Novedades sobre protección de datos para empresas del sector sanitario
Por Cristina Reyes González, alumna de la 1ª promoción del Máster en Derecho de la Salud CESIF-EUPHARLAW. Abogado del Dep. Jurídico de Clínicas Dentix.
El 25 de mayo de 2016, entró en vigor el Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), que no será plenamente aplicable hasta el 25 de mayo de 2018.
La finalidad de esta norma es crear un marco legal unificado para todos los Estados miembros en esta materia. Tanto el supuesto de hecho como las consecuencias jurídicas de la norma, se han creado con fórmulas cercanas al derecho anglosajón, permitiendo con esto más flexibilidad en su aplicación, a diferencia de la estructura cerrada y restrictiva que presenta el ordenamiento jurídico de nuestro país.
Dado que esta nueva norma afecta de manera muy transversal a las empresas que de alguna forma u otra realicen algún tipo de tratamiento de datos, la Unión da un periodo de adaptación de dos años, desde la entrada en vigor del RGPD, para que las empresas puedan ir confeccionando cambios en sus estructuras internas y desarrollando nuevos protocolos que se harán exigibles con la nueva regulación en mayo de 2018.
El propio Reglamento prevé en su articulado que sus normas puedan ser especificadas o restringidas por el derecho interno de los Estados Miembros.
En el caso de España, el pasado 24 de junio se ha redactado un primer borrador del anteproyecto de Ley Orgánica de Protección de Datos con el fin de sustituir a la actual LOPD y que se adapte a la normativa europea antes del 25 de mayo. Actualmente, este anteproyecto de Ley no está aprobado y deberá ser objeto de dictámenes, informes y consultas tanto por las entidades afectadas, los ciudadanos y el Consejo de Estado, por lo que puede estar sujeto a variaciones antes de su entrada en vigor.
Los datos que se manejan en las empresas del sector sanitario son de los más afectados tanto por el RGPD como por el nuevo anteproyecto de Ley, al considerarse datos de carácter especial. A esta categoría especial, se añaden con el nuevo Reglamento los datos genéticos y biométricos dirigidos a identificar de manera unívoca a una persona.
La implantación de las nuevas tecnologías de la información en el sector sanitario ha modificado el método de obtención de datos necesarios para realizar los estudios previos a la adopción de cualquier tratamiento médico.
Este nuevo sistema de recopilación, aunque es beneficioso en muchos aspectos, puede suponer un debilitamiento de la protección de la intimidad de los pacientes ante posibles irregularidades en los tratamientos de datos, debido a la alta interconexión de las redes de telecomunicación que permiten acceder desde cualquier punto del mundo a una alta gama de archivos sanitarios facilitando la cesión de la información.
El gran avance tecnológico que se ha producido en tan poco tiempo, ha generado una gran sensibilización social, razón por la cual, este nuevo Reglamento crea obligaciones reforzadas para las entidades del sector salud, (hospitales, laboratorios farmacéuticos, clínicas sanitarias, aseguradoras médicas y mutuas) cuya actividad principal suponga un tratamiento a gran escala de categorías especiales de datos personales.
El RGPD, impone nuevas obligaciones a las empresas del sector sanitario, entre otras, y el anteproyecto de Ley las refuerza.
Frente a estas medidas, las compañías tendrán que hacer frente a grandes cambios, entre los que cabe destacar:
- Cambios en el consentimiento para el tratamiento de datos del paciente: ya no se permite el consentimiento tácito o por omisión. Ha de ser informado de una manera clara, sencilla y por escrito pudiendo ser revocado en cualquier momento.
Las empresas del sector sanitario tendrán que revisar las cláusulas de los tratamientos de datos iniciados con anterioridad a la aplicación de la norma y rehacerlas antes del 25 de mayo de 2018, en el caso de que el consentimiento no se haya expresado mediante manifestación o acción afirmativa.
No se debe confundir el consentimiento dado para el tratamiento de datos con el consentimiento informado clínico que regula la Ley 41/2002 de la Autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica, ya que este último tiene como finalidad, aceptar el servicio acordado con la empresa, pero no legitima “per se” el tratamiento de datos personales del paciente. Ambos consentimientos deben constar firmados por el paciente en documentos separados. Un caso muy habitual en las clínicas privadas que ofrecen servicios de salud, es que sus pacientes financien los tratamientos médicos a través de una entidad financiera mediante un contratado de crédito al consumo vinculado a ese tratamiento. Por ejemplo, la financiación de un tratamiento odontológico mediante un contrato de crédito al consumo donde la clínica dental aparece como intermediaria entre la entidad financiera y el titular del crédito. Cuando el paciente vaya a firmar el contrato de crédito al consumo, la empresa deber de tener claro que, si aparece en dicho contrato como intermediaria, se deberá especificar en el documento contractual, que actúa como encargada del tratamiento de la financiera y que no almacenará datos para ese fin. No obstante lo anterior, si la empresa se queda con datos bancarios del paciente, a pesar de que el tratamiento esté financiado, se deberá informar de ello a la AEPD, de cara a una posible inspección. Además, deberá garantizarse al afectado que pueda manifestar específicamente su voluntad en relación con este nuevo tratamiento de datos, poniendo a su disposición un procedimiento sencillo y comprensible. La ley permite que este procedimiento sencillo consista en la inclusión de una casilla específica en el contrato, siempre y cuando no se encuentre previamente marcada. En lo que se refiere al consentimiento para el tratamiento de datos de los menores de edad, el artículo 8 del RGPD considera lícito el consentimiento dado por un menor de edad siempre que no sea menor de dieciséis años. El anteproyecto de Ley, rebaja la edad a los trece años para nuestro país, basándose en la flexibilidad del RGPD que, establece en su articulado que los Estados Miembros pueden establecer una edad inferior siempre que no sobrepase los trece años de edad.
