La Adaptación al Reglamento General de Protección de Datos para el Sector Sanitario, cuestión de Posicionamiento

Informe sobre la marcha del Plan Estratégico de SEDISA y Fundación SEDISA
20 junio, 2018
Validación Española del Directorio Internacional de Competencias en Gestión Sanitaria
20 junio, 2018

Ver documento

El dato de salud, incluido en los denominados categorías especiales de datos, el concepto de riesgo al que se asimila estos datos, el tratamiento a gran escala, el valor del dato, los cambios tecnológicos y las demandas de la sociedad son aspectos que hacen que el tratamiento de datos personales y su protección resulten de enorme importancia.

La entrada en vigor el pasado 25 de mayo 2018 del Reglamento General de Protección de Datos, norma europea de aplicación directa, con intención armonizadora y más exigente en seguridad y transparencia en el tratamiento de datos personales, ha despertado la inquietud en el sector sanitario en torno a su implementación. Con el fin de desarrollar dicha implementación, SEDISA ha impulsado la publicación del Posicionamiento SEDISA ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA EL SECTOR SANITARIO, coordinado por Carmen Pérez Canal, quien ha elaborado el texto en colaboración con Rosario Heras Carrasco y Andrés Calvo Medina.

Este Reglamento conlleva importantes novedades, entre las que destacan las mayores garantías en el tratamiento de datos personales con diversas medidas como la obligación de notificar la violación de los datos a la autoridad de control, la figura obligatoria del Delegado de Protección de Datos en las organizaciones, la obligatoriedad de realizar evaluaciones de impacto de los datos de salud y el principio de responsabilidad proactiva. A este respecto, el Reglamento Europeo ya no se basa en cumplir unas exigencias como ocurre con la normativa actual, sino que partimos de una responsabilidad proactiva, nos obliga a realizar un análisis en base al concepto de riesgo de todas las actividades de tratamiento. Se trata de cumplir y acreditar que cumplo, pasando de un ecosistema rigorista a una madurez de cumplimento.

 

Hoja de ruta para las organizaciones sanitarias

El derecho a la protección de datos personales persigue garantizar a la persona el control de sus datos personales, su uso y su destino con el propósito de impedir su tratamiento ilícito y lesivo para sus derechos y libertades personales. En este sentido, los datos relativos a la salud pertenecen a nuestro mayor grado de reserva personal y, en relación a la información e identificación que contienen, va a suponer el máximo interés por parte de los ciudadanos por garantizar el uso y tratamiento de los datos para los fines con los que han sido obtenidos.

Pero, en lo concreto, ¿cómo sabe un directivo o responsable de este tema que su organización cumple con lo establecido en el nuevo Reglamento Europeo?. La garantía de la protección solamente se consigue pensando y operando en modo protección de datos. Por ello, es fundamental que los directivos implanten las siguientes medidas clave, tal y como establece el Posicionamiento SEDISA ADAPTACIÓN AL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS PARA EL SECTOR SANITARIO, como hoja de ruta:

  1. Designar un Delegado de Protección de Datos
  2. Establecer el registro de actividades de tratamiento
  3. Determinar la legitimación de los tratamientos
  4. Revisar la información que se facilita a los pacientes
  5. Revisar los contratos con encargados de tratamientos
  6. Revisar los procedimientos para atender el ejercicio de los derechos
  7. Realizar el análisis de riesgos
  8. Realizar evaluaciones de impacto
  9. Revisar las medidas de seguridad
  10. Desarrollar y aplicar una política de privacidad
  11. Formar y concienciar

Carmen Pérez Canal, coordinadora del Posicionamiento, nos contesta a preguntas clave sobre su contenido

Pregunta:           En el Posicionamiento se comenta que la garantía de la protección solamente se consigue pensando y operando en modo protección de datos. ¿Cómo se piensa y opera en modo protección de datos?

Respuesta:         Se trata de un término coloquial que hace referencia a que la Protección de Datos tiene que estar presente en todas y cada una de las operaciones que realizamos con datos personales, desde el inicio, abarcando todas las fases. Uno de los Principios nuevos de Reglamento es el de Protección de Datos desde el Diseño y otro que impregna todo es el de Responsabilidad Proactiva, que implica el compromiso de toda la organización con la Protección de los datos.

P.:   ¿De qué herramientas se puede ayudar el directivo para crear cultura de responsabilidad proactiva en su organización?

R.:   Sin duda, la formación, conocer, comunicar, capacitar y concienciar son los pilares en donde se sustenta el sistema de protección de datos para que el resultado sea el exigido por la norma, con el consecuente nivel en reputación y confianza.

P.:   En los últimos meses se ha hablado mucho de la implicación que puede tener la implementación del Reglamento en el ámbito sanitario, en áreas tan relevantes como la investigación, realización de ensayos clínicos, comunicación de incidencias a pacientes por parte de los hospitales, etcétera. ¿Cuál es tu opinión al respecto?

R.:   El valor del dato, tanto en su vertiente individual como para la sociedad, tiene que aliarse con valores como son la confidencialidad y la transparencia; por lo que la investigación con datos personales de salud se tiene que encuadrar en un entorno de protección y seguridad sin entorpecer la innovación y el progreso, situaciones que se deben ir aclarando teniendo en cuenta el ámbito de armonización europea, en donde se mueve actualmente la Protección de Datos. 

P.:   Como experta en Protección de Datos, ¿a quién recomendarías leer el Posicionamiento?

R.:   Profesionales tanto del Sistema y como del Sector Sanitario y de Salud. En el tratamiento de datos personales participan profesionales de asistencia sanitaria, investigación y docencia y desde las organizaciones de prestación de asistencia sanitaria y la industria.