§1012174
RECOMENDACIÓN 1/2005, DE 5 DE AGOSTO, DE LA AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID, SOBRE ARCHIVO, USO Y CUSTODIA DE LA DOCUMENTACIÓN QUE COMPONE LA HISTORIA SOCIAL NO INFORMATIZADA POR PARTE DE LOS CENTROS PÚBLICOS DE SERVICIOS SOCIALES DE LA COMUNIDAD DE MADRID (APROBADA POR RESOLUCIÓN DEL DIRECTOR DE LA AGENCIA DE PROTECCIÓN DE DATOS DE LA COMUNIDAD DE MADRID CON FECHA 5 DE AGOSTO DE 2005).
La protección social pública en España tiene un importante avance a partir de la aprobación de la Constitución de 1978. La Constitución define nuestro Estado como social y democrático de Derecho, establece como valores superiores la justicia y la igualdad (artículo 1.1 CE) y obliga a los poderes públicos a “promover las condiciones para que la libertad y la igualdad del individuo y de los grupos en que se integra sean reales y efectivas; remover los obstáculos que impidan o dificulten su plenitud y facilitar la participación de todos los ciudadanos en la vida política, económica, cultural y social” (artículo 9.2 CE). En la Comunidad de Madrid a través de la Ley 11/2003, de 7 de marzo, que deroga la Ley 11/1984, de 6 de junio, se establecen los fundamentos de la política global de servicios sociales en dicha Comunidad, haciendo una apuesta fuerte, tal y como señala su exposición de motivos, por la universalidad, equidad e igualdad de acceso a todos los ciudadanos a los servicios sociales, clarificando y consolidando firmemente sus derechos. Entre tales derechos reconocidos en el artículo 4 de la Ley se prevé el referente a la confidencialidad respecto a la información que sea conocida por los servicios sociales en razón de la intervención profesional, y a conocer la información existente en su historia social.
Este marco normativo se completa con la Ley 11/2002, de 18 de diciembre, de Ordenación de la Actividad de los Centros y Servicios de Acción Social y de Mejora de la Calidad en la Prestación de los Servicios Sociales de la Comunidad de Madrid, que tiene por objeto no sólo garantizar la adecuada actuación de los centros de Servicios Sociales y Servicios de Acción Social desde un punto de vista de estricta legalidad, sino también asegurar la adecuada prestación de los Servicios Sociales por las Entidades autorizadas de acuerdo con parámetros de calidad previamente definidos y referidos, tanto a aspectos materiales y funcionales como relativos a la formación o especialización del personal y a los procesos establecidos para la prestación de los servicios. Asimismo esta norma también contempla un decálogo de derechos del usuario de Centros de Servicios Sociales y/o Servicios de Acción Social, entre los que específicamente aparece el derecho a la máxima intimidad personal y a la protección de la propia imagen, al secreto profesional de su historia sanitaria y social y a la protección de sus datos personales. Dicha Ley extiende su ámbito de aplicación a los Centros Privados de Servicios Sociales, que no obstante quedan fuera del alcance de esta Recomendación.
La historia social es un buen ejemplo de tratamiento de datos de carácter personal, aunque no ha sido objeto de desarrollo legal, a diferencia de la historia clínica, que sí lo ha sido a través de la Ley 41/2002, de 14 de noviembre, básica reguladora de la auto
nomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y diferentes Leyes autonómicas.
Por tanto, para atender a la definición de historia social y para enmarcar su contenido habrá que acudir al Código Deontológico de la profesión de Diplomado en Trabajo Social, conforme al texto aprobado por la asamblea general de colegios oficiales de diplomados en trabajo social y asistentes sociales en su sesión extraordinaria de 29 de mayo de 1999. El artículo 3 de dicho Código define la historia social como un instrumento documental en el que se registran exhaustivamente los datos personales, familiares, sanitarios, de vivienda, económicos, laborales, educativos y cualesquiera otros significativos de la situación sociofamiliar de un usuario, la demanda, el diagnóstico y subsiguiente intervención y la evolución de tal situación. Las historias sociales permiten describir, analizar, sintetizar y cuantificar las situaciones de los beneficiarios de los servicios sociales tanto a nivel personal como en relación con su entorno. Las historias sociales son imprescindibles, ya que aportan al profesional datos básicos para fijar objetivos, un plan de trabajo, con calendarios, períodos y procedimientos de intervención.
