infracciones del GDPR con las casillas premarcadas

• La premarcación presupone el consentimiento antes de que los usuarios tomen una decisióndeliberada.

• Los usuarios pueden no darse cuenta de la existencia de casillas premarcadas y enviar formularios sin un consentimientoconsciente.

• Las autoridades de protección de datos dictaminan sistemáticamente que las casillas premarcadas no constituyen un consentimientoválido.
• Se han impuesto múltiples multas en virtud del RGPD específicamente por las casillas deconsentimiento premarcadas.

Requisitos de aplicación

Sustituir todas las casillas premarcadas por mecanismos de inclusión voluntaria:

1. Las casillas empiezan sin marcar: los usuarios deben marcarlas activamente para dar su consentimiento.
2. Etiquetas claras en las casillas de verificación: las etiquetas explican exactamente a qué consienten los usuarios al marcar las casillas.
3. Separe el consentimiento de otras acciones: no lo asocie a la creación de una cuenta o al acceso a un servicio.
4. Las acciones pasivas no constituyen un consentimiento válido.
5. Colocación del consentimiento en un lugar visible: los usuarios deben encontrar las opciones de consentimiento antes de enviar información confidencial.

A algunas organizaciones les preocupa que el consentimiento previo reduzca los índices de finalización. Sin embargo, los estudios demuestran que un consentimiento claro y honesto aumenta la confianza del usuario. Los usuarios que consienten conscientemente son más propensos a proporcionar información precisa y menos propensos a quejarse del tratamiento posteriormente.

La información multilingüe sobre privacidad enamora el consentimiento informado

El consentimiento informado requiere que las personas tengan acceso a toda la información necesaria sobre el tratamiento de datos: quién accede a ellos, para qué se utilizan, dónde se almacenan. Las personas deben conocer su derecho a revocar el consentimiento, y retirarlo debe ser tan sencillo como darlo.

Sin embargo, los portales sanitarios fracasan a menudo por las barreras lingüísticas. Aunque muchos portales ofrecen varios idiomas, las políticas de privacidad pueden estar disponibles principalmente en inglés.

Fallos multilingües habituales

• Políticas de privacidad disponibles sólo en inglés a pesar de que el portales multilingüe

• Botones de Google Translate que esperan que los usuarios traduzcan las políticas por sí mismos

• Avisos de privacidad abreviados en las lenguas locales con "todos los detalles en inglés".

Implementación multilingüe recomendada

Cree políticas de privacidad en todos los idiomas admitidos:

1. Traducción profesional - Utilice traductores cualificados, no traducción automática
2. Revisión jurídica en cada idioma - Asegúrese de que las traducciones mantienen la exactitudjurídica
3. Adaptación cultural: adapte los ejemplos y las explicaciones al contextolocal.
4. Terminología coherente: utilice la misma terminología sobre privacidad en todos los idiomas.
5. Actualizaciones simultáneas: actualice todas las versiones lingüísticas a la vez cuando cambienlas políticas.
6. Cambio destacado de idioma: haga que la selección de idioma sea obvia y fácil.

Algunas organizaciones se preguntan si basta con breves resúmenes de consentimiento. El GDPR exige información "concisa, transparente, inteligible y fácilmente accesible". Los resúmenes ayudan, pero no sustituyen a las políticas completas. Los usuarios se benefician del acceso a la información completa sobre privacidad en idiomas que entienden.

La eliminación de patrones oscuros evita la manipulación del consentimiento

Los patrones oscuros son características de diseño creadas intencionadamente para inducir a error a los usuarios y hacer que tomen una decisión no deseada a expensas del propio usuario. Los portales de servicios utilizan estas técnicas para obtener el consentimiento sin comprenderlo plenamente.

Los patrones oscuros más comunes incluyen ocultar información en letra pequeña, limitar las opciones mediante un diseño que dificulte la exclusión voluntaria y utilizar un lenguaje confuso. Un portal puede ocultar la opción "rechazar" en la parte inferior de la pantalla. Otro puede destacar la opción "aceptar todo" y hacer casi invisible la opción "gestionar preferencias".

Principios de diseño del consentimiento conforme

Cree interfaces de consentimiento honestas y claras:

1. El mismo peso visual: botones de aceptación y rechazo del mismo tamaño y prominencia.
2. Lenguaje sencillo: explique claramente los fines del tratamiento sin utilizar un lenguajecomercial.
3. Necesidad honesta: marque como obligatoriosólo el tratamiento realmente necesario.
4. Fácil denegación: haga que denegar el consentimiento sea tan sencillo como aceptarlo.
5. Sin tácticas de presión: elimine la urgencia artificial o las opcionesforzadas.
6. Consecuencias claras - Explique lo que ocurre con o sin consentimiento

El consentimiento granular proporciona un control significativo al usuario

El consentimiento de todo o nada viola el requisito del GDPR de que el consentimiento sea "específico". Cuando los portales de servicios presentan un único consentimiento que cubre todas las actividades de procesamiento, los usuarios no pueden aceptar el procesamiento necesario y rechazar el procesamiento opcional.

