Madrid, 24 de mayo de 2018.- A partir de mañana, 25 de mayo 2018, la actual normativa de protección de datos es sustituida por el Reglamento General de Protección de Datos, norma europea de aplicación directa, con intención armonizadora y más exigente en seguridad y transparencia en el tratamiento de datos personales. Este Reglamento conlleva importantes novedades al respecto, entre las que destacan las mayores garantías en el tratamiento de datos personales con diversas medidas como la obligación de notificar la violación de los datos a la autoridad de control, la figura obligatoria del Delegado de Protección de Datos en las organizaciones, la obligatoriedad de realizar evaluaciones de impacto de los datos de salud y el principio de responsabilidad proactiva. No obstante, se estima que el 73% de las empresas en España no está preparado para afrontar la plena aplicabilidad de este nuevo Reglamento.
En palabras de Carmen Pérez Canal, experta en protección de datos, “en Sanidad, hay tres aspectos diferenciadores en el ámbito de la protección de datos: el dato de salud, incluido en los denominados categorías especiales de datos, el concepto de riesgo al que se asimila estos datos y el tratamiento a gran escala. Esto, unido a circunstancias y características de la actualidad, como puede ser el valor del dato, los cambios tecnológicos y las demandas de la sociedad, hacen que el tratamiento de datos personales y su protección resulten de enorme importancia”. Con el fin de desarrollar la implantación del Reglamento General de Protección de Datos en el ámbito de la asistencia sanitaria, la Sociedad Española de Directivos de la Salud (SEDISA) ha impulsado la publicación del Posicionamiento SEDISA ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA EL SECTOR SANITARIO, coordinado por Carmen Pérez Canal, quien ha elaborado el texto en colaboración con Rosario Heras Carrasco y Andrés Calvo Medina.
Frente a las novedades del Reglamento, y atendiendo a la necesidad de actualización del conocimiento y adaptación a las novedades, Modoaldo Garrido, vicepresidente primero de SEDISA, destaca la importancia de la publicación y difusión de este Posicionamiento: “La gran cantidad de datos que se manejan en las organizaciones sanitarias, la inclusión del dato de salud en las categorías especiales de datos, la necesidad del uso de los datos para la evidencia científica y la planificación de recursos y el compromiso de los directivos y de la gestión sanitaria con la seguridad del paciente en todos los sentidos, hacen fundamental la implementación de las medidas que establece el Reglamento Europeo en el sector sanitario, bajo el liderazgo de un directivo profesionalizado y capaz de crear cultura de responsabilidad proactiva en la organización”.
A este respecto, “el Reglamento Europeo ya no se basa en cumplir unas exigencias como ocurre con la normativa actual, sino que partimos de una responsabilidad proactiva, nos obliga a realizar un análisis en base al concepto de riesgo de todas las actividades de tratamiento”, añade Carmen Pérez Canal. “Se trata de cumplir y acreditar que cumplo, pasando de un ecosistema rigorista a una madurez de cumplimento”.
El Posicionamiento SEDISA ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA EL SECTOR SANITARIO en 13 apartados analiza las cuestiones clave a tener en cuenta en la implementación del nuevo Reglamento en las organizaciones sanitarias. Así, tras una introducción a la entrada en vigor del mismo y el “dibujo” de la situación actual de los hospitales respecto a la protección de datos, la obra trata, desde un punto de vista práctico y adaptado al sector sanitario el nuevo enfoque de la responsabilidad proactiva, el perfil y funciones del Delegado de Protección de Datos, los principios en los que se fundamenta el Reglamento, el registro de actividades del tratamiento, la legitimación de éste, el encargado del tratamiento, el enfoque del riesgo, las evaluaciones de impacto, los derechos de los pacientes y las violaciones de seguridad. Asimismo, el documento se cierra con un apartado en el que recogen los puntos clave de la hoja de ruta que un directivo debe asumir para adaptar la organización que lidera a lo establecido en el nuevo Reglamento.
Cuestión de principios
Junto al principio de responsabilidad proactiva, el Reglamento establece que los datos personales deben ser tratados teniendo en cuenta otros principios. El primero de ellos es la licitud, que establece que solo se podrán tratar datos personales cuando se cuente con el consentimiento de la persona cuyos datos se van a tratar o cuando el tratamiento es necesario para: la ejecución de un contrato, cumplir una obligación legal, proteger los intereses vitales de la persona, el cumplimiento de una misión realizada en interés público o satisfacer los intereses legítimos del responsable del tratamiento. Asimismo, el Reglamente hace hincapié en otros principios, como el de lealtad y transparencia, el de limitación de la finalidad, minimización de los datos, exactitud, delimitación del plazo de conservación, integridad y confidencialidad.
Hoja de ruta para las organizaciones sanitarias
El derecho a la protección de datos personales persigue garantizar a la persona el control de sus datos personales, su uso y su destino con el propósito de impedir su tratamiento ilícito y lesivo para sus derechos y libertades personales. En este sentido, los datos relativos a la salud pertenecen a nuestro mayor grado de reserva personal y, en relación a la información e identificación que contienen, va a suponer el máximo interés por parte de los ciudadanos por garantizar el uso y tratamiento de los datos para los fines con los que han sido obtenidos.
Pero, en lo concreto, ¿cómo sabe un directivo o responsable de este tema que su organización cumple con lo establecido en el nuevo Reglamento Europeo?. Según Carmen Pérez Canal, “la garantía de la protección solamente se consigue pensando y operando en modo protección de datos“. Por ello, es fundamental que los directivos implanten las siguientes medidas clave, tal y como establece el Posicionamiento SEDISA ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA EL SECTOR SANITARIO, como hoja de ruta:
“Se trata de una hoja de ruta –concluye Pérez Canal– en la que están presentes valores como la confidencialidad, la privacidad y su protección. En esta línea, una política de calidad de protección de datos en la que la mejora continua esté presente, ayudará no solo a evitar sanciones, sino también a la mejora reputacional y de credibilidad de la organización ante sus clientes y la sociedad”.