Inicio Reportajes Reportaje Normativa de ...

Normativa de protección de datos. Garantía de calidad

Compartir

El pasado año se aprobó la Ley de Protección de Datos Personales y Garantía de los Derechos Digitales, normativa que se acomoda a la europea y que atañe de forma importante al ámbito sanitario.

Alberto Martín San Cristóbal, director general de Alaro Avant, SL, aclara en esta entrevista las numerosas cuestiones que el tema suscita.

– ¿Qué supuso para España la entrada en vigor del Reglamento Europeo de Protección de Datos el pasado año y qué valoración se puede hacer en estos momentos?

R: El Reglamento General de Protección de Datos (RGPD, o GDPR por sus siglas en inglés) resulta de obligado cumplimiento y directamente aplicable desde el 25 de mayo de 2018 en cada Estado miembro, lo que supuso un fuerte impacto en el ámbito empresarial en España ya que no sólo se abordó un cambio legislativo sino que supuso un importante cambio de modelo de cumplimiento. El RGPD está inspirado en la cultura del cumplimiento y la responsabilidad proactiva por parte de la empresa, de manera que hemos dejado de tener una normativa paternalista como era la antigua LOPD del año 99 a una normativa de prevención que busca el cumplimiento con antelación para evitar la lesión o infracción del derecho o libertad del interesado. Con esto, el principal obstáculo que se encontraron las entidades españolas fue la escasa concienciación de cumplimiento tanto a nivel interno en las empresas como en la propia sociedad, que en muchos casos no entendía el motivo por el que su proveedor le estaba pidiendo consentimiento para determinado tratamiento de sus datos personales o por qué ahora la cláusula de protección de datos al pie de un formulario era el doble de extensa que hacía solo unos meses. Otros de los mayores obstáculos que han tenido que abordar las empresas es la necesidad de profesionalizarse por las mayores exigencias técnicas de esta nueva normativa y los riesgos empresariales a los que se enfrentan si incumplen, sanciones económicas más elevadas y daños reputacionales.

Debe tenerse en cuenta que el RGPD es el inicio de una carrera a largo plazo y aun queda mucho por hacer pues una de las obligaciones de la propia norma es revisar las medidas aplicadas de manera que siempre se encuentren actualizadas. Además, desde finales de 2018 tenemos en España una nueva Ley (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales) que puntualiza y matiza algunas de los aspectos que expone el RGPD, siendo por supuesto de obligado cumplimiento. Esta Ley también ha traído algunas novedades importantes como es el derecho a la desconexión digital en el ámbito laboral y el derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral, que las empresas deben tener en cuenta a la hora de definir sus políticas de protección de datos con sus empleados.

Con todo, los desafíos de la normativa un año después para las empresas españolas no son pocos si, además, sumamos los retos que implican las nuevas tecnologías en los negocios y los riesgos intrínsecos a las mismas.

– ¿Qué cambios debieron hacer las empresas sanitarias, tanto grandes corporaciones como para las pequeñas clínicas en su día a día de trabajo?

R: Como he comentado el cambio para todas las entidades fue absoluto y por supuesto el sector sanitario no quedó al margen. Desde las grandes corporaciones hasta el autónomo debe cumplir la normativa de protección de datos personales al realizar tratamiento de datos personales. Debe tenerse en cuenta que el RGPD y la LOPDGDD considera que los datos de contacto profesionales asi como de empresarios individuales y de profesionales liberales se consideran datos personales por lo que si tienes un dato personal tienes que cumplir con la normativa. Ahora bien, las exigencias variarán y se moldearán dependiendo del tratamiento de datos personales que se realice y el riesgo que suponga el mismo para los derechos y libertades del interesado. Las empresas sanitarias realizan un tratamiento de datos relativos a la salud, considerado por el RGPD una categoría especial de datos personales, cuyo tratamiento deberá realizarse en términos más restrictivos que otros tratamientos de datos.

