GDPR: 7 claves para cumplir con el RGPD en hospitales y clínicas

Uno de los pilares fundamentales en el nuevo  Reglamento Europeo de Protección de Datos (GDPR) como ya hemos comentado, es el consentimiento de los interesados como forma de legitimar el tratamiento de sus datos personales.

Un campo en el que el consentimiento informado toma especial importancia es el sanitario puesto que trabajan no solo con datos personales habituales, sino con lo que se conoce como información sensible.

En el siguiente post abordamos la protección de datos en el sector de la salud y cómo pueden cumplir sus profesionales con el GDPR.

Este post también está disponible en inglés.

GDPR: su impacto en los tratamientos de datos de salud

El GDPR afecta a todos los profesionales que operan en el sector sanitario y su correcta aplicación es incluso mayor que en otros ámbitos ya que el tipo de datos que tratan son especialmente sensibles, los datos de salud.  

El Reglamento define como datos personales relacionados con la salud aquellos “relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (artículo 4.15).

En esta definición el matiz novedoso es que ahora también se incluye como datos de salud la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona.

Por ellos, por lo trascendental que puede tener este tipo de datos para la privacidad del interesado, el RGPD otorga a este tipo de datos mayor protección, lo cual hace que se deban cumplir una serie de condiciones adicionales para su tratamiento.

GDPR: consejos para cumplir en hospitales y clínicas

Los exigencias legales que deben formalizar los responsables de los datos para el cumplimiento de este Reglamento serían:

Consentimiento explícito

El artículo 9 del RGPD recoge la principal base legal para el tratamiento de este tipo de datos, el consentimiento, que deberá ser explícito según la nueva normativa europea. Así los hospitales y demás instituciones sanitarias tendrán que esforzarse mucho más para demostrar que los pacientes han comprendido y aceptado sus condiciones de uso.

Aquellos centros que aún no hayan adaptado sus cláusulas de consentimiento a los requisitos que ahora se exigen deberán replantearse el protocolo para obtener el consentimiento de los pacientes.

Fuera del consentimiento la legislación únicamente permite tratar los datos enmarcados en esta categoría especial cuando concurra alguna de las siguientes circunstancias:  

• Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física en caso de que el interesado no esté capacitado para dar su consentimiento.
• Cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social en virtud de un contrato con un profesional sanitario.
• Cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
  
  
  

Más información

Con el GDPR aumenta el nivel de información que todos los usuarios deben recibir de los responsables del tratamiento de sus datos. En este sentido, la información facilitada debe contener como mínimo los siguientes detalles:

• Los datos de contacto del Delegado de Protección de Datos cuando este sea designado.
• La base jurídica o legitimación para el tratamiento.
• El plazo o los criterios de conservación de la información.
• La existencia de decisiones automatizadas o elaboración de perfiles.
• La previsión de transferencias a terceros países.
• El derecho a presentar una reclamación ante la Autoridad de Control.

Recomendamos que la información exigida en el nuevo Reglamento se incorpore lo antes posible a la que en la actualidad se proporciona, realizándose una adaptación progresiva.

Delegado de Protección de Datos

La incorporación de un Delegado de Protección de Datos es obligatoria para los responsables o encargados que cuenten, entre sus actividades principales, los tratamientos a gran escala de datos sensibles, así como para las Administraciones públicas, entre otros supuestos, por lo que los Hospitales Públicos deberán contar con dicha figura a partir de mayo de 2018.

El Delegado de Protección de Datos deberá tener autonomía en el ejercicio de sus funciones, las cuales podrá desarrollar a tiempo total o parcial, en este último caso, siempre y cuando no surjan conflictos de intereses.

Medidas organizativas y de seguridad

La nueva normativa ya no establece las medidas de seguridad por niveles, si no que prevé que se apliquen medidas en función del riesgo que puedan ocurrir en el tratamiento de los datos.

Por lo tanto, atendiendo a esto, en el caso del tratamiento de datos de salud el nivel del riesgo es enorme, por lo que habrá que diseñar una medidas organizativas y de seguridad conforme a dicho riesgo.

Evaluación de Impacto

Dentro de las medidas de responsabilidad activa exigidas por el RGPD se encuentra la Evaluación de Impacto, cuyo concepto se introduce en su artículo 35 siendo obligatorio para procesamientos de alto riesgo, en los que se incluyen los datos de salud.

La Evaluación de Impacto debe realizarla el centro hospitalario responsable del tratamiento, que es por tanto el responsable de su elaboración antes del tratamiento, aunque debe contar con el asesoramiento del Delegado de Protección de Datos.

La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).

Registro de las actividades de tratamiento

Los responsables y los encargados están obligados ( siempre en los casos de tratamientos de datos de salud, genéticos o biométricos) a mantener un registro de las actividades de tratamiento que realicen.

Este registro debe de contener al menos los siguientes datos:

• Identificación y datos de contacto del responsable, corresponsable, representante y delegado de protección de datos.
• Fines del tratamiento.
• Descripción de categorías de interesados y datos.
• Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales).
• Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos.
  
  

Comunicación de los datos

Es habitual, que los datos se comuniquen entre entidades para el mejor tratamiento del paciente. En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permite esta transmisión.

El responsable del fichero deberá cumplir determinados requisitos:

• Definir en un contrato escrito la regulación del tratamiento de datos por cuenta de un tercero,
• Establecer que ese tercero ( únicamente tratará los datos conforme a sus  instrucciones.

• Comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato, ni serán comunicados a otras personas.
• El tercero deberá cumplir con las mismas medidas de seguridad que las que cumpla el responsable del fichero.

Excepción

La única excepción a este consentimiento se establece en el caso de que la comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia sanitaria de los afectados a los que se refieren.

Mutuas y compañías de seguro

En el caso particular y excepcional de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario.

Eso sí, solo los que resulten adecuados, pertinentes y no excesivos para determinar el importe de dicha asistencia sanitaria y atendiendo al artículo 24 del GDPR, habrá que suscribir un contrato de Destinatario de datos entre la Aseguradora y el Centro Sanitario o Profesional Privado.

Conclusión

Aunque el RGPD introduce importantes novedades, algunos analistas consideran que su impacto no será tan oneroso como en principio se suponía; aun así, las organizaciones que procesan datos de salud tendrán que revisar en profundidad sus políticas, procedimientos y prácticas existentes para asegurar el cumplimiento.

Si tienes dudas respecto cómo obtener el consentimiento de tus clientes para obtener y tratar sus datos, puedes descargarte la guía que encontrarás a continuación donde explicamos más en profundidad nuestras soluciones tecnológicas especialmente diseñadas para cumplir con este Reglamento. Si lo prefieres puedes ponerte en contacto con nosotros a través del email info@signaturit.com o llámanos al 93 551 14 80.

Este post también está disponible en inglés.