La historia social o expediente social está compuesta de varios documentos: Ficha social, proyecto de intervención social e informe social, así como aquellos documentos que reflejan el seguimiento de las intervenciones, los que avalan la información contenida en la historia, etcétera. La ficha es el soporte documental del trabajo social que refleja la información sistematizable de la historia social. Aunque no existe un modelo único para su uso, suele constar de datos del usuario, de su entorno sociofamiliar, del hábitat y de la intervención social, que comprende la evaluación, el diagnóstico de la situación y la determinación de objetivos operativos, actividades, tareas, recursos, calendarios y criterios de evaluación. El informe social recoge la síntesis de la situación emitido por un profesional social como resultado de un proceso. Su contenido se deriva del estudio, a través de la observación y la entrevista, donde queda reflejada la situación objeto, valoración, un dictamen técnico y una propuesta de intervención profesional. El proyecto de intervención social es el diseño de la intervención que comprende una evaluación-diagnóstico de la situación y personas con quienes actuar, una determinación de objetivos operativos, actividades y tareas, utilización de recursos, temporalización y criterios de evaluación.
Igualmente el desarrollo de las funciones desempeñadas por los servicios sociales requieren el tratamiento de datos personales. Así, en los servicios sociales se recogen distintos datos personales como los identificativos, los datos de salud, minusvalías u otros datos especialmente protegidos, de características personales, circunstancias sociales, datos económico-financieros, socioeducativos, etcétera, cuyo tratamiento quedará bajo el ámbito de aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
Estos datos de carácter personal pueden encontrarse almacenados en ficheros informáticos o en ficheros manuales-estructurados (expedientes y carpetas). Es decir, los tratamientos de datos personales pueden ser automatizados o no automatizados (artículo 3.c) LOPD). El régimen jurídico de los ficheros informatizados y manuales es parcialmente distinto. En todo caso, son plenamente de aplicación a los ficheros manuales los principios de la protección de datos (artículos 4 a 12 LOPD) y los derechos de las personas en éste ámbito (artículos 13 a 19 LOPD).
Por otra parte, la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, establece que la Agencia de Protección de Datos de la Comunidad de Madrid ejercerá la función de control sobre los ficheros de datos de carácter personal creados o gestionados, entre otros, por las instituciones de la Comunidad de Madrid y por los órganos, organismos, entidades de derecho público y demás entes públicos integrantes de su Administración Publica (artículo 2), por lo que todos los centros asistenciales públicos dependientes del Servicio Regional de Bienestar Social, del Instituto Madrileño del Menor y la Familia y de la Consejería de Familia y Asuntos Sociales de la Comunidad de Madrid, y centros públicos dependientes de cualquier Entidad Local del territorio de la Comunidad de Madrid están dentro del ámbito de aplicación de dicha Ley.
La Agencia de Protección de Datos de la Comunidad de Madrid considera conveniente realizar una serie de recomendaciones sobre medidas de custodia y archivo de historias sociales no informatizadas, para que sirvan de ayuda y referencia a los centros e instituciones públicas de prestación de servicios sociales de la Comunidad de Madrid desde la óptica de la protección de datos. Esta consideración se realiza de conformidad con la función que la Agencia tiene encomendada en el artículo 15.d) de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, y se deriva del hecho de que la mayoría de los ficheros y tratamientos de datos de historias sociales de los referidos centros asistenciales se gestiona a través de sistemas de tratamiento no automatizados o sólo parcialmente automatizados, y ya estaban en funcionamiento con anterioridad a la vigencia de la LOPD, cuya disposición adicional primera establece un período máximo de doce años, a contar desde el 24 de octubre de 1995, para la adecuación a la norma de los ficheros y tratamientos no automatizados, preexistentes en el momento de su entrada en vigor.
Esta Recomendación no tiene carácter normativo, sino que es un documento programático, en la medida en que pueda servir como punto de referencia a tener en cuenta por los poderes públicos en materia de servicios sociales de la Comunidad de Madrid. No tiene más objeto que el de intentar aclarar aquellas dudas que, desde la perspectiva de la protección de datos, se les pueden plantear en relación con la custodia y el archivo de la información de carácter personal que consta en las historias sociales no informatizadas de los distintos centros prestadores de servicios sociales de la Comunidad de Madrid.
En consecuencia y en uso de las funciones que tiene atribuidas por Ley, la Agencia de Protección de Datos de la Comunidad de Madrid
RECOMIENDA
Primero
Definición y archivo de la historia social
1. Definición
Conforme a lo establecido en el Código Deontológico de la profesión de Diplomado en Trabajo Social, la historia social es un instrumento documental en el que se registran exhaustivamente los datos personales, familiares, sanitarios, de vivienda, económicos, laborales, educativos y cualesquiera otros significativos de la situación sociofamiliar de un usuario, así como la demanda, el diagnóstico y la subsiguiente intervención en la evolución de su situación personal.
Las historias sociales son imprescindibles para el trabajador social, ya que le aportan los datos básicos para prestar la asistencia social adecuada al usuario, así como le sirven para fijar objetivos, un plan de trabajo con calendarios, períodos y procedimientos de intervención.
La historia social debería estar compuesta, con carácter general, de varios documentos:
— Ficha social: Es el soporte documental del trabajo social que registra la información sistematizable. Aunque no existe un modelo unificado para su uso, suele constar de datos del usuario, de su entorno sociofamiliar, del hábitat y de la intervención social.
