Madrid, 8 de febrero de 2018.- Las organizaciones cada vez hacen un mayor uso de los datos de las personas, de forma que éstos se han convertido en un activo fundamental, que genera valor añadido a los productos y servicios y sirven de ayuda en el apoyo a la toma de decisiones por parte de empresas. En este marco, el próximo 25 de mayo comienza a aplicarse de forma inmediata en todos los Estados Miembros el nuevo Reglamento Europeo General de Protección de Datos, en el que los datos de salud se encuentran entre los denominados ‘categorías especiales de datos’. Este Reglamento conlleva importantes novedades al respecto, entre las que destacan las mayores garantías en el tratamiento de datos personales con diversas medidas como la obligación de notificar la violación de los datos a la autoridad de control, la figura obligatoria del Delegado de Protección de Datos en las organizaciones, la creación de Certificaciones y de Sellos de Protección de Datos, la obligatoriedad de realizar evaluaciones de impacto de los datos de salud y el principio de responsabilidad proactiva. No obstante, se estima que el 73% de las empresas en España no está preparado para la afrontar plena aplicabilidad del nuevo Reglamento General Europeo de Protección de Datos el próximo 25 de mayo.
Ante este futuro inmediato, es necesario evaluar cómo va a afectar este Reglamento a las organizaciones sanitarias y a la gestión sanitaria, así como en el área de investigación clínica y de cumplimiento por parte de los profesionales sanitarios. Éste ha sido el principal objetivo del Foro sobre Calidad y Sostenibilidad. Actualización sobre Protección de Datos en Sanidad, celebrado ayer por la Sociedad Española de Directivos de la Salud (SEDISA) y el Comité de Antiguos Alumnos de la Sociedad (ALSEDISA), con la colaboración de Deloitte. En palabras de Carmen Pérez Canal, Técnico Función Administrativa de la Dirección General de Recursos Humanos del Servicio Madrileño de Salud (SERMAS) y coordinadora del Foro, “el Reglamento Europeo ya no se basa en cumplir unas exigencias como ocurre con la normativa actual, sino que partimos de una responsabilidad proactiva, nos obliga a realizar un análisis en base al concepto de riesgo de todas las actividades de tratamiento. Se trata de cumplir y acreditar que cumplo, pasando de un ecosistema rigorista a una madurez de cumplimento”.
En el ámbito hospitalario, la situación es muy compleja. “En un hospital se genera un gran número de datos, que además son necesarios para introducir con evidencia todos los avances terapéuticos y de tecnología sanitaria”, explica Carlos Mur De Viu, vocal de la Junta Directiva de SEDISA y director gerente del Hospital Universitario de Fuenlabrada (Madrid). “Sin embargo, esos datos no se están utilizando de forma generalizada, aunque el conocimiento que aportan es fundamental para la planificación de recursos y mejora de la actividad asistencial”. Frente a este potencial, Mur De Viu destaca la gran vulnerabilidad de los sistemas: “Nuestros sistemas no son invulnerables y cada día se perfeccionan más los ataques a éstos”.
En el Foro, al que han asistido alrededor de 70 directivos y profesionales de diferentes ámbitos del sector sanitario, se han presentado por primera vez públicamente, las conclusiones del Plan de Inspección en Hospitales Públicos por parte de la Agencia Española de Protección de Datos (AEPD). Históricamente, el primer plan de seguimiento al sector de asistencia hospitalaria pública data de 1995, momento en el que no existían procedimientos para derechos de acceso, ni plan de seguridad y sí cesiones de datos incontroladas. “En 2016, el nivel de adaptación de la sanidad a la protección de datos era bastante mejor, aunque solo de aprobado, con muchos retos por delante”, explica Rosario Heras, Jefe de Área de Estudios Tecnológicos y Certificación de la Agencia Española de Protección de Datos. “Entre ellos la verificación de la identidad de los pacientes, la conservación de datos con fines administrativos o la falta de carteles informativos y normas internas sobre la confidencialidad de la información que trata el personal sanitario y no sanitario de los centros pero sobre todo continúa un déficit importante en cuanto a las medidas de seguridad implantadas”.
Con la entrada del Reglamento, según esta experta, se ponen en marcha principios de responsabilidad activa y, en esta línea, una serie de medidas preventivas que mejorará los resultados de la inspección que la Agencia viene llevando a cabo. “Entre estas medidas preventivas destacan mantener registro de las actividades de tratamiento, la protección de datos desde el diseño y por defecto, aplicar medidas de seguridad adecuadas al riesgo, realizar una evaluación de impacto, la autorización previa o consulta previa con la Agencia, la designación de un Delegado de Protección de Datos, la notificación de violaciones de seguridad y la adopción de códigos de conducta y esquemas de certificación”, hace hincapié Rosario Heras.
Cumplimiento del Reglamento: aspectos clave
Con el fin de hacer perdurar en el tiempo el cumplimiento del Reglamento General Europeo de Protección de Datos, las empresas y organizaciones necesitan una herramienta que ayude al seguimiento y al tratamiento, “teniendo en cuenta, además, que en la actualidad existen más riesgos dado que hay más casos de uso, más datos tratados, más uso de la tecnología y menos control del usuario”, explica Manel Carpio, Socio de Risk Advisory en Deloitte.
Para ello, algunos aspectos clave son: la gestión de terceros, el Delegado de Protección de Datos, el Registro de actividades de las categorías de actividades de tratamiento de datos personales, el consentimiento como un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de los datos y aplicar medidas que cumplan los principios de protección de datos desde el diseño y por defecto. En cuanto a las brechas de seguridad, “deberán comunicarse los incidentes a la AEPD en 72 horas, así como a los interesados”, explica Manel Carpio, quien hace hincapié en la importancia de la evaluación del impacto de las operaciones de tratamiento de datos personales (Privacy Impact Assesment, PIA en sus siglas en inglés).
“Dicha evaluación requiere de una metodología que va desde el estudio del contexto, identificar riesgos, evaluarlos, tratarlos y monitorizar de forma continua”, concluye.