Los principales cambios que debieron realizar las empresas sanitarias fueron aquellos relacionados con las medidas de responsabilidad proactiva, entre los que tenemos: elaboración de políticas de protección de datos adecuadas, análisis de los datos personales tratados y elaboración del registro de actividades de tratamiento, establecer medidas de protección de datos desde el diseño y por defecto, establecer medidas de seguridad adecuadas al riesgo, nombrar un Delegado de Protección de Datos en los casos exigidos por la normativa (o incluso voluntariamente como medida de cumplimiento), procedimiento adecuado de notificación de violaciones de seguridad asi como uno de ejercicios de derecho, realizar un análisis de riesgos y llevar a cabo una evaluación de impacto en caso de que sea necesario, solicitar una autorización previa o consulta previa a la Autoridad de Control, etc.

– Dentro de este tema, ¿qué papel tienen los Colegios Profesionales y Sociedades Científicas?

R: En el ámbito del cumplimiento normativo el principal papel de estos organismos es de apoyo e información a sus asociados y ante todo el impulso de esta cultura de cumplimiento que tan importante resulta. Considero que una labor de promoción formativa y de concienciación es esencial en este ámbito para que las entidades en el ámbito sanitario conozcan y sean conscientes de las obligaciones que les impone la normativa. Además, otro punto importante es la creación de alertas para detectar de forma proactiva y eficiente posibles incumplimientos en el seno de la entidad.

– ¿Hay una influencia especial del Reglamento para laboratorios o empresas de Biotecnología?

R: Ciertamente se ha producido un cambio significativo en el sector con motivo de la entrada del RGPD ya que antes de esta nueva regulación cuando se producía el proceso de disociación el dato dejaba de ser un dato personal y por lo tanto quedaba fuero del ámbito de aplicación de la normativa de protección de datos personales. Con el RGPD nos encontramos ante una seudonimización de los datos personales que supone un tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional. Estos datos seudonimizados quedan bajo el ámbito de aplicación del RGPD por lo que se les deberá aplicar las medidas adecuadas y exigidas por la normativa.

Los datos genéticos son de gran relevancia personal, ¿cómo se deben manejar?

R: Los datos genéticos son considerado por el RGPD una categoría especial de datos personales por lo que se deberá aplicar en el tratamiento de los mismos un nivel de seguridad adecuado a tal riesgo. Puesto que se trata de un nivel de máxima protección las medidas organizativas y técnicas deberán ser conformes para garantizar la seguridad de tal tratamiento de datos. En tal sentido, deberá prestarse especial atención a los riesgos relacionados con la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.

– En una empresa, ¿en qué consiste la figura del Delegado de Protección de Datos?

R: La figura del Delegado de Protección de Datos (DPD, o DPO por sus siglas en inglés) está regulado tanto en el RGPD como en la LOPDGDD, indicando la propia normativa los supuestos en los que es obligatorio que quede designado por la empresa. En concreto, en el sector sanitario, quedan obligados a designar esta figura los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan de esta obligación los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

El DPD se concibe como una figura experta en materia de protección de datos que debe encargarse de asesorar e informar a la empresa respecto al cumplimiento de la normativa. Una de las principales características del DPD es que debe actuar con independencia y autonomía de manera que no haya lugar a conflicto de interés en el cumplimiento.

– Las historias clínicas, ¿cómo se deben realizar su custodia y su eliminación?

