Nueva Ley de Protección de Datos
Novedades del nuevo RGPD y su impacto en las Clínicas de Salud.
El nuevo RGPD 679/2016 será de aplicación directa en toda la Unión Europea a partir del 25 de mayo de 2018, sin necesidad de ningún desarrollo normativo nacional. El objetivo principal del RGPD es conseguir una mejor protección de los datos personales de los europeos, dotándonos de mayor control sobre ellos.
En la legislación actual (LOPD 15/1999), los datos de salud tienen un nivel de protección elevado basado en su categorización como Datos de Nivel Alto, que de manera general, está sujeto al consentimiento expreso del ciudadano. En el nuevo RGPD se establece una categoría de “datos de carácter personal relacionados con la salud”, más restrictiva, resumiéndose las novedades:
1. Persiste la necesidad de instaurar el consentimiento inequívoco del paciente para que sus datos sean tratados, y el consentimiento tendrá que ser recabado con anterioridad al tratamiento, cosa que no ocurría con la LOPD.
2. Aparte de los ya conocidos derechos ARCO: acceso, rectificación, cancelación y oposición de la LOPD, el nuevo RGPD establece el “Derecho de portabilidad”, esto es, el ciudadano tendrá derecho a recibir sus datos personales almacenados en un formato adecuado para que pueda entregárselos a otro responsable del tratamiento. Y el “Derecho de Supresión” o “Derecho al Olvido”: con el nuevo RGPD aparece un nuevo derecho de los interesados. Puede ejercitarse cuando los datos no sean necesarios para las finalidades para las que fueron recogidos.
3. Dos nuevos conceptos que aparecen en el RGPD son la anonimización y la seudonimización como mecanismos de disociación. La anonimización es aquel procedimiento que, aplicado a los datos de carácter personal, los convierte en datos que, de forma absoluta e irreversible, no permiten inferir la persona de la que proceden. Como en la LOPD, estos datos disociados quedan fuera del alcance del RGPD. Por el contrario, la seudonimización es “el tratamiento de datos personales de tal manera que ya no puedan atribuirse a un interesado sin utilizar información adicional, y dicha información adicional debe figurar por separado y estar sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.” El RGPD fomenta, junto con la encriptación, este tratamiento de los datos personales.
4. Con el nuevo reglamento los responsables tendrán que llevar un registro de actividades de tratamiento internamente, que sustituye a los antiguos ficheros declarados.
5. Respecto a las obligaciones del responsable y del encargado del tratamiento, pasa a ser un elemento clave el principio de accountability (responsabilidad proactiva) basada en la existencia de procedimientos auditados, el establecimiento de políticas de protección de datos y la adhesión a códigos de conducta y certificaciones en materia de protección de datos. Un concepto importante en el RGPD es el de “obligatoriedad de resultado”. No es suficiente con haber cumplido la norma de protección de datos (o, en el futuro, estar certificado), sino que los datos deben efectivamente estar protegidos y no deben producirse brechas de seguridad de esta información si no queremos ser sancionados. Deberán de establecerse de nuevo los contratos con los encargados de tratamiento, dado que los actuales no cumplen con el RGPD.
6. Obligación de designar oficialmente a un “Data Protection Officer” (DPO), que será obligatorio en las clínicas de Salud y en la mayoría de empresas. Será el responsable del cumplimiento de las obligaciones de protección de datos y sus funciones están descritas en el RGPD. El DPO podrá ser externo o interno, y deberá ser una persona experta en Protección de Datos y en métodos y técnicas de Seguridad de la información
7. Obligación de Notificar las brechas de seguridad al organismo nacional competente en un formato normalizado y en un máximo de 72 horas desde que se tuvo constancia. En determinados supuestos, también será obligatorio informar al interesado de que la brecha de seguridad se ha producido.
8. Obligación de realizar Privacy Impact Assessments (PIAs) o evaluaciones de impacto. Estas evaluaciones serán obligatorias cuando se traten datos de salud.
9. Por último, el régimen sancionador se endurece. Hasta ahora la máxima sanción que se podía exigir a las empresas por incumplimiento de la L.O.P.D. era de 600.000€. A partir de 25/05/2018, el máximo será 20.000.000€ o un 4% de la facturación global anual.
En resumen, a partir de ahora probablemente será necesaria una adaptación de la normativa que va a dar mucho trabajo a las Clínicas de Salud, y estas obligaciones han sido añadidas para reforzar la seguridad jurídica y aumentar la garantía de los derechos de los ciudadanos, que deben poder disponer de un control más efectivo de sus propios datos personales.