— Proyecto de intervención social: Contiene el diseño de la intervención social, que comprende la evaluación, el diagnóstico de la situación y la determinación de objetivos operativos, actividades, tareas, recursos, calendarios y criterios de valoración.
— El informe social: Recoge la síntesis de la situación emitido por un profesional social como resultado de un proceso. Implica exposición de los hechos, la valoración y las recomendaciones que se formulan.
Se considerarán además como integrantes de la historia social todos aquellos documentos que reflejan el seguimiento de las intervenciones que se realicen o los que avalan y aportan la información que se refleja en la historia social.
No tienen la consideración de historia social, y por tanto no les es de aplicación la presente Recomendación, aunque sí están sometidos a la Ley Orgánica 15/1999, aquellos ficheros que se crean para gestionar determinadas actividades desarrolladas por los Servicios Centrales de los organismos y unidades competentes en la prestación de servicios sociales, como pueden ser los expedientes de solicitud y concesión de una subvención, el reconocimiento de una situación legal o de hecho, o la concesión de una prestación o servicio específico y concreto.
2. Necesidad de elaboración
En los centros asistenciales públicos dependientes de la Administración Autonómica o Local del ámbito territorial de la Comunidad de Madrid, los trabajadores sociales deberían reflejar en la historia social cualquier dato relevante para conocer la situación personal del demandante o usuario de un servicio social.
El usuario de un servicio social tendría que facilitar todos aquellos datos relevantes de que disponga de forma leal y verdadera, así como colaborar en su obtención, especialmente cuando sean necesarios por razones de interés público.
3. Responsable del fichero de historias sociales
Atendiendo a la definición que tanto la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), como la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid (en adelante LPDCM), recogen sobre el responsable del fichero, éste es quien decide sobre la finalidad, contenido y uso del tratamiento, por lo que, en principio, la responsabilidad del archivo y gestión del fichero de historias sociales será de la dirección del Centro Público de Servicio Social, ello sin perjuicio de que, en aquellos centros con usuarios residentes o que atiendan a un número suficiente de usuarios bajo cualquier modalidad, la gestión y custodia del fichero pueda encomendarse a una unidad, departamento o servicio específico dentro de cada uno de ellos.
Los trabajadores sociales, como profesionales de referencia de los Centros de Servicios Sociales de Atención Primaria, tal y como recoge la Ley 11/2003, de 27 de marzo, de Servicios Sociales de la Comunidad de Madrid, tendrán también responsabilidad sobre el correcto archivo, uso y custodia de toda la documentación que compone la historia social.
4. Adecuación a los Principios de la Protección de Datos
En la medida que los usuarios de servicios sociales públicos facilitaran todos aquellos datos relevantes de que dispongan de forma leal y verdadera para la prestación de la asistencia social, el tratamiento de dichos datos y su incorporación a un fichero requerirá, con carácter general, el consentimiento del interesado, salvo que una Ley disponga otra cosa. No será necesario el consentimiento, de conformidad con lo previsto en el artículo 6.2 de la LOPD, cuando los datos se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias.
No obstante y con carácter previo a la recogida de la información, se informará al usuario o a la persona que lo represente legalmente, de forma precisa, inequívoca y entendible por el receptor de la información de los términos que establece el artículo 5 de la LOPD, es decir, se les informará de quién es el responsable del fichero, de cuál es la finalidad a la que se van a destinar los datos personales que se recogen, de los posibles cesionarios de la información, así como de dónde pueden ejercitar sus derechos de acceso, rectificación, cancelación y oposición en su caso.
Cada centro asistencial debería archivar, integrándolas en un único archivo, las historias sociales de todos sus usuarios o personas a las que presten asistencia los profesionales que tengan una vinculación laboral o de cualquier otro tipo con el mismo, cualquiera que sea el soporte en el que consten, de manera que quede garantizada su seguridad, su correcta conservación y la recuperación de la información.
En aquellos centros en los que, además de la asistencia social, se dé también asistencia sanitaria, ésta se prestará por profesionales sanitarios y se tendrá especial cuidado en diferenciar y separar el archivo y custodia de los datos que componen la historia social de aquellos que tienen un fin específicamente asistencial sanitario y que se integrarán en la historia clínica del usuario, a la que le será de plena aplicación la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
La historia social, siempre que se cuente con el consentimiento expreso del usuario o de su representante legal, podrá recoger aquellos datos de salud que reflejen situaciones de incapacidad o minusvalía, física o psíquica, reconocida legalmente o de hecho, o cualquier otro dato de salud que pueda afectar y repercutir en la situación personal y social del usuario o beneficiario de la prestación social.
