GDPR: ¿cómo afecta a los pacientes?

Posted by media on 7/06/18 9:00

GDPR_como_afecta_a_los_pacientes (2)

Bajo el nuevo Reglamento General de Protección de Datos (GDPR), de aplicación en toda la UE desde el pasado 25 de mayo, los pacientes disfrutan de nuevos derechos que garantizan una mejor protección de sus datos, a la vez que aumenta las responsabilidades y obligaciones de las organizaciones que los utilizan.

En el siguiente post comentamos cómo el nuevo Reglamento busca abordar este sector empoderando a los ciudadanos con más derechos e información.

Este post también está disponible en inglés.

    Índice

     - Reglas para el consentimiento

     - ¿Qué nuevas medidas de cumplimiento deben tener en cuenta las empresas del                sector sanitario?

    - Informe de la AEPD

    Índice

     - Reglas para el consentimiento

     - ¿Qué nuevas medidas de cumplimiento deben tener en cuenta las empresas del                sector sanitario?

    - Informe de la AEPD

 

GDPR: protección de los pacientes vs avance de la investigación

Las nuevas tecnologías ofrecen una gran cantidad de oportunidades para recopilar, tratar y compartir datos de salud de manera más eficiente. A su vez generan nuevos desafíos para la privacidad y la seguridad de los mismos, de ahí las restricciones que la UE ha establecido en la nueva normativa pero teniendo presente la libertades necesarias que este sector necesita para evolucionar.

Y es que por un lado, los datos de salud se benefician de una protección adicional en el nuevo GDPR al considerarlos datos sensibles, porque una incorrecta divulgación de los mismos podría tener un impacto negativo en la vida personal y profesional de un paciente.

Pero por otro lado, el procesamiento de datos de salud es fundamental para el buen funcionamiento de los servicios de salud, para la seguridad de los pacientes, para avanzar en la investigación, por lo que poder usar los datos personales de los pacientes a veces es de vital importante.

Por estas razones, es importante que tanto los pacientes como las organizaciones médicas, por ejemplo los laboratorios, conozcan los derechos de los pacientes en esta área y participen en garantizar la privacidad en este sector por el bien común.

GDPR_Consentimiento_informado


La salud de los pacientes como datos sensibles

La salud de los pacientes y los datos genéticos se engloban dentro de una categoría especial de datos llamada "datos sensibles". Esta abarca todo datos personales que, por su naturaleza, son especialmente sensibles en relación con los derechos y las libertades fundamentales de los sujetos.

Por ello están sometidos a condiciones más estrictas en comparación con otro tipo de datos personales como por ejemplo, los detalles de contacto.

Así queda prohibido su tratamiento a menos que sea en virtud de uno de los motivos citados en el artículo 9, apartado 2 en el que destaca el consentimiento explícito: si el paciente ofrece de forma explícita un consentimiento inequívoco para el uso de sus datos.


Excepciones a la necesidad de consentimiento

No se exigirá el consentimiento del afectado en los siguientes casos:

  1. El tratamiento tenga por finalidad proteger un interés vital del interesado.
  2. El tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios siempre que dicho tratamiento se realice por un profesional o por otra persona sujeta asimismo a una obligación de secreto.
  3. Se realice una comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud para la atención sanitaria de las personas.
  4. Otros supuestos en que por razones de interés general, así lo establezca una Ley.

 

Reglas para el consentimiento

El nuevo Reglamento establece normas para fortalecer los derechos de los ciudadanos en lo que respecta al proceso de consentimiento para la recopilación, el uso y el intercambio de sus datos personales sanitarios.

La regulación explica que el consentimiento debe ser explícito y no ambiguo, es decir que debe darse a través de un claro acto afirmativo libre. Una "indicación inequívoca del acuerdo de un sujeto de datos con respecto al procesamiento" de sus datos personales.

Significa que el paciente realiza una "clara acción afirmativa" con la que indica que esté de acuerdo con que se procesen sus datos.


El silencio o una casilla ya marcada no se considerarían
consentimiento como especifica el Considerando 32


Además el consentimiento debe ser específico para cada procedimiento, y solo debe utilizarse para los fines establecidos en el formulario de consentimiento.

Un ejemplo sería los formularios de consentimiento informado para ensayos clínicos que se solicita a los pacientes respecto al uso de sus datos.