R: Como ya he dicho anteriormente los datos relativos a la salud son considerados por el RGPD una categoría especial de datos personales, por lo que las historias clínicas deberán tratarse conforme al riesgo que supone ese tratamiento de datos sensibles. Así, la custodia de las mismas debe garantizar ante todo la confidencialidad, integridad, disponibilidad y resiliencia de tales sistemas, evitando accesos no autorizados por parte de terceros, pérdida o destrucción de información, etc. Respecto a la eliminación, se deberá atender al principio de limitación del plazo de conservación establecido en el RGPD de manera que solo se mantendrán durante el tiempo necesario para cumplir con los fines del tratamiento para lo que fueron obtenidos. Además, para proceder a su eliminación deberá atenderse a lo dispuesto en la normativa concreta aplicable al caso, la Ley de Autonomía del Paciente que marca un plazo mínimo de conservación y señala, a su vez, la legislación autonómica para determinar los plazos concretos.

Igual pregunta sobre el uso de fotografías de pacientes

R: Lo primero es tener en cuenta que deberá aplicarse las obligaciones marcadas en la normativa de protección de datos a las fotografías que identifiquen a una persona o la hagan identificable. Así, deberá valorarse en primer lugar la legitimidad del tratamiento de dicha fotografía del paciente, por ejemplo, si nos encontramos que forma parte de la historia clínica pues es evidencia del progreso de un tratamiento como por ejemplo puede ser una ortodoncia o si se trata de una fotografía para mostrar en una conferencia y sirva como ejemplo para las cuestiones que se están abordando. Además, deberán aplicarse las medidas adecuadas para garantizar su custodia asi como una eliminación segura.

– Cada vez más el teléfono móvil, WhatsApp y el correo electrónico han ido ganando espacio en la parcela  profesional, ¿qué ocurre y qué riesgo se corre con estas nuevas tecnologías en consultas médicas?

R: Desde mi punto de vista los riesgos en relación a las nuevas tecnologías son muy elevados si no se toman las precauciones y medidas adecuadas para mitigar esos riesgos. Por ejemplo, en una clínica el riesgo de utilizar WhatsApp para comunicarse con los clientes y enviar documentación por esa via es altísimo ya que la herramienta no permite adjuntar la documentación cifrada y, por lo tanto, en caso de brecha de seguridad esa información queda totalmente expuesta. Deben utilizarse herramientas que ofrezcan garantías adecuadas y no lesionen los derechos y libertades de los pacientes.

– ¿Es legal la publicidad que algunos médicos hacen por WhatsApp?

R: Depende, ya que deberíamos valorar varias circunstancias. El tratamiento de datos personales debe realizarse únicamente para la finalidad para la que fueron recabados por lo que, si el médico obtuvo el consentimiento (libre, expreso, inequívoco, etc) del paciente para realizarle comunicaciones comerciales a través de dicha via se puede llegar a considerar conforme a la normativa. Ahora bien, si la finalidad para la que el médico recabó los datos personales del interesado nada tienen que ver con tales envíos de publicidad, no cabe duda que esos envíos incumplirán la normativa de protección de datos personales.

– Contravenir la Ley de Protección de Datos, ¿Qué consecuencias podría acarrear?

R: Las consecuencias más publicitadas en relación a los incumplimientos de la normativa de protección de datos por supuesto son las sanciones económicas, que con el RGPD son más elevadas que con la antigua normativa. Ahora, la multa máxima se sitúa en 20 000 000 EUR o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la cantidad de mayor cuantía. Otra de las consecuencias que supone el incumplimiento es el daño reputacional que por supuesto lleva consigo una sanción o incluso amonestación de la Agencia Española de Protección de Datos que, en el sector sanitario, es igual o más relevante que la propia multa administrativa.

– Si algún aspecto importante se nos haya quedado fuera y usted considera oportuno incluir, por favor, le rogamos que lo haga:

  • Es necesario facilitar a los interesados la información adecuada sobre el tratamiento de sus datos, elaborando cláusulas conforme a la normativa de manera transparente
  • Para realizar cesiones de datos a terceros se necesita contar con una base legítima que justifique dicho tratamiento de datos personales
  • Se deberá realizar una evaluación de impacto relativa a protección de datos en caso de:
  • a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  • b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
  • c) observación sistemática a gran escala de una zona de acceso público.