El próximo 25 de mayo comienza a aplicarse de forma inmediata en todos los Estados Miembros el nuevo Reglamento Europeo General de Protección de Datos, en el que los datos de salud se encuentran entre los denominados ‘categorías especiales de datos’. Este Reglamento conlleva importantes novedades al respecto, entre las que destacan las mayores garantías en el tratamiento de datos personales con diversas medidas como la obligación de notificar la violación de los datos a la autoridad de control, la figura obligatoria del Delegado de Protección de Datos en las organizaciones, la creación de Certificaciones y de Sellos de Protección de Datos, la obligatoriedad de realizar evaluaciones de impacto de los datos de salud y el principio de responsabilidad proactiva. No obstante, se estima que el 73% de las empresas en España no está preparado para la entrada en vigor del nuevo Reglamento General Europeo de Protección de Datos el próximo 25 de mayo.
En este contexto, realizamos una entrevista a Rosario Heras, Jefe de Área de Estudios Tecnológicos y Certificaciones de la Agencia Española de Protección de Datos (AEPD), para que nos ofrezca más información sobre el tema.
La protección de datos en la Unión Europea está basada en la Directiva 95/46, norma con más de 20 años de vigencia. Los avances tecnológicos que se están produciendo a una velocidad sin precedentes, unidos a los cambios en los modelos de actividad económica así como modificaciones en el marco legislativo europeo derivadas del Tratado de Lisboa, condujeron a la revisión de esta Directiva y la norma elegida para llevar a cabo este cambio es el RGPD. Es importante señalar que este Reglamento es una norma de aplicación directa en todos los Estados Miembro sin necesidad de normas nacionales de trasposición. Fue publicado y entro en vigor en mayo de 2016 y será plenamente aplicable el 25 de mayo de 2018.
Los directivos de la salud, como responsables de tratamientos de datos personales, tienen un papel esencial para impulsar el nuevo modelo de cumplimiento en materia de protección de Datos y por ello deberían estar concienciados de la necesidad implantar medidas técnicas y organizativas en sus organizaciones de cara a cumplir con el reglamento.
La Agencia Española de Protección de Datos ha publicado en su página web www.agpd.es el resultado del plan sectorial en la sanidad pública y allí se puede comprobar que no se encuentra como punto débil la falta de conocimiento e implicación por parte de los órganos directivos de los centros de la necesidad de cumplir con la normativa de protección de datos, sin embargo esto no quiere decir que estén suficientemente preparados y concienciados del nuevo reto que supone el RGPD y de las medidas que deben adoptar en sus organizaciones.
La primera medida que los directivos de las organizaciones sanitarias deberían aplicar es la designación del Delegado de Protección de Datos para que colabore con la organización en el proceso de adaptación al RGPD.
En este sentido, el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal que se está tramitando, recoge, entre los supuestos en que se debe nombrar obligatoriamente un delegado, “los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica”.
El DPD es una figura que se caracteriza por su independencia, por tanto cuando se designe ha de tenerse en cuenta que deben evitarse incompatibilidad y conflictos de intereses con las actividad de la organización implicada en la aplicación del Reglamento.
Dada la complejidad de los tratamientos de datos en el ámbito de la salud, que abarcan desde la asistencia clínica hasta las diversas modalidades de investigación sanitaria, el Delegado de Protección de Datos, además de un conocimiento detallado de la normativa de protección de datos y de la regulación sectorial sanitaria, debe tener una cualificación profesional sobre el conocimiento de las organizaciones sanitarias y capacidad para mantener una relación fluida con ellas. En consecuencia, se debe facilitar su formación especializada en estos ámbitos y dotarle de recursos para que pueda desarrollar su función.
El responsable del tratamiento debe garantizar que el DPD tiene acceso directo a los niveles de dirección de la organización.
El DPD, por tanto, será quien asesorará a los Directivos sanitarios sobre las medidas a implantar entre las que se encuentran la elaboración del registro de actividades de tratamiento, realizar un análisis de riesgos o una evaluación de impacto, tener en cuenta la privacidad por defecto y desde el diseño de un producto o servicio, revisar los contratos de prestación y formar al personal.
El derecho de información ya existía desde la primera legislación en materia de protección de datos en el año 1992, el Reglamento introduce algunas novedades y hace que la información a facilitar tenga un contenido más amplio y por tanto sea más transparente. Esta información ha de facilitarse en el momento de la recogida de los datos personales con independencia del medio utilizado para ello y se exige que esa información se proporcione de forma concisa, transparente, inteligible y de fácil acceso, con lenguaje claro y sencillo.
Indudablemente, la implantación del RGPD y su cumplimiento por parte de los directivos sanitarios aportará un valor añadido a la calidad de los servicios prestados. El simple hecho de tener nombrado un DPD con un papel esencial en la resolución de las reclamaciones y los conflictos con los pacientes o el propio personal estatutario, sin tener que llegar a denunciar ante la Agencia, puede suponer un importante ahorro al no tener que llegar a un procedimiento sancionador en caso de supuestos incumplimientos.
Por otra parte, si todo el personal que trata datos de carácter personal en la institución está debidamente concienciado y formado, los tratamientos de datos personales se realizarán según lo estipulado en el RGPD.
Finalmente, si se implantan procedimientos para informar a los pacientes, medidas de seguridad adecuadas al riesgo, se realizan evaluaciones de impacto y se establecen procedimientos para gestionar los derechos de acceso, rectificación, cancelación, oposición y portabilidad, seguro que la institución sanitaria gozará de buena salud y podrá presumir de tratar adecuadamente los datos personales de sus pacientes haciendo que éstos se sientan más satisfechos. No hay que olvidar que la protección de los datos personales también es un servicio que debe prestar el centro sanitario.