Las Administraciones Públicas responsables de los centros públicos de prestación de servicios sociales podrán promover la integración de los archivos de historias sociales, de varios o todos los centros que de ellas dependan, especialmente sometiéndolos a procedimientos de informatización, para mejorar las condiciones de seguridad, almacenamiento, custodia y recuperación de información.
Segundo
Finalidad y usos de la historia social
1. Finalidad
La historia social es la herramienta, básica y fundamental, que permite al trabajador social realizar las tareas que tiene encomendadas para prestar asistencia social a quienes la necesiten o demanden, permitiéndole analizar, sintetizar, cuantificar y describir las situaciones de los usuarios tanto a nivel personal como en relación a su entorno.
La elaboración y disponibilidad de la historia social de un usuario permite al trabajador social tener un conocimiento más científico del caso con el que se enfrenta consiguiendo una mejora en la valoración y análisis de la situación y una mayor facilidad para la toma de decisiones y la elección de las acciones a realizar, debiendo limitar la utilización de apreciaciones subjetivas.
A la historia social de un usuario podrán acceder aquellos profesionales sociales que participen en su proceso asistencial y siempre que el acceso sea necesario para el ejercicio de sus funciones.
2. Uso de la historia social por equipos de profesionales
El análisis de las historias sociales por equipos de profesionales sociales del mismo o varios centros estará justificado en la medida que va a permitir obtener una visión amplia y completa de lo que puede estar sucediendo en un área territorial o zona geográfica determinada, en un aspecto concreto o en su conjunto, facilitando el análisis de variables, ayudando a homogeneizar actuaciones y a compartir experiencias acumulando el conocimiento de la realidad social por todos los miembros del equipo.
Para la realización de este tipo de actuaciones se requerirá consentimiento del titular de la historia social o, en su caso, con carácter previo a la puesta a disposición del equipo de las historias sociales para su estudio, que se extraigan todos los datos que permitan identificar a los titulares de las mismas.
3. Uso de la historia social en tareas de planificación, programación de servicios
Los responsables de los centros públicos o de las unidades u órganos administrativos de que éstos dependan podrán acceder a las historias sociales de sus usuarios para, del análisis del conjunto de las mismas, tener una visión global de lo que sucede en la realidad social en que estén actuando, información que les permitirá optimizar los recursos y mejorar la calidad de los mismos.
El acceso a las historias sociales con esta finalidad obliga, con carácter previo al acceso a la información que vaya a ser objeto de análisis, a preservar en todo caso los datos que identifican al titular de los datos de carácter personal que consten en las mismas.
4. Uso de la historia social con fines de gestión y administrativos
La realización de tareas de gestión de los servicios y administrativas puede requerir el acceso a determinada información almacenada en la historia social de los usuarios. Este acceso estará limitado a aquellos datos que sean adecuados, pertinentes y no excesivos para la gestión o tarea concreta que deba realizarse, como por ejemplo la admisión del usuario en el centro; funciones de gestión, contables o presupuestarias etcétera.
5. Uso de la historia social con fines de investigación, docencia o similares
Todos aquellos usos a que quiera destinarse la información contenida en la historia social, distintos del estrictamente asistencial o de gestión de los centros, deberá realizarse con datos previamente disociados.
En el caso de que no fuera posible realizar la actividad pretendida con los datos disociados, será obligatorio obtener el consentimiento del titular de los mismos, o persona que lo represente legalmente.
Tercero
Seguridad del archivo de historias sociales
Atendiendo a la naturaleza de los datos que contienen las historias sociales, que se corresponden con los definidos en la LOPD como especialmente protegidos, deberán adoptarse las medidas correspondientes al mayor nivel de seguridad exigible cuando se proceda al tratamiento de dichos datos personales.
1. Documento de seguridad
Todas las medidas de seguridad de carácter técnico y organizativo a implantar por cada centro público prestador de servicios sociales en relación con la seguridad y acceso al fichero de historias sociales deberán garantizar la confidencialidad de los datos contenidos en ella y evitar accesos no autorizados, controlando quién está utilizando la historia desde su salida del fichero hasta su devolución. Estas medidas deberían estar documentadas necesariamente por escrito, siendo responsabilidad de cada centro la elaboración de este documento y su difusión y conocimiento por todo el personal que pueda tener participación en la gestión, manejo o utilización de las historias sociales.
Se incluirá en el documento de seguridad las funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en el archivo de historias sociales.
2. Obligaciones del personal
Para fijar las obligaciones del personal de cada centro, habrá que distinguir entre los profesionales encargados de prestar la asistencia social al usuario del personal de administración y gestión y del personal sanitario que pueda existir en el centro, señalando que con carácter general todos están obligados por el deber de secreto, deber que con carácter genérico y respecto de los datos de carácter personal viene previsto en el artículo 10 de la LOPD y en el artículo 11 de la LPDCM.
