La nueva protección de datos en sanidad deja la multa como "último recurso"

El sector sanitario tendrá que aplicar en breve el nuevo reglamento europeo de protección de datos, una norma que fue aprobada en 2016 y que entrará en vigor en España el próximo 25 de mayo. Entre otras cuestiones, la nueva norma prevé aumentar la cuantía de las sanciones a aquellas empresas y organizaciones que la infrinjan hasta cifras que pueden alcanzar los 20 millones de euros, una medida que ha causado gran preocupación en el ámbito sanitario, tanto por el volumen como por la delicadeza de la información que en él se maneja.

No obstante, "el régimen sancionador será siempre el último recurso", ha explicado Pedro Colmenares, subdirector general de inspección de datos de la Agencia Española de Protección de Datos (AEPD) durante su intervención en la conferencia 'Reglamento Europeo de Protección de Datos: Aplicación en el Sector Sanitario' organizada por la Alianza de la Sanidad Privada Española (ASPE).

De esta forma, Colmenares ha querido tranquilizar a los representantes de instituciones sanitarias españolas presentes en el acto, al subrayar que el reglamento primará la subsanación de los errores puntuales a su sanción, y que las multas tendrán especial incidencia y cargo en aquellos fallos recurrentes que "evidencien malas prácticas" por parte de la empresa o institución en la que se haya producido.

Alberto Martín (Alaro Avant); Pedro Colmenares, de la AEPD; Carlos Rus (ASPE).

Dificultades de la norma en sanidad

Colmenares también ha señalado la dificultad de aplicar el nuevo reglamento europeo sobre la protección de datos en el sector sanitario, un ámbito en el que "se usan de modo masivo y hay que compaginar el derecho del atendido con el uso que le va a dar el profesional que lo vaya a utilizar".

En este sentido, ha especificado que, en cualquier caso, esta norma refuerza la protección del paciente, "al que hay que explicarle muy bien para qué se van a usar sus datos", aunque ha dejado claro que existen excepciones para las que no hace falta la autorización del afectado, como en situaciones en las que exista un riesgo vital para esa persona, en temas de salud pública o para investigaciones científicas.

En cuanto a la figura del delegado de protección de datos, un puesto que prevé la nueva ley para los centros sanitarios y que es otra de las preocupaciones de los gestores de los centros de salud y hospitalarios, el  subdirector general de inspección de datos de la AEPD ha especificado que si bien todas las instituciones sanitarias deben tenerlo, "no tiene porqué ser propio del centro, sino que puede tener un contrato de asistencia externo".

"La nueva ley exige una labor proactiva a los sanitarios"

Aunque en algunos aspectos el nuevo reglamento sobre la protección de datos será continuista, en otros supone un gran cambio. Uno de esos ámbitos es el de las sanciones, como ha explicado Colmenares, mientras que otro es el de la "responsabilidad activa". Así lo ha señalado Carlos Rus, secretario general de ASPE, para quien la norma exigirá a los sanitarios "una labor proactiva de prevención, de evaluación de los riesgos y la implantación de las acciones necesarias para evitarlos, así como formación para detectarlos".

Rus ha afirmado que la Ley de Protección de Datos supondrá un "cambio de paradigma", pues obligará a empresas e instituciones sanitarias a abandonar la actuación "reactiva" que se llevaba a cabo hasta ahora, con la que "se reaccionaba en tiempo y forma ante incidentes que se podían producir en el ámbito de la protección de datos".

Asimismo, el secretario general de ASPE ha destacado la importancia de una legislación de esta naturaleza para el ámbito sanitario, un sector que por "el inmenso volumen de datos que maneja exige un tratamiento riguroso".

Vista general de la sala durante la presentación de la Jornada sobre el Reglamento Europeo de Protección de Datos.