5 min
Posted by media on 10/05/18 9:00
Uno de los pilares fundamentales en el nuevo Reglamento Europeo de Protección de Datos (GDPR) como ya hemos comentado, es el consentimiento de los interesados como forma de legitimar el tratamiento de sus datos personales.
Un campo en el que el consentimiento informado toma especial importancia es el sanitario puesto que trabajan no solo con datos personales habituales, sino con lo que se conoce como información sensible.
En el siguiente post abordamos la protección de datos en el sector de la salud y cómo pueden cumplir sus profesionales con el GDPR.
Este post también está disponible en inglés.
Índice + Delegado de protección de datos + Medidas organizativas y de seguridad |
Índice + Delegado de protección de datos + Medidas organizativas y de seguridad |
El GDPR afecta a todos los profesionales que operan en el sector sanitario y su correcta aplicación es incluso mayor que en otros ámbitos ya que el tipo de datos que tratan son especialmente sensibles, los datos de salud.
El Reglamento define como datos personales relacionados con la salud aquellos “relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (artículo 4.15).
En esta definición el matiz novedoso es que ahora también se incluye como datos de salud la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona.
Por ellos, por lo trascendental que puede tener este tipo de datos para la privacidad del interesado, el RGPD otorga a este tipo de datos mayor protección, lo cual hace que se deban cumplir una serie de condiciones adicionales para su tratamiento.
En este campo en particular, el GDPR se complementa con la Ley de Autonomía del Paciente 41/2002, de 14 de noviembre, la cual se encarga de regular los derechos y las obligaciones en materia de información y documentación clínica. Esta ley la información y la documentación clínica debe estar orientada por “la dignidad de la persona humana, el respeto a la autonomía de su voluntad y a su intimidad”, según su artículo 2. |
Los exigencias legales que deben formalizar los responsables de los datos para el cumplimiento de este Reglamento serían:
El artículo 9 del RGPD recoge la principal base legal para el tratamiento de este tipo de datos, el consentimiento, que deberá ser explícito según la nueva normativa europea. Así los hospitales y demás instituciones sanitarias tendrán que esforzarse mucho más para demostrar que los pacientes han comprendido y aceptado sus condiciones de uso.
Aquellos centros que aún no hayan adaptado sus cláusulas de consentimiento a los requisitos que ahora se exigen deberán replantearse el protocolo para obtener el consentimiento de los pacientes.
Fuera del consentimiento la legislación únicamente permite tratar los datos enmarcados en esta categoría especial cuando concurra alguna de las siguientes circunstancias:
Con el GDPR aumenta el nivel de información que todos los usuarios deben recibir de los responsables del tratamiento de sus datos. En este sentido, la información facilitada debe contener como mínimo los siguientes detalles:
Recomendamos que la información exigida en el nuevo Reglamento se incorpore lo antes posible a la que en la actualidad se proporciona, realizándose una adaptación progresiva.
La incorporación de un Delegado de Protección de Datos es obligatoria para los responsables o encargados que cuenten, entre sus actividades principales, los tratamientos a gran escala de datos sensibles, así como para las Administraciones públicas, entre otros supuestos, por lo que los Hospitales Públicos deberán contar con dicha figura a partir de mayo de 2018.
El Delegado de Protección de Datos deberá tener autonomía en el ejercicio de sus funciones, las cuales podrá desarrollar a tiempo total o parcial, en este último caso, siempre y cuando no surjan conflictos de intereses.
La nueva normativa ya no establece las medidas de seguridad por niveles, si no que prevé que se apliquen medidas en función del riesgo que puedan ocurrir en el tratamiento de los datos.
Por lo tanto, atendiendo a esto, en el caso del tratamiento de datos de salud el nivel del riesgo es enorme, por lo que habrá que diseñar una medidas organizativas y de seguridad conforme a dicho riesgo.
Dentro de las medidas de responsabilidad activa exigidas por el RGPD se encuentra la Evaluación de Impacto, cuyo concepto se introduce en su artículo 35 siendo obligatorio para procesamientos de alto riesgo, en los que se incluyen los datos de salud.
La Evaluación de Impacto debe realizarla el centro hospitalario responsable del tratamiento, que es por tanto el responsable de su elaboración antes del tratamiento, aunque debe contar con el asesoramiento del Delegado de Protección de Datos.
La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados).
Los responsables y los encargados están obligados ( siempre en los casos de tratamientos de datos de salud, genéticos o biométricos) a mantener un registro de las actividades de tratamiento que realicen.
Este registro debe de contener al menos los siguientes datos:
Es habitual, que los datos se comuniquen entre entidades para el mejor tratamiento del paciente. En estos casos, el interesado deberá tener constancia de ello, ya que será él quien permite esta transmisión.
El responsable del fichero deberá cumplir determinados requisitos:
La única excepción a este consentimiento se establece en el caso de que la comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia sanitaria de los afectados a los que se refieren.
Mutuas y compañías de seguro
En el caso particular y excepcional de las mutuas y de las compañías de seguros, los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario.
Eso sí, solo los que resulten adecuados, pertinentes y no excesivos para determinar el importe de dicha asistencia sanitaria y atendiendo al artículo 24 del GDPR, habrá que suscribir un contrato de Destinatario de datos entre la Aseguradora y el Centro Sanitario o Profesional Privado.
Aunque el RGPD introduce importantes novedades, algunos analistas consideran que su impacto no será tan oneroso como en principio se suponía; aun así, las organizaciones que procesan datos de salud tendrán que revisar en profundidad sus políticas, procedimientos y prácticas existentes para asegurar el cumplimiento.
Si tienes dudas respecto cómo obtener el consentimiento de tus clientes para obtener y tratar sus datos, puedes descargarte la guía que encontrarás a continuación donde explicamos más en profundidad nuestras soluciones tecnológicas especialmente diseñadas para cumplir con este Reglamento. Si lo prefieres puedes ponerte en contacto con nosotros a través del email info@signaturit.com o llámanos al 93 551 14 80.
Este post también está disponible en inglés.
¿Necesitas más información?
Contacta con nosotrosSubscríbete a nuestra newsletter
Subscríbete a nuestra newsletter
Digitalizar tu empresa con Signaturit es muy fácil. Regístrate en nuestra newsletter y recibe 1 email a la semana con nuestros mejores consejos, eventos y novedades de producto.
¡Únete a las miles de empresas que ya han digitalizado sus departamentos de recursos humanos!
© Copyright Signaturit 2022
Made in Europe