Los profesionales que prestan la asistencia social al interesado tienen acceso a la historia social completa de éste, como instrumento fundamental para su adecuada asistencia.
Los profesionales que presten asistencia sanitaria a los usuarios de centros públicos de servicios sociales sólo podrán acceder a aquellos datos de circunstancias sociales que tengan una relación directa con el posible diagnóstico o tratamiento de la salud del interesado, cuando esos datos resultan necesarios para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
No obstante, le corresponderá a la Comunidad de Madrid establecer a través de Ley el procedimiento de adaptación y diferenciación de accesos a la historia social.
La dirección del centro debería designar una persona como responsable de seguridad del fichero de historias sociales, que tendrá como misión coordinar y controlar las medidas de seguridad implantadas. Esta designación debería constar en el documento de seguridad y en ningún caso supondrá una delegación de la responsabilidad que corresponde a la dirección del centro como responsable del fichero.
3. Relación de personal autorizado
En el supuesto de que exista en el centro público un servicio, unidad o departamento encargado de gestionar y custodiar el archivo de historias sociales, debería disponer de una relación detallada de todo el personal con posibilidad de acceso a las historias sociales. El detalle de la relación anterior se podría hacer de forma nominativa o por perfiles profesionales, diferenciando, siempre que fuera posible, entre el personal profesional prestador de la asistencia social, el personal administrativo y el personal sanitario, en su caso, y también qué documentos son accesibles por cada uno de ellos, teniendo en cuenta lo señalado en el punto anterior. A través de dicha relación, el responsable del servicio, unidad o departamento encargado de la gestión del archivo autorizará o no el acceso a los documentos de la historia social.
Cuando, dada la naturaleza del centro público de servicios sociales, los propios trabajadores sociales gestionen el archivo de historias, sin perjuicio de la responsabilidad de la dirección del centro, serán ellos los encargados de controlar el acceso a la documentación, así como de establecer medidas que impidan cualquier acceso no autorizado.
A estos efectos, se recomienda que se archive separadamente toda la documentación que compone la historia social, y que se relaciona en el apartado Primero.1 de esta Recomendación, de toda la documentación administrativa que, aunque no forma parte de la historia social, sin embargo la gestión de la misma puede generar, como por ejemplo impresos de admisión, certificaciones, partes de asistencia sanitaria, documentos contables, facturación, costes económicos de las pruebas, etcétera.
4. Control de acceso físico al archivo
Únicamente el personal destinado en el servicio, unidad o departamento encargado de la gestión del archivo de historias sociales, si existe, podrá tener acceso a los locales donde esté ubicada esta unidad, estableciendo a estos efectos las medidas de control necesarias. Estas medidas de control deberán prever la excepcionalidad de posibles situaciones de urgencia en las que habrá que utilizar los medios necesarios para evitar el peligro que se puede ocasionar a las personas y bienes muebles, entre los que se encuentra la posibilidad de acceso a personas ajenas a estas dependencias (bomberos, servicios de emergencia, policía, etcétera). Por otra parte, el personal de limpieza o de mantenimiento que pueda acceder a estos locales con carácter general, debería hacerlo dentro de los horarios de trabajo del personal propio del servicio, unidad o departamento responsable.
Cuando el control de acceso al archivo corresponda a los propios trabajadores sociales, serán éstos los únicos autorizados para acceder al lugar donde se encuentren almacenadas las historias sociales.
5. Gestión de los documentos que constan en la historia social
La dirección del centro, como responsable del fichero de historias sociales, debería establecer los procedimientos que deban seguirse en el archivo de las mismas. Dichos procedimientos estarán dirigidos a garantizar la correcta conservación de los documentos, la localización y consulta de la información y posibilitar el ejercicio de los derechos de acceso, oposición, rectificación y cancelación.
A estos efectos, se entiende conveniente diferenciar dos momentos de la historia social, y así el primer momento sería aquel en que la historia social está activa por tener utilidad para la debida prestación de asistencia al interesado, debiendo conservarse durante el tiempo en que se esté prestando la asistencia y con posterioridad un mínimo de tiempo desde que ésta termine y se considere que puede ser útil para posibles nuevas actuaciones que fuera necesario realizar, que por equiparación con la historia clínica podría ser de cinco años. El segundo momento sería cuando ha trascurrido el plazo establecido anteriormente y la historia pierde su utilidad desde el punto de vista asistencial, convirtiéndose en pasiva, debiéndose seguir conservándose a efectos judiciales de
conformidad con la legislación vigente, o cuando existan razones de organización y planificación de los servicios, de investigación o docencia que justifiquen su conservación, procediéndose a su destrucción en caso contrario.
En el primer momento las historias sociales deberían tener un único código identificador por centro y contener información suficiente para identificar de forma clara a cada usuario y tratar de evitar errores.
En el segundo momento, cuando las historias se convierten en pasivas, se tratarían de archivar, como regla general, separando los datos identificativos de los documentos que la forman, de manera que se garantice el anonimato del interesado.