Además las  entidades que recopilan datos personales deben poder demostrar que la persona ha dado su consentimiento. En otras palabras, la carga de la prueba recae en ellos (artículo 7, párrafo 1).

gdpr_salud_consentimiento_datos_sensibles


Más derechos para los pacientes 

El GDPR también presenta otros requisitos más estrictos que incluyen:

  • Permitir a las personas dar su consentimiento para diferentes partes de la recopilación y el procesamiento (consentimiento granular).
  • Llevar registros para mostrar a qué personas han dado su consentimiento, qué se les dijo y cuándo y cómo dieron su consentimiento
  • Hacer que el consentimiento sea fácil de retirar.
  • El "derecho al olvido", que se eliminen sus datos personales si se lo solicita. (Existen excepciones: por razones de interés público en el área de la salud pública o con fines de investigación científica o histórica).
  • El derecho de portabilidad de datos por el cual los sujetos de ensayos clínicos tienen derecho a recibir su información personal y transmitir dichos datos a otra organización.
  • Requisitos de consentimiento más estrictos para menores o sujetos de datos incapacitados.
  • Proporcionar cierta información a los individuos antes de obtener sus datos personales, como la identidad y los datos de contacto del responsable del tratamiento, los datos de contacto del responsable de la protección de datos, los objetivos y la base jurídica de procesamiento, los destinatarios de los datos, cuánto tiempo se almacenarán los datos y los derechos de las personas en virtud de la legislación.

Esto deberá combinarse también con la información específica que debe proporcionarse en los casos concretos de ensayos clínicos (como se establece en la Directiva y el Reglamento de Ensayos Clínicos), lo que dará lugar a formularios de consentimiento muy largos y detallados.

¿Qué nuevas medidas de cumplimiento deben tener en cuenta las empresas del sector sanitario?

Al procesar datos personales confidenciales el GDPR obliga a llevar a cabo una Evaluación de Impacto de la protección de datos, tanto para los procesos iniciados después del 25 de mayo de 2018, como para los datos que en curso desde antes de su total aplicación.

Más info: GDPR: 7 claves para cumplir con el RGPD en hospitales y clínicas


El caso concreto de la investigación

Aunque el consentimiento informado es un derecho fundamental, en algunos casos, las exenciones al consentimiento para compartir datos son necesarios para hacer posible la investigación, pero siempre bajo garantías.

Así en el Reglamento, existe una opción para la obligación del consentimiento para fines de investigación, y si se utiliza, los investigadores deben asegurarse de que las salvaguardas técnicas y organizativas se cumplen cuando se hace uso de los datos de los pacientes (Artículo 89, párrafo 1).

Una de las salvaguardias mencionadas en el Reglamento es la seudonimización, que garantiza la confidencialidad mediante la codificación de claves de los datos para que sea casi imposible identificar quiénes son los datos sin la llave.

También pide a los investigadores que usen datos anónimos siempre que sea posible, en los cuales es completamente imposible encontrar la identidad de la persona a partir de los datos.

GDPR_investigación_clínica

La Agencia Española de Protección de Datos ha llevado a cabo un informe sobre la incidencia que el nuevo marco normativo tendrá cuando se traten datos de salud en el ámbito de la investigación biomédica.

En este punto, la Agencia menciona en su texto que a partir de la aplicación del Reglamento no será necesario que la persona preste su consentimiento para una investigación concreta; ni siquiera para la realización de investigaciones en una rama muy delimitada.

Será suficientemente inequívoco y específico el consentimiento prestado en relación con una rama amplia de investigación como, por ejemplo, la investigación oncológica, o incluso para ámbitos más extensos.

Además seguirán habiendo supuestos en los que se puedan realizar investigaciones sin contar con el consentimiento de los pacientes, cuando una investigación sea de interés general y haya sido autorizada por un Comité de Ética de la Investigación, previa verificación del cumplimiento de las condiciones previstas en la Ley 14/2007 de Investigación Biomédica.

Resultado de imagen de Agencia Española de Protección de Datos


Conclusión

El GDPR proporciona derechos nuevos y más claros a los pacientes, a la vez que se tienen en cuenta las características de este sector para avanzar en la investigación de la salud.

El tratamiento de los datos se está convirtiendo en un tema cada vez más importante en el área de la salud. El Big Data es sin duda un claro impulso para generar innovación en este sector al poder influir directamente en los pacientes como por ejemplo en estudios sobre medicamentos.

Por lo tanto, es importante que el legislador europeo, las instituciones sanitarias y los pacientes, continúen colaborando coordinados para la protección y el intercambio de datos de sobre la salud.

En Signaturit ayudamos a adaptar los procesos de cualquier empresa en el sector (hospitales, clínicas, laboratorios, etc) al nuevo Reglamento a la hora de obtener el consentimiento de los pacientes de manera fácil, sencilla y con todos las garantías legales gracias a nuestra solución de firma electrónica eConsent.

Si estás interesado no dudes en contactar con nosotros en info@signaturit.com o llámanos al 93 551 14 80.

Este post también está disponible en inglés.

New Call-to-action

Tags: GDPR

Subscríbete al blog

Últimos posts