A partir del
25 de mayo 2018, la actual normativa de protección de datos es sustituida por el
Reglamento General de Protección de Datos, norma europea de aplicación directa, con intención armonizadora y más exigente en seguridad y transparencia en el tratamiento de datos personales. Con el fin de desarrollar su implantación en el
ámbito de la asistencia sanitaria, la Sociedad Española de Directivos de la Salud (
Sedisa) ha impulsado la publicación del posicionamiento
Sedisa adaptación al Reglamento General de Protección de Datos para el Sector Sanitario, coordinado por
Carmen Pérez Canal, quien ha elaborado el texto en colaboración con
Rosario Heras Carrasco y
Andrés Calvo Medina.
El Reglamento General de Protección de Datos conlleva
importantes novedades, entre las que destacan las
mayores garantías en el tratamiento de datos personales con diversas medidas como la obligación de notificar la violación de los datos a la autoridad de control.
También resaltan la figura obligatoria del
delegado de protección de datos en las organizaciones, la obligatoriedad de realizar
evaluaciones de impacto de los datos de salud y el principio de
responsabilidad proactiva. No obstante, se estima que el 73 por ciento de las empresas en España no está preparado para afrontar la plena aplicabilidad de este nuevo Reglamento.
Tres aspectos diferenciadores en sanidad
En palabras de
Carmen Pérez Canal, experta en protección de datos, “en Sanidad, hay tres aspectos diferenciadores en el ámbito de la protección de datos: el
dato de salud, incluido en los denominados categorías especiales de datos, el concepto de riesgo al que se asimila estos datos y el tratamiento a gran escala.
Esto, unido a
circunstancias y características de la actualidad, como puede ser el valor del dato, los cambios tecnológicos y las demandas de la sociedad, hacen que el tratamiento de datos personales y su protección resulten de enorme importancia”.
El reglamento europeo se basa en una responsabilidad proaciva
|
Frente a las novedades del reglamento, y atendiendo a la necesidad de actualización del conocimiento y adaptación a las novedades,
Modoaldo Garrido, vicepresidente primero de Sedisa, destaca la importancia de la
publicación y difusión de este
posicionamiento.
“La
gran cantidad de datos que se manejan en las organizaciones sanitarias, la
inclusión del dato de salud en las categorías especiales de datos, la
necesidad del uso de los datos para la
evidencia científica y la
planificación de recursos, así como el
compromiso de los directivos y de la gestión sanitaria con la seguridad del paciente en todos los sentidos, hacen fundamental la implementación de las medidas que establece el reglamento europeo en el sector sanitario, bajo el liderazgo de un directivo profesionalizado y capaz de crear cultura de responsabilidad proactiva en la organización”, asegura.
A este respecto, “el reglamento europeo ya no se basa en cumplir unas exigencias como ocurre con la normativa actual, sino que partimos de una
responsabilidad proactiva, nos obliga a realizar un análisis en base al concepto de riesgo de todas las actividades de tratamiento”, añade Carmen Pérez Canal. “Se trata de cumplir y acreditar que cumplo, pasando de un ecosistema rigorista a una madurez de cumplimento”.
Hoja de ruta
El Posicionamiento
Sedisa Adaptación al Reglamento General de Protección de Datos para el Sector Sanitario en
13 apartados analiza las cuestiones clave a tener en cuenta en la implementación del nuevo Reglamento en las organizaciones sanitarias.
Así, tras una introducción a la entrada en vigor del mismo y el “
dibujo” de la situación actual de los hospitales respecto a la protección de datos, la obra trata, desde un punto de vista
práctico y adaptado al sector sanitario, el nuevo enfoque de la responsabilidad proactiva, el perfil y funciones del delegado de protección de Datos.
También aborda los principios en los que se fundamenta el Reglamento, el registro de actividades del tratamiento, la legitimación de éste, el encargado del tratamiento, el enfoque del riesgo, las evaluaciones de impacto, los derechos de los pacientes y las violaciones de seguridad.
Asimismo, el documento se cierra con un apartado en el que recogen los
puntos clave de la hoja de ruta que un directivo debe asumir para adaptar la organización que lidera a lo establecido en el nuevo Reglamento.
Cuestión de principios
Junto al principio de responsabilidad proactiva, el reglamento establece que los datos personales deben ser tratados teniendo en cuenta otros principios. El primero de ellos es la
licitud, que establece que solo se podrán tratar datos personales cuando se cuente con el
consentimiento de la persona cuyos datos se van a tratar.
El derecho a la protección de datos personales impide el tratamiento y lesivo de los datos personales
|
Asimismo, se podrá cuando el tratamiento es
necesario para: la ejecución de un contrato, cumplir una obligación legal, proteger los intereses vitales de la persona, el cumplimiento de una misión realizada en interés público o satisfacer los intereses legítimos del responsable del tratamiento.
Del mismo modo, el reglamente hace hincapié en
otros principios, como el de lealtad y transparencia, el de limitación de la finalidad, minimización de los datos, exactitud, delimitación del plazo de conservación, integridad y confidencialidad.
Datos sensibles
El derecho a la protección de datos personales persigue garantizar a la persona el
control de sus datos personales, su
uso y su
destino con el propósito de
impedir su tratamiento ilícito y lesivo para sus derechos y libertades personales.
En este sentido, los datos relativos a la salud pertenecen al
mayor grado de reserva personal y, en relación a la información e identificación que contienen, va a suponer el
máximo interés por parte de los ciudadanos por garantizar el uso y tratamiento de los datos para los fines con los que han sido obtenidos.
Pero, en lo concreto, ¿cómo sabe un directivo o responsable de este tema que su organización cumple con lo establecido en el nuevo Reglamento Europeo?. Según Carmen Pérez Canal, “la garantía de la protección solamente se consigue
pensando y operando en modo protección de datos“.
Por ello, es fundamental que los directivos implanten las siguientes medidas clave, tal y como establece el Posicionamiento
Sedisa Adaptación al Reglamento General de Protección de Datos para el Sector Sanitario , como hoja de ruta. Estoas contienen la designación de un delegado de protección de datos, el establecimiento del registro de actividades de tratamiento, la determinación de la legitimación de los tratamientos, la reivisión de la información que se facilita a los pacientes, los contratos con encargados de tratamientos y los procedimientos para atender el ejercicio de los derechos.
También la realización del análisis de riesgos, las evaluaciones de impacto, la revisión de las medidas de seguridad, el desarrollo y la aplicabilidad de una política de privacidad y formar y concienciar.
“Se trata de una hoja de ruta -concluye Pérez Canal- en la que están presentes
valores como la confidencialidad, la privacidad y su protección. En esta línea, una política de calidad de protección de datos en la que la mejora continua esté presente, ayudará no solo a evitar sanciones, sino también a la mejora reputacional y de credibilidad de la organización ante sus clientes y la sociedad”.
Aunque pueda contener afirmaciones, datos o apuntes procedentes de instituciones o profesionales sanitarios, la información contenida en Redacción Médica está editada y elaborada por periodistas. Recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.