La salida de cualquier documento incluido en la historia social fuera de los locales bajo el responsable del fichero debería ser autorizada por éste.
En el traslado de la documentación se deberían adoptar las medidas de seguridad suficientes para evitar la sustracción, pérdida o acceso indebido a la información durante su transporte.
Siempre que vaya a desecharse cualquier documento que contenga datos de carácter personal debería procederse a su destrucción, mediante la adopción de las medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Los armarios, archivadores u otros elementos en los que se almacenen las historias sociales deberían encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberían permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en las historias sociales.
Mientras la documentación con datos de carácter personal no se encuentre archivada en el lugar de almacenamiento establecido al efecto, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, las personas que la estén elaborando o utilizando deberían custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.
6. Identificación del personal que accede a la historia social y registro de accesos
En el momento de que cualquiera de las personas autorizadas soliciten el acceso a los datos de una historia social, se constatará por el servicio, unidad o departamento responsable, en el caso de que exista, que están autorizados y figuran en la relación detallada que se regula en el punto 3 de este mismo apartado, así como cuáles son los datos a los que pueden acceder, facilitando el acceso y entregando la documentación solicitada. A estos efectos se debería mantener un registro de entrada/salida de historias sociales que permita conocer el código de la historia, la fecha del acceso, el destinatario y la fecha de devolución.
No sería necesario el implantar un registro de accesos a la documentación siempre y cuando el responsable del fichero o tratamiento garantice que sólo él tiene acceso y trata los datos personales. Esta circunstancia debería hacerse constar motivadamente en el documento de seguridad.
7. Registro de incidencias
Debería existir un procedimiento de notificación y gestión de las incidencias que afecten a los datos de carácter personal y establecer un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las medidas correctoras aplicadas.
8. Auditoría
Los tratamientos de los datos contenidos en la historia social, así como las instalaciones donde se almacenen y traten los datos, se deberían someter a una auditoria interna o externa, que verifique el cumplimiento de las medidas de seguridad, de los procedimientos e instrucciones vigentes, al menos, cada dos años.
El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles implantados, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. 9. Copia y reproducción de documentos
Deberían establecerse procedimientos en el copiado o reproducción de documentos, a fin de que sólo puedan realizar las copias o acceder a las mismas las personas habilitadas para ello en el documento de seguridad.
La dirección del centro, como responsable del fichero o tratamiento de los datos, debería arbitrar los controles necesarios para evitar que como consecuencia de la generación de copias se produzcan accesos no autorizados. Dichos controles deberían recogerse en el documento de seguridad.
Cuarto
Conservación y expurgo de los datos de la historia social
1. Conservación
a) Custodia por los centros: Los centros e instituciones públicas prestadoras de servicios sociales tienen la obligación de conservar la documentación que compone la historia social en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, durante el tiempo adecuado a cada caso, teniendo como referencia a estos efectos el plazo mínimo de cinco años, contados desde que concluyó la asistencia prestada al usuario que se establece en esta Recomendación.
La documentación que compone la historia social también se conservará a efectos judiciales, de conformidad con la legislación vigente. Se conservará, asimismo, cuando existan razones de programación y/o planificación, de investigación o de docencia. En este último caso, su tratamiento se hará de forma que se evite la identificación de las personas afectadas o contando con su consentimiento expreso.
Se podrá diferenciar dentro del fichero de historias sociales, tal como se recoge en al apartado Tercero.5 de la presente Recomendación, entre las que corresponden a una actuación en curso o con relevancia asistencial, aunque haya concluido la intervención, y aquellas que constituyen el archivo pasivo por corresponder a intervenciones concluidas y no tener los datos utilidad para nuevas posibles intervenciones que se pudieran producir. Las previsiones establecidas en la presente Recomendación serían de aplicación a cualquiera de las dos modalidades.
b) Custodia por terceros: El acceso a los datos por cuenta de terceros viene regulado en el artículo 12 de la LOPD como una posibilidad de acceder a los mismos cuando dicho acceso sea necesario para la prestación de servicios por parte de un tercero al responsable del fichero. La particularidad de este tipo de acceso es que no tiene la consideración de comunicación o cesión de datos, no siendo necesario por tanto el consentimiento de los afectados para que pueda materializarse.
No obstante, lo que sí se prevé como indispensable para que el servicio pueda prestarse es que la realización del tratamiento por parte del tercero deberá estar regulada en un contrato en el que se recogerán las condiciones e instrucciones fijadas por el responsable del fichero para la prestación del servicio, la finalidad del tratamiento y la imposibilidad de la comunicación de los datos a otras personas distintas del prestador. Se estipularán igualmente las medidas de seguridad que el tercero deberá implantar en el sistema de tratamiento que utilice para la prestación del servicio.