- Designación de un delegado de protección de datos (DPO): El RGPD crea esta nueva figura que actuará como interlocutor del responsable del tratamiento ante la AEPD y las autoridades autonómicas de protección de datos.
Podrá ser una persona física o jurídica y puede ser ajeno a la empresa o personal de plantilla de la misma, siempre y cuando actúe con independencia y reporte sin subordinación jerárquica.
El anteproyecto de Ley, no exige para el nombramiento del DPO formación específica alguna, solo indica que éste deberá reunir los requisitos establecidos en el art 37.5 del RGPD y demostrar “reconocida competencia en la materia”.
Sin embargo, la AEPD, en colaboración con el ENAC, ya ha publicado un Esquema de certificación de personas para el DPO que otorgará al profesional un reconocimiento de las competencias adecuadas a sus funciones, pero como decíamos anteriormente, no es requisito necesario para su nombramiento. Para consultar los requisitos de los Esquemas de certificación puede dirigirse al enlace de la web de la AEPD.
El artículo 37 del RGPD indica que será obligatorio designar un DPO en las empresas del sector salud, por tratarse de datos de categoría especial, siempre y cuando el responsable del tratamiento maneje estos datos a gran escala.
En este caso, el anteproyecto de Ley refuerza la norma europea, exigiendo a todos los centros sanitarios designar DPO, cuando estén obligados al mantenimiento de las historias clínicas de sus pacientes.
Por lo tanto, si este articulado no es modificado, no solo los grandes centros sanitarios estarán obligados, a partir de mayo de 2018, a nombrar un DPO, sino que también podrían llegar a tener una figura similar los centros sanitarios pequeños, dependiendo de la estructura de cada organización.
El anteproyecto de Ley, tipifica como infracción leve, que las empresas no publiquen los datos de contacto del DPO, o no los comuniquen a la autoridad de protección de datos, cuando su nombramiento sea exigible.
Y como sanción grave, el incumplimiento de designar un DPO cuando sea exigible su nombramiento o no posibilitar la efectiva participación del mismo en todas las cuestiones relativas a la protección de datos personales, no respaldarlo o interferir en el desempeño de sus funciones.
- Análisis del riesgo. Las empresas estarán en la obligación de desarrollar una herramienta en la que se detalle y analice cuales serán los datos de alto riesgo que traten, el porqué de su estudio y la determinación de su campo de operación.
Éste estudio tiene como finalidad demostrar a las autoridades competentes de supervisión e incluso a los propios interesados, que las medidas resultantes del mismo, son las más adecuadas y cumplen con la máxima protección.
Con ello, el RGPD está exigiendo al responsable del tratamiento una actitud de responsabilidad proactiva y diligente frente a todos los tratamientos de datos personales con los que opere la empresa.
El tipo de análisis del riesgo que se haga, variará dependiendo de múltiples factores como: la naturaleza de los datos, la cantidad de afectados, el tipo de tratamiento etc. Si se detecta que el tratamiento no es de alto riesgo para los derechos y libertades de las personas, solo deberán aplicarse determinadas medidas.
Para otros tipos de tratamientos, las medidas variarán en función del nivel y tipo de riesgo que conlleve.
Las grandes empresas, deberán hacer frente al riesgo por metodologías de análisis de riesgo existentes que crean convenientes mientras que las de menor tamaño, bastará con que hagan un análisis documental de manera reflexiva, evaluando la implicación de los tratamientos en los derechos y libertades de los interesados. La AEPD, indica que las organizaciones deberán dar respuestas a una serie de preguntas. Dependiendo del número de respuestas afirmativas o negativas que haya habrá mayor o menor riesgo. El resultado del cuestionario será lo que determine si se llevan a cabo las medidas, o no, prevista para esos casos. Las preguntas son: – ¿Se tratan datos sensibles?
– ¿Se incluyen datos de una gran cantidad de personas?
– ¿Incluye el tratamiento la elaboración de perfiles?
– ¿Se cruzan los datos obtenidos de los interesados con otros disponibles en otras fuentes?
– ¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
– ¿Se están tratando grandes cantidades de datos, incluido con técnicas de análisis masivo tipo big data?
– ¿Se utilizan tecnologías especialmente invasivas para la privacidad, como las relativas a geolocalización, videovigilancia a gran escala o ciertas aplicaciones del Internet de las Cosas?
- Notificación a la AEPD de los fallos en la seguridad del tratamiento: Otra obligación novedosa impuesta por el RGPD es que el responsable del tratamiento deberá notificar en un plazo de 72 horas y de manera documentada, las violaciones de seguridad de datos.
La norma define las violaciones de seguridad como; “todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
En el caso de que la violación de seguridad suponga un alto riesgo para los derechos y libertades del paciente, la empresa tendrá también que notificárselo para que éste pueda intentar defenderse en el caso de ataque.
El incumplimiento de estas obligaciones lleva acarreadas elevadas sanciones económicas. Por lo tanto, para evitar el riego de asumirlas, las empresas del sector sanitario tendrán que ponerse manos a la obra desde ya e ir implantando estas medidas antes del 25 de mayo de 2018, para lograr que su conducta se adecue al RGPD y a la nueva Ley de Protección de datos pendiente de aprobarse.