El próximo 25 de mayo comienza a aplicarse de forma inmediata en todos los Estados Miembros el nuevo Reglamento Europeo General de Protección de Datos, en el que los datos de salud se encuentran entre los denominados ‘categorías especiales de datos’. Este Reglamento conlleva importantes novedades al respecto, entre las que destacan las mayores garantías en el tratamiento de datos personales con diversas medidas como la obligación de notificar la violación de los datos a la autoridad de control, la figura obligatoria del Delegado de Protección de Datos en las organizaciones, la creación de Certificaciones y de Sellos de Protección de Datos, la obligatoriedad de realizar evaluaciones de impacto de los datos de salud y el principio de responsabilidad proactiva. No obstante, se estima que el 73% de las empresas en España no está preparado para la entrada en vigor del nuevo Reglamento General Europeo de Protección de Datos el próximo 25 de mayo.
Ante este futuro inmediato, es necesario evaluar cómo va a afectar este Reglamento a las organizaciones sanitarias y a la gestión sanitaria, así como en el área de investigación clínica y de cumplimiento por parte de los profesionales sanitarios. Éste ha sido el principal objetivo del Foro SEDISA-ALSEDISA sobre Calidad y Sostenibilidad. Actualización sobre Protección de Datos en Sanidad, celebrado el pasado 7 de febrero con la colaboración de Deloitte y coordinador por Carmen Pérez Canal, Técnico Función Administrativa de la Dirección General de Recursos Humanos del Servicio Madrileño de Salud (SERMAS).
Durante el Foro, al que han asistido alrededor de 70 directivos y profesionales de diferentes ámbitos del sector sanitario, se han presentado por primera vez públicamente, las conclusiones del Plan de Inspección en Hospitales Públicos por parte de la Agencia Española de Protección de Datos (AEPD). Históricamente, el primer plan de seguimiento al sector de asistencia hospitalaria pública data de 1995, momento en el que no existían procedimientos para derechos de acceso, ni plan de seguridad y sí cesiones de datos incontroladas. En 2016, el nivel de adaptación de la sanidad a la protección de datos era muchísimo mejor, aunque solo de aprobado, con muchos retos por delante.
Ideas de algunos de los participantes
José Antonio Alonso Arranz, Director General de Sistemas de Información Sanitaria del SERMAS
“El consentimiento informado en el marco de la protección de datos hará hincapié en los temas de docencia”.
Carlos Mur De Viu, vocal de la Junta Directiva de SEDISA y director gerente del Hospital Universitario de Fuenlabrada (Madrid)
“En el ámbito hospitalario, la situación es muy compleja. En un hospital se genera un gran número de datos, que además son necesarios para introducir con evidencia todos los avances terapéuticos y de tecnología sanitaria. Sin embargo, esos datos no se están utilizando de forma generalizada, aunque el conocimiento que aportan es fundamental para la planificación de recursos y mejora de la actividad asistencial”.
Carmen Pérez Canal, Técnico Función Administrativa de la Dirección General de Recursos Humanos del Servicio Madrileño de Salud (SERMAS) y coordinadora del Foro
“El Reglamento Europeo ya no se basa en cumplir unas exigencias como ocurre con la normativa actual, sino que partimos de una responsabilidad proactiva, nos obliga a realizar un análisis en base al concepto de riesgo de todas las actividades de tratamiento. Se trata de cumplir y acreditar que cumplo, pasando de un ecosistema rigorista a una madurez de cumplimento”.
De izquierda a derecha: Carlos Mur, José Antonio Alonso y Carmen Pérez Canal
Rosario Heras, Jefe de Área de Estudios Tecnológicos y Certificaciones de la Agencia
“En 2016, el nivel de adaptación de la sanidad a la protección de datos era bastante mejor, aunque solo de aprobado, con muchos retos por delante. Entre ellos, la verificación de la identidad de los pacientes, la conservación de datos con fines administrativos o la falta de carteles informativos y normas internas sobre la confidencialidad de la información que trata el personal sanitario y no sanitario de los centros pero sobre todo continúa un déficit importante en cuanto a las medidas de seguridad implantadas”.
“Con la entrada del Reglamento, se ponen en marcha principios de responsabilidad activa y, en esta línea, una serie de medidas preventivas que mejorará los resultados de la inspección que la Agencia viene llevando a cabo. Entre estas medidas preventivas destacan mantener registro de las actividades de tratamiento, la protección de datos desde el diseño y por defecto, aplicar medidas de seguridad adecuadas al riesgo, realizar una evaluación de impacto, la autorización previa o consulta previa con la Agencia, la designación de un Delegado de Protección de Datos, la notificación de violaciones de seguridad y la adopción de códigos de conducta y esquemas de certificación”.
Manel Carpio, Socio de Risk Advisory en Deloitte
“Con el fin de hacer perdurar en el tiempo el cumplimiento del Reglamento General Europeo de Protección de Datos, las empresas y organizaciones necesitan una herramienta que ayude al seguimiento y al tratamiento, teniendo en cuenta, además, que en la actualidad existen más riesgos dado que hay más casos de uso, más datos tratados, más uso de la tecnología y menos control del usuario”.
“Respecto a las brechas de seguridad, deberán comunicarse los incidentes a la AEPD en 72 horas, así como a los interesados. Por otra parte, es fundamental la evaluación del impacto de las operaciones de tratamiento de datos personales (Privacy Impact Assesment, PIA en sus siglas en inglés). Dicha evaluación requiere de una metodología que va desde el estudio del contexto, identificar riesgos, evaluarlos, tratarlos y monitorizar de forma continua”.
Salvador Serrano, Responsable del Área de Protección de Datos de Previsión Sanitaria
“Cuando nos centramos en el marco de las actividades de los profesionales sanitarios, se echa en falta la definición del ‘uso a gran escala’ que contempla el Reglamento Europeo. Y es que, por ejemplo, no todo médico que tiene una consulta está obligado a tener un Delegado de Protección de Datos, sino que esta figura se puede compartir en el ámbito, por ejemplo, de los colegios profesionales”.