Las entidades privadas con las que se contrate una prestación de tratamiento de datos de carácter personal no podrán subcontratar con terceros, ni siquiera para la conservación de los datos, el tratamiento de los datos.
De conformidad con lo dispuesto en el artículo 9.3 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid, estos contratos de servicios de tratamiento de datos de carácter personal deberán ser comunicados a esta Agencia de Protección de Datos de a Comunidad de Madrid con anterioridad a su perfeccionamiento.
2. Expurgo
Con periodicidad anual y siguiendo los criterios que pueda establecer la Consejería de Familia y Asuntos Sociales de la Comunidad de Madrid, se debería realizar por parte del servicio, unidad o departamento encargado de la gestión del archivo de historias sociales, si existe, una propuesta de expurgo y destrucción de los documentos de las historias sociales correspondientes a actuaciones concluidas que tengan una antigüedad superior al período establecido como mínimo para su conservación y que se considere no tienen utilidad para nuevas actuaciones que pudieran producirse, ni interés para otras finalidades distintas.
Analizada la propuesta por la dirección del centro o institución, si se autorizara la destrucción de la documentación propuesta, ésta se realizará mediante la utilización de los medios, propios o ajenos, suficientes y con la garantía de mantener la confidencialidad de la información y su efectiva destrucción, siendo responsable de la misma el servicio, unidad o departamento encargado de la gestión del archivo.
Quinto
Cesiones de datos de la historia social no informatizada
Con carácter general, la LOPD establece la norma general (artículo 11.1) referente a que los datos de carácter personal sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y cesionario con el previo consentimiento del interesado.
Sin embargo, dicha norma general no será de aplicación cuando exista una Ley que prevea la posibilidad de la cesión de datos. Así, seguidamente se detallan algunos supuestos legales en los que quebraría el principio de consentimiento para que los datos de carácter personal contenidos en la historia social pudieran ser cedidos.
a) Cesiones a Órganos Jurisdiccionales o al Ministerio Fiscal: Con carácter específico, la propia Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, prevé en su artículo 11.2.d) que no será necesario el consentimiento del afectado cuando la comunicación o cesión de datos tenga por destinatario, entre otros, al Ministerio Fiscal o a los Jueces o Tribunales en el ejercicio de las funciones que tiene atribuidas.
En consecuencia, en estos supuestos, se entiende necesario que la petición judicial venga motivada y concrete los documentos de la historia social que sean precisos conocer para su actuación e investigación, procediéndose por el centro al envío de una copia de los mismos o a facilitar el acceso dentro del propio centro.
b) Cesiones a las Fuerzas y Cuerpos de Seguridad: Con carácter general, la LOPD regula esta situación de forma independiente en el artículo 22.2, y establece que la recogida y tratamiento de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad para fines policiales se realizará sin consentimiento de las personas afectadas siempre que obedezcan a dos finalidades, como son, la prevención de un peligro real para la seguridad pública o la represión de infracciones penales.
Tratándose de datos especialmente protegidos, el propio artículo 22, en su apartado 3, establece que, en estos supuestos, la recogida y tratamiento podrá realizarse exclusivamente en los supuestos en que sea absolutamente necesario para los fines de una investigación concreta, sin perjuicio del control de legalidad de la actuación administrativa o de la obligación de resolver las pretensiones formuladas en su caso por los interesados que corresponda a los órganos jurisdiccionales.
Esta posibilidad de recogida y tratamiento deriva de la actividad de investigación policial reconocida a las Fuerzas y Cuerpos de Seguridad en la Ley Orgánica 2/1986, sobre Fuerzas y Cuerpos de Seguridad del Estado (artículo 11).
En consecuencia, y dado que la LOPD, al tratarse de un acceso a datos que tienen la consideración de especialmente
protegidos, establece que la actuación policial debe tener un control de legalidad, se entiende que en estos supuestos es recomendable que la petición policial venga autorizada por el órgano judicial correspondiente y debería motivarse, concretando los documentos de la historia social que sean precisos conocer para la investigación, procediéndose por el centro al envío de una copia de los mismos o a facilitar el acceso dentro del propio centro.
c) Cesiones de datos disociados: Atendiendo a la regulación prevista en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, se define en el artículo 3.f) el término de disociación como todo tratamiento de datos personales, de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
En este sentido, el considerado 26 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de datos, establece que los principios de la protección deberán aplicarse a cualquier información relativa a una persona identificada o identificable; que, para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona; que los principios de la protección de datos no se aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible identificar al interesado.
