Como conocerás, el 25 de mayo de 2018 ha entrado en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD)(¹), que supone una serie de cambios dentro de la normativa europea y son de aplicación obligatoria para todas las organizaciones, empresas o autónomos que traten con datos personales de una persona física. Como consecuencia de la globalización, el acelerado auge del mercado tecnológico y el aumento de los riesgos del intercambio de datos personales, todos los sectores, y más aún el sanitario por los datos sensibles que maneja, se han visto afectados por el alcance del RGPD. La Agencia Española de Protección de Datos será la encargada de velar que todas las empresas que manejan datos personales cumplen con la nueva normativa.
¿Pero que cambios supone esta normativa para las organizaciones sanitarias?
El objetivo principal de la nueva normativa es que se produzca una nueva cultura de Protección de Datos: se pasa de una cultura reactiva (la implantación de la norma de Protección de Datos por miedo a la sanción) a una cultura preventiva (la implantación se produce de forma natural, fomenta la prevención de riesgos y fortalece la protección de los derechos y libertades de todos los involucrados).
– Ya no podrá obtenerse el consentimiento de forma tácita o indirecta, sino expresamente y de forma afirmativa.
- El Reglamento General de Protección de Datos no obliga a redactar un nuevo consentimiento si el anterior es una manifestación o acción clara y afirmativa.
- Si se van a tratar datos con múltiples finalidades hay que pedir el consentimiento para cada uno de ellos. En el caso de que se hubiese obtenido el consentimiento tácito habría que redactar una nueva solicitud de consentimiento.
- Como novedad, el responsable deberá no sólo pedir el consentimiento sino además probar que lo ha obtenido y que ha sido prestado por el afectado por los medios pertinentes.
– Obligación de crear la figura del Delegado de Protección de Datos (DPD) en los centros sanitarios.
- Es una nueva figura que tendrá que instalarse en todas las organizaciones sanitarias por el manejo de datos altamente sensibles y que tengan un seguimiento regular y sistemático de los datos a gran escala.
- Será la figura implicada en todas las cuestiones relacionadas con la Protección de Datos, que tendrá acceso a la gerencia, con los recursos necesarios para el desempeño de sus funciones. Su actuación será independiente y sera el encargado de supervisar que se están cumpliendo las disposiciones del Reglamento.
– Se establece que se podrán tratar datos de carácter personal de menores de 16 años, que podrá reducirse la edad hasta 13 años si se establece por ley estatal, y en caso contrario, se necesitará recabar el consentimiento por medio de los padres o tutores.
– Se regulará el tratamiento de datos de personas fallecidas. Estos datos los tratarán los herederos según las instrucciones que dé la persona fallecida en vida, las cuales podrán ser incorporadas en un registro.
– Las organizaciones sanitarias estarán obligadas a realizar una evaluación de impacto al manejar datos de riesgo alto.
- Esta evaluación está dirigida a describir el tratamiento, evaluar su necesidad y proporcionalidad, identificación y gestión de los riesgos, conclusión y validación del informe de medidas para la gestión de riesgos identificados, elaboración de un plan de supervisión y revisión del tratamiento de datos personales.
- Se podrá hacer para uno o varios tratamientos similares y se hará antes de poner en práctica el tratamiento.
- No será necesario si la organización o empresa entra dentro de la lista de tratamientos sin riesgo o que el tratamiento este determinado por ley o interés público y la norma incluye la evaluación.
-Más derechos de los interesados: Además de los Derechos ARCO se les une los derechos de Suspensión (derecho al olvido), de Limitación, de Portabilidad y se añaden los principios de Transparencia, Comunicación, Información.
– Novedades sobre vídeo vigilancia. Posibilidad de grabar a los trabajadores, siempre que se les informe sobre esta medida.
– Unificación de infracciones y sanciones a todos los países pertenecientes a la Unión Europea.
– Las multas por infracciones pueden abarcar, como mínimo, desde 10 MM € o el 2% del beneficio total anual del negocio o, como máximo, 20 MM € o el 4% del beneficio total anual del negocio.
– Dejará de ser obligatorio inscribir ficheros en la AEPD. En su lugar, habrá de realizarse un Registro de Actividades en el caso de que el responsable emplee a más de 250 personas, salvo que el tratamiento de datos que desempeñe entrañe un riesgo para los derechos y libertades de los interesados, no sea ocasional o traten datos personales especialmente sensibles (religión, origen étnico, salud, ideología, infracciones penales).
– Para cumplir con el derecho de información, se instalará un “sistema de información por capas”. Si los datos se han recabado antes de la aplicación de la RGPD, será suficiente la información facilitada con arreglo a la LOPD sin necesitar informar nuevamente. La información debe ser concisa, transparente, inteligible y de fácil acceso.
-Los Códigos Tipo pasarán a ser Códigos de conducta y, por lo tanto, deben adaptarse al RGPD para producir los efectos previstos en él.
– Transferencia de datos internacionales.
– Medidas de seguridad: Los responsables de seguridad tendrán más libertad para adoptar medidas técnicas. Se añade como medida de seguridad, además de la Evaluación de Impacto, la realización de auditorias.
¿Cómo se tienen que adaptar las instituciones sanitarias a las nuevas disposiciones del Reglamento Europeo de Protección de Datos?
Las medidas de protección de datos de la nueva normativa europea añade nuevos requisitos para que todas las instituciones puedan garantizar el compromiso de la protección de datos personales y demonstrar la transparencia en el tratamiento de datos en el ámbito sanitario. Por ello, es muy importante que los responsables de los centros sanitarios realicen acciones para adaptar sus instituciones a las disposiciones del RGPD como los siguientes:
– Designar un Delegado de protección de Datos
– Realizar evaluaciones de impacto e análisis de riesgos del tratamiento de datos personales
– Revisar la política de seguridad
– Revisar la información facilitada a los pacientes
– Formar y concienciar a los profesionales del sector sobre los nuevos requisitos de la normativa.
(¹). Para reforzar la seguridad jurídica de las personas físicas, la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, ha sido sustituida por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) que entro en vigor plenamente el 25 de mayo de 2018.
Deja un comentario