En 2018 fue aprobada una de las normas más trascendentales y de mayor calado en el panorama europeo, como es el Reglamento Europeo de Protección de Datos (RGPD). Una medida que trajo consigo importantes cambios en la forma de tratar datos por parte de las instituciones sanitarias, que se traducían en obligaciones que afectaban a cuestiones tan relevantes como los deberes de información y transparencia, la aplicación de medidas de seguridad para garantizar la confidencialidad, integridad y disponibilidad de los datos personales o la capacidad de demostrar en todo momento dicho cumplimiento.
Tres años después, la sanidad ocupa el noveno puesto en cuanto a número de reclamaciones ha planteado a la Agencia Española de Protección de Datos (AEPD). En concreto, se tramitaron 460 reclamaciones en el año 2019 y 388 reclamaciones en 2020 por parte de este sector, aunque sin sanciones significativas, explica Ricardo De Lorenzo y Aparici, socio director del Área de Nuevas Tecnologías de De Lorenzo Abogados.
Respecto a las consultas por sectores, el sector de la sanidad y Farmacia ha materializado tan solo 3 durante el año pasado y ninguna en 2020, frente a las más de 100 que se gestionaron desde Administraciones Públicas, como el sector que más ha realizado. De Lorenzo también destaca las 40.721 descargas que ha obtenido la Guía, de noviembre de 2019, relativa a los pacientes y usuarios de la sanidad a través de la web de la AEPD.
Protección de datos personales durante la pandemia
En este tercer aniversario de la norma, De Lorenzo es partidario de realizar un balance en el panorama sanitario, con la crisis del Covid-19 como elemento de partida. En concreto, se refiere a las instrucciones emitdas por la AEPD a la hora de garantizar la asistencia sanitaria y el control de la pandemia, por un lado, sin influir en el derecho fundamental a la protección de datos personales y en colaboración con el Ministerio de Sanidad como principal autoridad competente.
"Nos hemos encontrado con su comunicado sobre la
recogida de datos personales por parte de los establecimientos
(toma de temperatura), sus recomendaciones para el despliegue de
aplicaciones móviles de rastreo, como el informe de la app 'Covid', o sus recomendaciones para
proteger los datos personales en situaciones de movilidad y teletrabajo", detalla De Lorenzo.
Precisamente la posibilidad de tratar datos personales de interés público viene contemplada en el
Informe 2020-2017, con el que se subrayó la necesidad de seguir protegiendo el derecho fundamental a la protección de datos y aplicarlo en consonancia para proteger los intereses vitales del interesado con fines de
control de epidemias y su propagación.
Como abogado, De Lorenzo, considera que, en este contexto pandémico, también debe hablarse del cumplimiento de la notificación de violaciones de seguridad de los datos. Según explica, este último año, tras la implantación urgente de procesos de transformación digital por parte de las entidades, ha habido un incremento de nuevos riesgos para los derechos y libertades de las personas.
En consecuencia, las entidades han decidido aumentar sus presupuestos en ciberseguridad, como puede denotarse en el incremento del la contratación de pólizas de ciber riesgo. No obstante, esta protección cibernética "no se ha materializado en un incremento similar respecto a la obligación de notificación a la AEPD".
A la luz de estos datos, De Lorenzo está convencido de que "sigue existiendo cierta desconfianza en el sector sanitario", a pesar de que la AEPD publicase precisamente este martes la gestión de más de 700 brechas desde enero de 2021. "Quizás esta situación también sea debida al corto plazo que la entidad tiene desde que tiene constancia de la incidencia", matiza el abogado. Y es que, con la nueva actualización de la Guía de la AEPD para la notificación de brechas de datos personales, debe tomarse en consideración del plazo de 72 horas, los fines de semana y días festivos.
¿Qué función tiene un Delegado de Protección de Datos?
Otra cuestión relevante, según el letrado, es la figura del Delegado de Protección de Datos (DPD), con cierta variabilidad en este último periodo. "Hemos venido observando de todo un poco", indica, al al hablar de aquellos supuestos en los que únicamente se ha designado a esta figura por imperativo legal, como mero trámite al cumplimiento de los supuestos señalados tanto en el reglamento como en la normativa nacional y "sin tener otra consideración que la del menor coste para la entidad".
También se han producido nombramientos múltiples de responsabilidades que recaen en una única persona interna, "que por supuesto recibe instrucciones de sus supervisores", o aquellas entidades que, aun estando obligadas al mantenimiento de la historia clínica, siguen sin entrar a valorar jurídicamente si son sujetos obligados a designar un DPD.
El experto destaca en concreto la habilidad de las entidades en las que se ha designado un delegado tomando en consideración "sus conocimientos de la normativa sectorial" y lo han agrupado junto con el resto de responsables -de Seguridad, de Sistemas, etc.- en un Comité "perfectamente coordinado".
Como conclusión, De Lorenzo cree que el reglamento adoptado "ha supuesto un gran paso adelante al reducir la disparidad normativa existente en el año 2016", pero considera que "aún queda mucho camino por recorrer y afrontar cuestiones legales que la rápida transformación digital de
nuestra sociedad le ha tocado sufrir".
A ello suma el cambio de mentalidad en los responsables y encargados del tratamiento del sector sanitario, ya que, según afirma, se sigue "percibiendo que la seguridad y la protección de datos no se encuentra entre las prioridades en la selección de herramientas tecnológicas". "Este cambio llegará a su debido tiempo, Roma no se construyó en un día".
Las informaciones publicadas en Redacción Médica contienen afirmaciones, datos y declaraciones procedentes de instituciones oficiales y profesionales sanitarios. No obstante, ante cualquier duda relacionada con su salud, consulte con su especialista sanitario correspondiente.
Andalucía 
Cataluña 
Madrid 
C. Valenciana 
Galicia 
Castilla y León 
País Vasco 
Canarias 
C-La Mancha 
Murcia 
Aragón 
Extremadura 
Asturias 
Baleares 
Navarra 
Cantabria 
La Rioja 
|