16 dic 2018 | Actualizado: 19:00

Sedisa guía al sector sanitario sobre la normativa de protección de datos

Estiman que el 73% de las empresas en España no están preparadas para aplicar plenamente el nuevo reglamento europeo

Joaquín Estévez, presidente de Sedisa.
Sedisa guía al sector sanitario sobre la normativa de protección de datos
jue 24 mayo 2018. 22.05H
Redacción
A partir del 25 de mayo 2018, la actual normativa de protección de datos es sustituida por el Reglamento General de Protección de Datos, norma europea de aplicación directa, con intención armonizadora y más exigente en seguridad y transparencia en el tratamiento de datos personales. Con el fin de desarrollar su implantación en el ámbito de la asistencia sanitaria, la Sociedad Española de Directivos de la Salud (Sedisa) ha impulsado la publicación del posicionamiento Sedisa adaptación al Reglamento General de Protección de Datos para el Sector Sanitario, coordinado por Carmen Pérez Canal, quien ha elaborado el texto en colaboración con Rosario Heras Carrasco y Andrés Calvo Medina.

El Reglamento General de Protección de Datos conlleva importantes novedades, entre las que destacan las mayores garantías en el tratamiento de datos personales con diversas medidas como la obligación de notificar la violación de los datos a la autoridad de control.

También resaltan la figura obligatoria del delegado de protección de datos en las organizaciones, la obligatoriedad de realizar evaluaciones de impacto de los datos de salud y el principio de responsabilidad proactiva. No obstante, se estima que el 73 por ciento de las empresas en España no está preparado para afrontar la plena aplicabilidad de este nuevo Reglamento.

Tres aspectos diferenciadores en sanidad

En palabras de Carmen Pérez Canal, experta en protección de datos, “en Sanidad, hay tres aspectos diferenciadores en el ámbito de la protección de datos: el dato de salud, incluido en los denominados categorías especiales de datos, el concepto de riesgo al que se asimila estos datos y el tratamiento a gran escala.

Esto, unido a circunstancias y características de la actualidad, como puede ser el valor del dato, los cambios tecnológicos y las demandas de la sociedad, hacen que el tratamiento de datos personales y su protección resulten de enorme importancia”.


El reglamento europeo se basa en una responsabilidad proaciva


Frente a las novedades del reglamento, y atendiendo a la necesidad de actualización del conocimiento y adaptación a las novedades, Modoaldo Garrido, vicepresidente primero de Sedisa, destaca la importancia de la publicación y difusión de este posicionamiento.

“La gran cantidad de datos que se manejan en las organizaciones sanitarias, la inclusión del dato de salud en las categorías especiales de datos, la necesidad del uso de los datos para la evidencia científica y la planificación de recursos, así como el compromiso de los directivos y de la gestión sanitaria con la seguridad del paciente en todos los sentidos, hacen fundamental la implementación de las medidas que establece el reglamento europeo en el sector sanitario, bajo el liderazgo de un directivo profesionalizado y capaz de crear cultura de responsabilidad proactiva en la organización”, asegura. 

A este respecto, “el reglamento europeo ya no se basa en cumplir unas exigencias como ocurre con la normativa actual, sino que partimos de una responsabilidad proactiva, nos obliga a realizar un análisis en base al concepto de riesgo de todas las actividades de tratamiento”, añade Carmen Pérez Canal. “Se trata de cumplir y acreditar que cumplo, pasando de un ecosistema rigorista a una madurez de cumplimento”.

Hoja de ruta 

El Posicionamiento Sedisa Adaptación al Reglamento General de Protección de Datos para el Sector Sanitario en 13 apartados analiza las cuestiones clave a tener en cuenta en la implementación del nuevo Reglamento en las organizaciones sanitarias.

Así, tras una introducción a la entrada en vigor del mismo y el “dibujo” de la situación actual de los hospitales respecto a la protección de datos, la obra trata, desde un punto de vista práctico y adaptado al sector sanitario, el nuevo enfoque de la responsabilidad proactiva, el perfil y funciones del delegado de protección de Datos.

También aborda los principios en los que se fundamenta el Reglamento, el registro de actividades del tratamiento, la legitimación de éste, el encargado del tratamiento, el enfoque del riesgo, las evaluaciones de impacto, los derechos de los pacientes y las violaciones de seguridad.

Asimismo, el documento se cierra con un apartado en el que recogen los puntos clave de la hoja de ruta que un directivo debe asumir para adaptar la organización que lidera a lo establecido en el nuevo Reglamento.

Cuestión de principios

Junto al principio de responsabilidad proactiva, el reglamento establece que los datos personales deben ser tratados teniendo en cuenta otros principios. El primero de ellos es la licitud, que establece que solo se podrán tratar datos personales cuando se cuente con el consentimiento de la persona cuyos datos se van a tratar. 


El derecho a la protección de datos personales impide el tratamiento y lesivo de los datos personales


Asimismo, se podrá cuando el tratamiento es necesario para: la ejecución de un contrato, cumplir una obligación legal, proteger los intereses vitales de la persona, el cumplimiento de una misión realizada en interés público o satisfacer los intereses legítimos del responsable del tratamiento.

Del mismo modo, el reglamente hace hincapié en otros principios, como el de lealtad y transparencia, el de limitación de la finalidad, minimización de los datos, exactitud, delimitación del plazo de conservación, integridad y confidencialidad.

Datos sensibles

El derecho a la protección de datos personales persigue garantizar a la persona el control de sus datos personales, su uso y su destino con el propósito de impedir su tratamiento ilícito y lesivo para sus derechos y libertades personales.

En este sentido, los datos relativos a la salud pertenecen al mayor grado de reserva personal y, en relación a la información e identificación que contienen, va a suponer el máximo interés por parte de los ciudadanos por garantizar el uso y tratamiento de los datos para los fines con los que han sido obtenidos.

Pero, en lo concreto, ¿cómo sabe un directivo o responsable de este tema que su organización cumple con lo establecido en el nuevo Reglamento Europeo?. Según Carmen Pérez Canal, “la garantía de la protección solamente se consigue pensando y operando en modo protección de datos“.

Por ello, es fundamental que los directivos implanten las siguientes medidas clave, tal y como establece el Posicionamiento Sedisa Adaptación al Reglamento General de Protección de Datos para el Sector Sanitario , como hoja de ruta. Estoas contienen la designación de un delegado de protección de datos, el establecimiento del registro de actividades de tratamiento, la determinación de la legitimación de los tratamientos, la reivisión de la información que se facilita a los pacientes, los contratos con encargados de tratamientos y los procedimientos para atender el ejercicio de los derechos.

También la realización del análisis de riesgos, las evaluaciones de impacto, la revisión de las medidas de seguridad, el desarrollo y la aplicabilidad de una política de privacidad y formar y concienciar.

“Se trata de una hoja de ruta -concluye Pérez Canal- en la que están presentes valores como la confidencialidad, la privacidad y su protección. En esta línea, una política de calidad de protección de datos en la que la mejora continua esté presente, ayudará no solo a evitar sanciones, sino también a la mejora reputacional y de credibilidad de la organización ante sus clientes y la sociedad”.

 
Aunque pueda contener afirmaciones, datos o apuntes procedentes de instituciones o profesionales sanitarios, la información contenida en Redacción Médica está editada y elaborada por periodistas. Recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.