“El nuevo RGPD aprobado por la Unión Europea el pasado año” por “El Reglamento Europeo de Protección de Datos (RGPD) aplicable desde el 25 de mayo de 2018 y La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD) aplicable desde el 7 de diciembre de 2018, vienen a reforzar la seguridad de los datos personales de las personas físicas. Esta protección se basa, para la realización de determinados tratamientos de datos, en la obtención del consentimiento libre, específico, informado e inequívoco de los interesados. En el ámbito de la salud, estos requisitos son mayores, ya que estamos hablando del uso de datos sensibles.
Recomendaciones para cumplir el RGPD en los hospitales
Entre las recomendaciones para la protección de los datos en los hospitales que se deben cumplir están:
1. Recoger el consentimiento explícito para almacenar los datos
La ley es muy clara y exige el consentimiento explícito para el tratamiento de datos de salud. Por ello, en el formulario de recogida de datos personales de los pacientes debe quedar muy claro que éstos han comprendido de manera clara la información proporcionada en las cláusulas de protección de datos y han consentido el uso de sus datos personales, incluyendo sus datos de salud. Solo se puede hacer uso de esta información sin consentimiento expreso en los siguientes supuestos:
– Si el interesado no está en condiciones de dar su consentimiento y es necesario tratarle porque peligra su vida. En este caso, la base que legitimaría el tratamiento de los datos personales, incluyendo los datos de salud, sería proteger el interés vital del paciente.
– Cuando se tiene un contrato con un profesional sanitario que permite aplicar un tratamiento de medicina preventiva o laboral, diagnóstico médico, asistencia sanitaria o evaluación de la capacidad del trabajador.
– Por motivos de interés público para proteger la salud pública.
2. Mayor información sobre la protección del historial clínico
Con el RGPD y la LOPD-GDD se debe dar más información al paciente sobre el tratamiento de sus datos y su historial clínico:
– Las referencias de la persona nombrada como Delegado de Protección de Datos, en caso de que el Responsable del Tratamiento esté obligado según la normativa de protección de datos o en caso de que el DPO sea nombrado voluntariamente.
– Los argumentos jurídicos para el tratamiento de la información (consentimiento, contrato, obligación legal, interés vital, interés público o interés legítimo).
– El período de tiempo durante el que se va a disponer de los datos.
– Posibilidad de transferir los datos personales del paciente a terceros países fuera del Espacio Económico Europeo.
– Posibilidad de solicitar al Responsable del Tratamiento, además del acceso a sus datos personales, su rectificación, oposición o supresión, la posibilidad de solicitar la limitación de su tratamiento, así como el derecho a la portabilidad de los datos.
– Posibilidad de que sea presentada una reclamación ante la autoridad de control (la Agencia Española de Protección de Datos (AEPD) o Agencia Autonómica competente en cada caso.
3. Nombramiento del Delegado de Protección de Datos
Entre otros supuestos, la designación de la figura del DPO es obligatoria cuando han de tratarse gran cantidad de datos sensibles (por ejemplo, datos de salud), y también cuando el tratamiento lo realizan las administraciones públicas, por lo que los hospitales necesitan designar a un DPO, interno o externo. Este responsable debe tener autonomía en sus funciones y su dedicación puede ser a jornada completa o a tiempo parcial. En este último caso, hay que tener cuidado con que no se produzcan conflicto de intereses.
4. Diseña unas medidas de organización y seguridad
Las medidas de seguridad se tienen que tomar en función de los riesgos que pueden sufrir los datos. En el caso de los riesgos que afectan a la salud de las personas, éstos son muy altos, por lo que las medidas que deben adoptarse han de ser exigentes y en todo caso deberán garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los datos.
5. Evalúa el impacto
La evaluación del impacto es establecida por el RGPD y la LOPD-GDD para el tratamiento de datos personales de alto riesgo, como es el caso de los datos médicos, salvo que el tratamiento de los datos personales de los pacientes lo lleve a cabo un solo médico u otro profesional de la salud (como, por ejemplo, un médico de una consulta privada). Esta evaluación tiene que hacerla el centro médico asesorado por el Delegado de Protección de Datos y va a permitir tomar las medidas necesarias para disminuir el riesgo.
El RGPD y la LOPD-GDD nos obliga a tomar medidas de seguridad mucho mayores si trabajamos con información sensible como son los datos médicos. ¿Has implantado ya las medidas exigidas por el RGPD y la LOPD-GDD? ¿Trabajas con datos sensibles?