El RGPD ha introducido auténticos cambios en cuanto a normativa sobre protección de datos. La implantación de las nuevas directrices está siendo especialmente complicada para algunos sectores, siendo el sanitario uno de ellos. ¿Quieres saber cuáles son los puntos más sensibles y las medidas que hay que tomar? A continuación te lo contamos en detalle.
¿Cuáles son las principales áreas afectadas por la adaptación al RGPD?
Dentro del sector sanitario, y debido a sus especiales características, existen áreas particularmente delicadas. Un ejemplo de ellos serían la medicina genómica, la atención médica personalizada o la investigación científica.
Además, la nueva normativa también ha extendido la protección de datos al sector sanitario digital, afectando a las apps de salud, los servicios de teleconsulta y los wearables.
¿Cuáles son las prohibiciones legales y excepciones sobre el tratamiento de determinados datos?
Algunos datos de carácter personal son especialmente delicados y por lo tanto está prohibido tratarlos, como por ejemplo las opiniones políticas, los datos relativos a la salud, las convicciones religiosas, la orientación sexual o los datos biométricos.
No obstante, la propia normativa establece una serie de excepciones con respecto a las citadas prohibiciones:
- En el caso de que el cliente exprese su propio consentimiento explícito.
- Cuando el tratamiento de los citados datos sea necesario para el cumplimiento de obligaciones laborales.
- Si el tratamiento es imprescindible para proteger intereses primordiales del interesado.
- Si el tratamiento es efectuado por una organización sin ánimo de lucro, siempre que se ciña exclusivamente a los miembros de esta.
- Cuando el tratamiento se refiera a datos personales que el interesado haya facilitado de forma pública.
- Si ese tratamiento es fundamental para el ejercicio de reclamaciones.
- Cuando resulte necesario por razones de interés general.
- Si es indispensable para fines de medicina preventiva.
- Cuando sea necesario por razones de interés público en el ámbito de la sanidad o con fines de investigación científica.
¿Qué novedades introduce la adaptación del RGPD?
Las novedades son muchas, pero podemos resumirlas de la siguiente forma:
Si tienes un centro sanitario es necesario que revises las políticas de privacidad, además de adaptarlas a la nueva normativa. Hay que actualizar y revisar el tratamiento de los datos (finalidad, responsable del tratamiento, posibilidad de ejercer los derechos ARCO...).
Además, es importante que obtengas el consentimiento expreso de tus pacientes. Este ha de quedar manifestado en un acto afirmativo rotundo que refleje la voluntad libre, específica, informada e inequívoca del paciente para que sean tratados sus datos de carácter personal.
- Registro de Actividades de Tratamiento
En tu establecimiento sanitario deberá constar el llamado Registro de Actividades de Tratamiento de datos de carácter personal. En él deben constar los tipos de datos que se recopilan, la finalidad de su tratamiento, la política de almacenamiento, si se produce cesión de los datos y si estos se transfieren fuera del país. Además, deberás incluir los medios de tratamiento.
- Evaluación de impacto en la protección de datos personales
Es necesario realizar una evaluación de impacto sobre la protección de datos de carácter personal. Te preguntarás: ¿por qué? La respuesta es muy sencilla: los datos manejados en el ámbito sanitario son de alto riesgo (estado de salud de los pacientes) y, por consiguiente, debe evaluarse el impacto que pueden generar sobre los derechos y libertades de los interesados.
Para realizar la evaluación, la AEPD ha elaborado esta metodología:
- Describir el ciclo de vida de los datos.
- Analizar la necesidad y la proporcionalidad del tratamiento.
-Identificación de amenazas y riesgos.
-Evaluación de los riesgos.
-Tratamiento de los riesgos.
-Plan de acción y conclusiones.
Esta es la herramienta que te permitirá definir in plan de medidas sobre:
- Cumplimiento con la normativa sobre protección de datos.
- Identificación de problemas.
- Reducción del coste a la hora de poner en marcha el cumplimiento sobre la materia.
- Prevención de problemas futuros.
- Delegado de Protección de Datos
Esta es una figura obligatoria y debe encargarse de supervisar el cumplimiento de la ley, así como de las políticas internas. Puede pertenecer a tu plantilla o formar parte de una empresa externa que gestione este servicio.
Una vez analizados los riesgos, hay que establecer medidas de seguridad para salvaguardar los datos personales. Las principales a tener en cuenta son las siguientes:
a) Establecer medidas de seguridad para evitar ataques informáticos. Este es uno de los puntos críticos con los que se suelen encontrar los establecimientos sanitarios, ya que muchas veces se basan en sistemas de cifrado antiguos.
b) Además de respetar la absoluta confidencialidad de los historiales clínicos, estos solo podrán conservarse durante un plazo de 5 años.
c) La política de organización de archivos, custodia, digitalización y destrucción podrá externalizarse para mayor seguridad.
d) Si existe cesión de datos, siempre ha de ser con el consentimiento expreso del paciente.
Este ha sido el
resumen básico de los puntos que no debes pasar por alto. Al tratarse de un tema especialmente delicado, no es mala idea plantearse contar con la ayuda de especialistas en materia de adaptación RGPD. Si la necesitas, sabes que en nuestro portal puedes encontrar
empresas especializadas y de calidad contrastada.
Esperamos haber aclarado las principales dudas y que adaptarte al RGPD ahora te resulte más sencillo.