En la medida que los datos personales que obran en la historia social no informatizada se comuniquen de forma disociada, de tal forma que no puedan identificarse dichos datos con una persona física concreta y determinada, dejan de tener el carácter de dato personal, y por tanto, de conformidad con lo establecido en el artículo 2.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, quedan fuera del ámbito de aplicación de la misma, por lo que dicha información podría ser facilitada sin contravenir por ello la legislación en materia de protección de datos.
d) Cesiones de datos a otras Administraciones Públicas: Los datos personales recabados o elaborados en su actividad asistencial por un centro de servicios sociales de titularidad pública no serán comunicados a otras Administraciones Públicas para el ejercicio de competencias diferentes o de competencias que versen sobre materias distintas, si no se dispone del consentimiento previo del interesado. Cuando se trate del ejercicio de la misma competencia o que verse sobre la misma materia, no será necesario el consentimiento del interesado para la cesión de los datos.
Tampoco será necesario el consentimiento del interesado para la cesión de los datos a otra Administración Pública cuando la comunicación tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos.
Podrán, en todo caso, ser objeto de comunicación los datos de carácter personal que una Administración Pública obtenga o elabore con destino a otra.
e) Cesiones de datos a la Comisión de Tutela del Menor y otros supuestos legales: Conforme a lo establecido en los artículos 6.1 y 11.2 de la LOPD, no será necesario el consentimiento del interesado para recabar o ceder los datos de carácter personal del interesado cuando una norma con rango de Ley así lo establezca, como por ejemplo, entre otras:
— Artículo 763 de la Ley 1/2000, de Enjuiciamiento Civil, sobre internamiento no voluntario por razón de trastorno psíquico.
— Artículos 158 y 172 del Código Civil, referidos a la tutela de menores.
— Ley 5/2000, sobre internamientos previstos en los supuestos que regulan la responsabilidad penal de los menores.
En el supuesto concreto en el que un centro prestador de servicios sociales tenga conocimiento de que un menor se encuentra en situación de desamparo, la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la Adolescencia, establece en su artículo 52 que se iniciará por el órgano competente de la Administración Autonómica el oportuno expediente, habilitándose expresamente la competencia para poder solicitar informes de cuantas personas u organismos puedan facilitar datos relevantes para el conocimiento y la valoración de la situación sociofamiliar del menor, sin necesidad de obtener el consentimiento previo del interesado.
Por su parte, la Ley 18/1999, de 29 de abril, Reguladora de los Consejos de Atención a la Infancia y a la Adolescencia, indica que los profesionales de los distintos servicios están obligados a colaborar en el ámbito de sus competencias cuando sean requeridos para ello por el Coordinador del proyecto de Apoyo Familiar, quien para efectuar la valoración de la situación personal y sociofamiliar del menor podrá recabar cuanta información sea necesaria, sin requerir el consentimiento del interesado.
f) Cesiones de datos a responsables de carácter político: Los concejales, en cuanto miembros de las Corporaciones Locales, deben promover la participación de todos los ciudadanos en la vida política, económica y cultural, para lo cual tienen el derecho a obtener del Alcalde, Presidente o Comisión de Gobierno de la Corporación cuanta información precisen.
Podrán acceder a los datos solicitados, sin previo consentimiento de los afectados, cuando dicho acceso sea necesario para el desarrollo de sus competencias municipales o el ejercicio de sus funciones de control de la Corporación, en los términos previstos en la Ley de Bases de Régimen Local. Es imprescindible que en la petición de información efectuada por el concejal, cuando se refiera a datos de carácter personal, se determine la finalidad a la que se van a destinar los datos solicitados.
El acceso a la información por parte de los miembros de la Corporación municipal debe regirse siempre por la obligación de reserva, tal como dispone el artículo 16 del Real Decreto 2568/1986, de 28 de noviembre, de Organización, Funcionamiento y Régimen Jurídico de las Entidades Locales, que además impone un modo de actuación determinado.
g) Cesiones de datos a órganos fiscalizadores del gasto público: En numerosas ocasiones, los responsables de ficheros de la Comunidad de Madrid han planteado a esta Agencia de Protección de Datos si es factible ceder datos de carácter personal a la Intervención de la Comunidad de Madrid.
En este caso, se ha interpretado que, de conformidad con lo dispuesto en el artículo 11.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, la habilitación para que se cedan datos personales a la Intervención de la Comunidad de Madrid se encuentra en el artículo 82 de la Ley 9/1990, de 8 de noviembre, de Hacienda de la Comunidad de Madrid, en virtud del cual todos los actos, documentos y expedientes de la Administración de la Comunidad de los que se deriven derechos y obligaciones de contenido económico serán intervenidos y contabilizados con arreglo a lo dispuesto en dicha Ley y en sus disposiciones complementarias, y en el artículo 83.3.c) de la citada Ley 9/1990, de 8 de noviembre, de Hacienda de la Comunidad de Madrid, que establece como competencia inherente a la función interventora recabar de quien corresponda, cuando la naturaleza del acto, documento o expediente que deban ser intervenidos lo requiera, los asesoramientos jurídicos y los informes técnicos que considere necesarios, así como los antecedentes y documentos para el ejercicio de esta función.
