El Reglamento General de Protección de Datos (RGPD) sigue siendo un gran desconocido y en realidad, sobre todo en el área de la Salud Digital, tiene una gran relevancia. Con el reglamento se pretende garantizar la información de las personas físicas y por eso las clínicas y empresas dedicadas al sector de la salud en la Unión Europea deben acogerse al mismo.
El RGPD en el sector de la salud
Son varias las exigencias legales al respecto, por lo que a continuación se muestran las más importantes.
1. El consentimiento expreso
Uno de los artículos más relevantes del RGPD es el 9, que recoge que el consentimiento deberá ser explícito para recabar datos. Los hospitales y el resto de instituciones sanitarias tendrán que poner de su parte para demostrar que los pacientes han entendido sus condiciones de uso antes de aceptarlas y, además, quedan totalmente prohibidas las casillas premarcadas.
Sin consentimiento explícito, solo les está permitido el tratamiento de datos si es estrictamente necesario para proteger sus intereses vitales. También, con objetivos de medicina preventiva o laboral, gestión de sistemas de asistencia sanitaria o diagnósticos médicos. Por último, se permite el tratamiento por razones de interés público.
2. La información que se les debe dar a los pacientes
La información que deben conocer los pacientes es mucho mayor. Deberán ser informados en todo caso de quién es el Delegado de Protección de Datos (DPO). También, deberán conocer la legitimación y base jurídica del tratamiento, el plazo en el que se conserva la información y, de existir, las decisiones automatizadas, así como la elaboración de perfiles. La comunicación de datos con terceros países, del mismo modo, se debe informar, al igual que el derecho de reclamar ante la Autoridad de Control.
3. El Delegado de Protección de Datos (DPO)
Es obligatorio incorporar un DPO para los tratamientos de datos sensibles a gran escala. Un clásico ejemplo de encargados que hacen esto son los hospitales públicos, para los cuales esta figura es forzosa desde mayo de 2018. El DPO debe tener autonomía al realizar sus funciones, que podrá desarrollar a tiempo total o parcial si, en este último caso, no le surgen conflictos de intereses.
4. Nuevas medidas de seguridad y organizativas
El RGPD corta con las medidas de seguridad por niveles, previendo que ahora se apliquen medidas según el riesgo del tratamiento. En el caso de los datos de salud, el riesgo en el tratamiento es muy alto, por lo que las medidas de seguridad y organizativas deberán ser acordes a dicho riesgo.
5. Evaluación de impacto
Dentro de las medidas que exige el RGPD con respecto a la responsabilidad activa, está la Evaluación de Impacto en el artículo 35. Esta es obligatoria para los procesos de riesgo alto, entre los que están los tratamientos de datos de salud. Debe realizarla el hospital responsable de tratamiento antes del mismo, y con el asesoramiento del DPO. Se trata de un análisis del riesgo existente para permitir la adopción de medidas adecuadas de reducción de riesgos.
6. El registro de las actividades de tratamiento
Los responsables realizan tratamiento de datos de salud, además de genéticos o biométricos. Por tanto, están obligados a registrar sus actividades, incluyendo al menos la siguiente información. Primero, la identificación y los datos del DPO, del representante, del responsable y del corresponsable.
También, los fines de tratamiento y la descripción de categorías de interesados y datos. A continuación, las categorías previstas o existentes de destinatarios (con especial importancia de las Organizaciones Internacionales). Por último, deben registrar las transferencias de datos internacionales y los documentos de garantías de estas.
7. La comunicación de los datos
Es muy común que los datos entre entidades se comuniquen para favorecer el dato al paciente. En estos casos, el interesado debe saberlo y autorizar dicha transmisión. El responsable del fichero debe definir en un contrato la regulación del tratamiento de información de un tercero, comprobar que los datos no se usen con una finalidad diferente a la mencionada en el contrato ni comunicados a terceros, y cumplir con las medidas de seguridad.
La excepción de este apartado es la misma que en el consentimiento: la prevención, la asistencia sanitaria y el diagnóstico del interesado. No obstante, esta excepción debe ser siempre pertinente, no excesiva y adecuada. Esto también se aplica al caso de la comunicación de datos entre mutuas, que no necesitan consentimiento en base al principio de calidad siempre que esta se enfoque de cara a la factura del gasto sanitario, según el art. 24 del RGPD.
En definitiva, el Reglamento General de Protección de Datos introduce novedades muy importantes que afectan en gran medida a los centros de salud y otras entidades del sector. Las organizaciones que trabajen con este tipo de datos sensibles se están viendo obligadas a revisar en profundidad sus prácticas habituales existentes, sus políticas y sus procedimientos para asegurar que el reglamento se está cumpliendo.