El consentimiento granular resuelve este problema. En lugar de una casilla de verificación, los usuarios ven opciones separadas para cada propósito de recopilación. Así se respeta la autonomía al tiempo que se mantiene la calidad del servicio. El usuario que notifica errores puede dar su consentimiento para los registros del dispositivo y los mensajes de error, pero negarse a compartir su ubicación física. La solicitud sigue proporcionando información suficiente para la investigación.

Implementación del consentimiento detallado

Ofrezca opciones de consentimiento independientes según la finalidad del tratamiento de los datos:

Tratamiento esencial (por lo general, amparado por intereses legítimos; no requiere consentimiento explícito):

• Gestión y seguimiento de incidencias (tickets).
• Soporte técnico y resolución de problemas.
• Suministro y prestación de servicios.
• Protocolos de seguridad y prevención de fraude.

Tratamiento opcional (requiere el consentimiento explícito del usuario):

• Seguimiento y análisis por parte de terceros.
• Investigación orientada a la mejora de los servicios.
• Intercambio de datos con proveedores externos.
• Comunicaciones comerciales y de marketing.
• Entrenamiento de modelos de Inteligencia Artificial (AI) y Aprendizaje Automático (ML).

Las organizaciones sanitarias que aplican el consentimiento granular informan de que los usuarios aceptan más fácilmente el tratamiento cuando comprenden los fines específicos y pueden rechazar usos no deseados. Los índices de cumplimentación suelen aumentar porque los usuarios se sienten respetados en lugar de manipulados.

Los registros de auditoría del consentimiento demuestran el cumplimiento

Cuando las autoridades de protección de datos investigan las prácticas de consentimiento, solicitan pruebas de que el consentimiento se obtuvo realmente, y no sólo como se afirma en las políticas. Los registros de auditoría del consentimiento proporcionan estas pruebas.

El portal de servicios debe registrar cada decisión en una base de datos con el identificador del usuario, el tipo de consentimiento, la fecha y hora, el estado (concedido o retirado) y el idioma concreto mostrado. Cuando los usuarios retiren su consentimiento, registre esa acción con una nueva marca de tiempo en lugar de eliminar el registro original.

Las organizaciones sanitarias deben conservar los registros de auditoría del consentimiento durante todo el tiempo que procesen datos basados en dicho consentimiento, además de un periodo razonable para reclamaciones legales (normalmente entre 3 y 7 años después de finalizar el procesamiento).

El consentimiento conforme protege a las organizaciones y respeta a las personas

La cuestión del consentimiento empieza en su ITSM, pero no termina ahí. Las investigaciones muestran que el 44% de las aplicaciones sanitarias comparten información personal con terceros sin la debida divulgación. Es probable que su portal se conecte a múltiples sistemas: su CMDB, herramientas de análisis, base de conocimientos, plataformas de proveedores. Cada uno de ellos recibe datos que los usuarios consintieron compartir a través de su portal. Si el consentimiento inicial no era válido, cada actividad posterior viola las protecciones del artículo 9 del GDPR.

Las organizaciones sanitarias que implementan portales de servicios de consentimiento conformes se protegen de las infracciones normativas y demuestran respeto por las personas que envían información personal. Eliminan las casillas premarcadas que requieren un consentimiento activo. Proporcionan información sobre privacidad en todos los idiomas admitidos. Eliminan los patrones oscuros que manipulan las decisiones de consentimiento. Ofrecen un consentimiento granular que permite opciones específicas. Mantienen registros de auditoría exhaustivos.

Comience a implementar el consentimiento conforme esta semana. La Lista de Verificación de Cumplimiento GDPR de Matrix42 Healthcare ITSM proporciona una guía detallada. Descárguela para crear mecanismos de consentimiento conformes que protejan a su organización respetando la privacidad del usuario.

¿Cómo le iría a su organización si los mecanismos de consentimiento de su portal de servicios fueran auditados con respecto al cumplimiento del GDPR?

Descargue nuestra lista de comprobación completa de ITSM para el sector sanitario, que le ayudará a garantizar el cumplimiento del GDPR de sus datos sanitarios.

Preguntas más frecuentes (FAQ)