Las organizaciones benéficas y de atención médica que trabajan con personas VIH positivas constantemente no tienen en cuenta sus necesidades básicas de privacidad y protección de datos, con frecuentes violaciones de datos que exponen el estado serológico de las personas y niegan a quienes viven con la condición de VIH “dignidad y privacidad básicas”, afirmó el Comisionado de Información. Oficina (ICO) ha advertido.
Los avances en la tecnología de los medicamentos han convertido al VIH en una enfermedad manejable a largo plazo que en muchos casos no se puede transmitir, y la introducción de la profilaxis previa a la exposición (PrEP) ha hecho que las tasas de infección se desplomen, especialmente entre los hombres homosexuales.
Sin embargo, el frenesí homofóbico contra las personas avivado en los años 1980 y 1990 todavía persiste, y más de 20 años después, muchos que viven con esta enfermedad todavía sienten que, lamentablemente, no pueden ser abiertos sobre su estado serológico respecto del VIH.
Como tal, la ICO dijo que existe una clara necesidad de mejorar el apoyo ofrecido a las personas con VIH en lo que respecta al manejo de su información confidencial, y el comisionado de información, John Edwards, ahora ha pedido mejoras urgentes, diciendo que la ICO está lista para ayudar. .
“A las personas que viven con VIH se les está fallando en todos los ámbitos en lo que respecta a su privacidad y se necesitan mejoras urgentes en todo el Reino Unido. Hemos visto repetidos fallos básicos a la hora de mantener segura su información personal, errores que son claros y fáciles de evitar.
“En las últimas décadas se han producido avances notables en el tratamiento y el apoyo a quienes viven con el VIH, pero para que las personas puedan utilizar ese apoyo con confianza, deben poder confiar en que, cuando comparten su información personal, se está protegido”, dijo Edwards.
“Al hablar con personas que viven con el VIH y expertos en el sector, sabemos que estas filtraciones de datos destruyen la confianza en estos servicios. También exponen a las personas al estigma y los prejuicios de la sociedad en general y les niegan la dignidad y la privacidad básicas que todos esperamos en lo que respecta a nuestra salud”, añadió.
Edwards dijo que la ICO toma muy en serio estas infracciones y reconoce el impacto perjudicial que pueden tener en las vidas de los afectados. Pidió al sector que implemente más rápidamente mejoras en la seguridad cibernética, como una mejor capacitación, informes rápidos de violaciones accidentales y un enfoque particular en el uso de la función de copia oculta (BCC) al enviar correos electrónicos a grandes listas de personas.
La ICO ha multado anteriormente a dos organizaciones en Escocia, NHS Highland y VIH Scotland, por incidentes derivados del uso indebido de listas de correo. También ha emitido hoy (30 de abril) una multa a la Asociación Cristiana de Hombres Jóvenes Centrales (YMCA) de Londres, por un total de £ 7.500, por una infracción en la que correos electrónicos que supuestamente se enviarían a personas en un programa de apoyo al VIH se enviaron a 264 direcciones de correo electrónico. utilizando la función CC en lugar de la función BCC.
Un total de 166 personas con VIH fueron identificables, o potencialmente identificables, a partir de esta violación. Central YMCA ha pagado la multa en su totalidad, aunque la ICO señaló que se salió con la suya a la ligera: la multa podría haber ascendido a £300.000, aunque se redujo de acuerdo con el controvertido enfoque del sector público del regulador.
“Apoyamos mucho la declaración de hoy de la ICO. Se necesitan medidas regulatorias firmes cuando las organizaciones violan la protección de los datos sobre el estado del VIH, lo que lamentablemente sigue conllevando un estigma más dañino que otros tipos de datos personales”, dijo Adam Freedman, gerente de políticas, investigación e influencia del National AIDS Trust.
“Las personas que viven con el VIH necesitan tener la confianza de saber que tienen recursos cuando se violan sus derechos sobre los datos y evitar el riesgo de mayor discriminación y acoso. El estado serológico respecto del VIH de una persona son datos personales y debería ser decisión de la persona decidir si comparte o no esa información.
“Nos complace ver que la ICO reconoce el impacto perjudicial que estas filtraciones de datos pueden tener en las personas que viven con el VIH, y acogemos con agrado esta intervención tan necesaria”, dijo Freedman.
Orientación para víctimas y organizaciones de apoyo
La ICO también ha publicado consejos y orientaciones para las personas que viven con el VIH que han sido víctimas de una filtración de datos que revela su estado o cualquier otro dato personal.
En estos casos, tu primera acción siempre debe ser presentar una queja directamente a la organización en cuestión. Si no responden o no estás satisfecho con lo que te dicen, entonces puedes presentar una reclamación ante el ICO. También es posible que desee ponerse en contacto con servicios de apoyo como el National AIDS Trust o el Terrence Higgins Trust.
La ICO considerará todas las quejas sobre cómo se manejan los datos personales y si constituyen o no una infracción de las leyes de protección de datos del Reino Unido, y compartirá su decisión sobre los próximos pasos con los reclamantes.
En última instancia, el regulador está facultado para hacer recomendaciones para arreglar las cosas o mejorar sus prácticas de seguridad, pero cuando tiene preocupaciones importantes sobre la capacidad de una organización para cumplir con la ley de protección de datos, puede tomar medidas formales de cumplimiento que conduzcan a la posibilidad de multas.
Las organizaciones que trabajan con personas con VIH deben ser conscientes de que el estado serológico de una persona sigue siendo información muy sensible que debe manejarse con cuidado: las personas deben poder confiar en que su información médica está segura y sólo puede acceder a ella personas autorizadas cuando buscan atención o apoyo.
Estas organizaciones deben asegurarse de que su personal esté completamente capacitado con ayuda relevante, personalizada y específica para cada función para darles la confianza de que pueden manejar datos personales de forma segura. También deben quedar claros en los servicios de notificación de violaciones de datos: según la ley del Reino Unido, las violaciones en las que existe un riesgo para los derechos o libertades de las personas, como suele ser el caso con la información médica, deben informarse dentro de las 72 horas posteriores a tener conocimiento de ellas.
Debe quedar muy claro a qué registros puede acceder el personal y, con este fin, las organizaciones también pueden ayudarse a sí mismas implementando medidas técnicas apropiadas, como seguridad mejorada de contraseñas y controles de acceso, para garantizar que la información personal solo pueda ser vista por aquellos con una necesidad clara y genuina.
Finalmente, como ya se señaló, deje de usar BCC cuando envíe comunicaciones masivas. Aunque la función CCO impide que los destinatarios de un correo electrónico vean los datos de los demás, es fácil hacer un mal uso de la función, ya sea accidentalmente o intencionadamente, y no es suficiente por sí sola para proteger adecuadamente los datos.
Organizaciones que envían cualquier Los datos personales que se envían electrónicamente deben utilizar alternativas a BCC, como servicios de correo electrónico masivo, combinación de correspondencia o un servicio seguro de transferencia de datos.