¿Cómo afecta al sector salud el Reglamento Europeo de protección de datos 2016/679?

Imagen Nuevo RGPD

El 25 de mayo 2018 fue la fecha marcada en la hoja de ruta para la aplicación del Nuevo Reglamento Europeo de protección de datos (RGPD) que supone un cambio importante en la forma de afrontar el tratamiento de datos de carácter personal para personas y empresas (según se establece en su artículo 99).

Los contenidos de esta norma afectan a todos los ámbitos de actividad económica tanto si operan online como si no. No obstante, hay ciertos sectores que son especialmente sensibles al tratamiento de datos por el carácter de los datos que maneja. Uno de estos sectores es el sector de la salud.

En esta breve guía queremos hacer un repaso de las novedades que incorpora este nuevo reglamento centrando la atención especialmente en los aspectos que afectan al sector de la salud.

De manera muy resumida podemos destacar dos aspectos principales en los que se han producido modificaciones en este nuevo reglamento:

  • El principio de responsabilidad proactiva.

Este principio supone que las organizaciones tienen una actitud consciente, diligente y proactiva frente al tratamiento de datos personales. De esta forma, los responsables del tratamiento deben adoptar medidas a nivel técnico y a nivel administrativo para asegurarse de que pueden garantizar y demostrar que se está haciendo un tratamiento de los datos de acuerdo a lo que establece el reglamento.
Por tanto, las organizaciones deben conocer los datos que tratan, la finalidad con la que los tratan y el tipo de operaciones de tratamiento que realizan.

  • El enfoque de riesgo.

Con este enfoque el reglamento establece que las medidas que contiene deben aplicarse en función del tipo de riesgo que se deriva de su incumplimiento para los derechos y libertades de las personas. Por tanto, habrá que analizar en cada caso y en función del tipo de empresa y los datos que maneja el nivel de riesgo de los datos y, en consecuencia, las medidas del reglamento que habrá que aplicar.

Datos de carácter personal/datos de salud

Dentro de los datos de carácter personal no todos los datos gozan de la misma protección. Hay determinados datos que son considerados como datos especialmente protegidos porque afectan a la intimidad, los derechos fundamentales y la libertad pública de las personas. Este tipo de datos debe estar mucho más protegidos que el resto.

Los datos de salud se encuentran en esta categoría. Las empresas que se dedican a la actividad de la salud ya sean públicas o privadas, deben proteger especialmente estos datos y adoptar las medidas que establece el reglamento para ellos.

Muchas empresas privadas como Docline,   gestionan importantes cantidades de datos personales de pacientes y profesionales sanitarios. En este caso, Docline al tratarse de una plataforma de consulta no presencial que conecta a pacientes con profesionales sanitarios a través de módulos de consultas, mensajera privada e historia clínica, tiene una importante responsabilidad en los datos que se almacenan. Todos los datos recogidos en este portal , se han adaptado recientemente para cumplir  con  RGDP.

Derechos: deber de información (art. 13 del RGPD)

El deber de información es un derecho expreso recogido en el reglamento en s artículo 13, que establece los supuestos en los que los interesados tienen el derecho a ser informados sobre el tratamiento de sus datos. Con el RGPD estos casos son ampliados. Por tanto, se establece que en todos los casos en los que hay que informar hay que hacerlo de una forma concisa, transparente, inteligible y de fácil acceso y usando un lenguaje claro y sencillo.

Es necesario que las empresas informe de manera directa y sin complicaciones legales a los interesados, facilitando que la información llegue de forma clara y sencilla. Esta información deberá proporcionarse por escrito y de una forma gráfica, incluso por vías electrónicas.

Consentimiento expreso (claro y afirmativo)

Un aspecto muy importante que ha cambiado en el nuevo reglamente y que afecta a todos los ámbitos y muy especialmente al sector de la salud es el consentimiento expreso. Es uno de los principios de la protección de datos y según los cambios incorporados debe tratarse de un consentimiento libre, específico, informado e inequívoco.

Sin embargo, lo más importante en este nuevo enfoque es que ya no es suficiente con el silencio, la falta de acción o la existencia de casillas preseleccionadas como forma de dar consentimiento. De hecho, lo que destaca con estas modificaciones es que el consentimiento debe ser muy claro por parte del interesado y afirmativo.

Auditoría (artículo 25 de RGPD)

Un tema que adquiere también una gran relevancia en el nuevo texto normativo son las auditorías. Si bien estamos habituados al desarrollo y la exigencia de auditorías, ahora las auditorías podrán llevarse a cabo de manera expresa por las entidades que podrán desarrollar auditorías de seguridad o auditorías de cumplimiento. En estas auditorías se otorgan funciones diferentes a los miembros de la organización como el Delegado de protección de datos o el encargado de tratamiento. Todos ellos deben prestar su máxima colaboración en aportar la información necesaria para el desarrollo de la auditoría. En este proceso adquiere una gran importancia la figura del Delegado de protección de datos

Delegado de protección de datos (DPD)

El Delegado de protección de datos (DPD) se convierte en una figura nueva y muy importante en el proceso de tratamiento de datos. Se trata de una persona que puede ser de la organización o ajena a la misma. Es necesario que la empresa designe a un delegado de protección de datos cuando la entidad que realice el tratamiento sea un organismo público, cuando sea necesaria la observación habitual de los interesados o cuando los datos tratados pertenezcan a categorías especiales.

Evaluación de impacto: análisis de riesgo

El análisis de riesgos es muy importante, sobre todo, en determinados sectores como es el de la salud. Se trata de que se apliquen medidas adecuadas al tipo de riesgo que implica el tratamiento de esos datos. Por tanto, habrá que hacer un análisis de los riesgos asociados y adoptar las medidas de seguridad necesarias de acuerdo al nivel de los datos tratados. De igual forma, se debe evaluar el impacto que el tratamiento de esa información puede tener sobre las personas cuyos datos son objeto de tratamiento.

La medición del riesgo vendrá dada por el tamaño y dimensión de los datos que hay que analizar. En el caso de grandes empresas será necesario emplear técnicas o metodologías de análisis de riesgos mientras que en empresas más pequeñas será suficiente con una adecuada reflexión bien documentada acerca de estos riesgos para sus interesados.

Multas (art 83 RGPD)

Un último aspecto que no podemos pasar por alto en el cumplimiento del RGPD es el relativo a las consecuencias que su incumplimiento puede tener sobre los diferentes sectores de actividad. Estas consecuencias son especialmente importantes cuando se trata de datos de carácter sensible o relacionados con la salud.

Las sanciones recogidas en la legislación pueden oscilar entre los 10 millones de euros hasta los 20 millones de euros. Cifras que pueden ser reclamados ante un juzgado si así lo denuncia un usuario que considera que sus derechos han sido vulnerados, además de la correspondiente indemnización al sujeto.

Como puedes comprobar son muchos los cambios que se introducen en esta materia y que afectan a sectores que tratan datos en grandes cantidades o que deben manejar información especialmente sensible de los usuarios. Por ello, es importante tener claros los principales aspectos que se ven afectados y cómo influye en sectores como la salud.