LA PROTECCIÓN DE DATOS EN EL SECTOR SANITARIO

24-09-2019

Esto ha supuesto una actualización no solo en cuanto a los nuevos requisitos de la protección de datos personales, sino también la aplicación de mecanismos para cumplirlos.

En algunos casos, los profesionales del sector sanitario no encuentran la manera de gestionarlos ante las dudas acerca de cómo proceder, o no disponen de los medios necesarios para su cumplimiento.

El Reglamento General de Protección de Datos es una serie de normas y leyes, enfocadas a la protección de las personas físicas en cuanto a sus datos personales y el tratamiento que se hace de ellos en determinados ámbitos.

Cualquier organismo, institución, organización o empresa que desarrolle su actividad en la Unión Europea y que maneje datos personales de usuarios, está obligado a cumplir con este reglamento, bajo penas de hasta 20 millones de euros.

Este reglamento lleva en vigor desde mayo de 2018, y está apoyado por la Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales de diciembre de 2018.

De esta forma, quedan protegidos los datos personales de las personas físicas y se regula la circulación de los mismos.

Permite además, el control de los datos personales por parte de los usuarios, que pueden decidir cómo se gestionan y otorgar permisos acerca de su tratamiento.

Es una forma de que el usuario sepa en todo momento quién tiene acceso a sus datos personales y cómo los está utilizando, algo cada vez más importante en el mundo digital, en especial.

Una de las exigencias que aplica el nuevo Reglamento General de Protección de Datos es la designación de un nuevo puesto, llamado Delegado de Protección de Datos, un profesional especializado en esta materia legislativa que se encargue de gestionar todo lo relativo a la protección de datos.

Los centros relacionados con el sector sanitario tienen esta exigencia por partida doble.

Es decir, se les pide el nombramiento de este profesional debido al nuevo Reglamento General de Protección de Datos europeo (RPGD), pero también por la Ley Orgánica 3/2018 de diciembre de la Protección de Datos Personales y garantía de los derechos digitales.

El sector sanitario, debido a sus características, tiene además ciertas medidas de seguridad relacionadas con la protección de datos como, por ejemplo, el uso de estos datos con fines científicos o en los casos en los que la vida del afectado se encuentra en peligro y, por lo tanto, no pueda dar su consentimiento.

Las consecuencias de no cumplir con el Reglamento General de Protección de Datos de la Unión Europea pueden oscilar desde la imposibilidad de sacar adelante proyectos e investigaciones, por no cumplir con la normativa, hasta multas que pueden alcanzar cifras de millones de euros, según los casos.

Las áreas sanitarias afectadas por la nueva normativa son, entre otras, la investigación científica, las teleconsultas, las apps de salud o la medicina personalizada, todas ellas incluidas dentro del ámbito de la conocida como Salud Digital.

Como se menciona más arriba, aunque la protección de datos exige que el usuario, en este caso el paciente, confirme el acceso a sus datos de forma voluntaria y libre, se han creado supuestos en los que este consentimiento puede ser obviado: el riesgo de la vida del paciente o las situaciones relacionadas con la salud pública son algunos de ellos.

Este consentimiento tampoco se aplica en los casos de historiales clínicos de personas fallecidas, a los que podrán acceder familiares y allegados a menos que el paciente en vida se hubiera negado a ello y hubiera constancia. 

Además, se deben implementar otras actuaciones como la destrucción de historiales clínicos tras cinco años, el control de la cesión de datos y la seguridad informática en general.

Para ello, se requiere un cifrado de datos, la realización de backups y la protección ante posibles ciberataques a las bases de datos.

Sin embargo, existe una excepción en el sector sanitario en cuanto a la designación del Delegado de Protección de Datos y son los profesionales que trabajan a título individual como pueden ser, por ejemplo, los dentistas.

Esto, no obstante, no les exime de cumplir con el resto de la normativa del Reglamento General de Protección de Datos.

La Evaluación de Impacto de Protección de Datos (EIPD) es un procedimiento mediante el cual, se consideran los procesos relativos a la gestión de los datos personales de los usuarios para comprobar si existen riesgos de exposición en su tratamiento.

De esta manera, es posible activar medidas para minimizar estos riesgos y sus consecuencias.

Dentro del sector sanitario existen varios supuestos que exigen la elaboración de una Evaluación de Impacto en cuanto al tratamiento de los datos personales.

Algunos de ellos son todas las acciones relacionadas con la genética y la identificación de individuos y el contacto con menores de 14 años, personas en riesgo de exclusión, víctimas de violencia de género, discapacitados y personas bajo su custodia.

Las características del sector sanitario, hacen que sea uno de los ámbitos sobre los que recaen más exigencias relacionadas con la protección de datos personales.

Por ello, es importante conocer cuáles son y activar los procedimientos lo antes posible para evitar futuros conflictos y sanciones.

Quizá estas altas exigencias sean el motivo por el que, tras una evaluación por parte de la Agencia Española de Protección de Datos, se ha comprobado que aún existe cierto retraso en la aplicación del nuevo Reglamento General de Protección de Datos en la Sanidad española, en especial en el sector público. 

Si necesitas implementar este tipo de medidas en tu centro sanitario, no dudes en contactar con nosotros para que podamos informarte acerca de nuestros servicios.