Delegado de Protección de Datos: el mejor aliado para un SNS líder mundial

La entrada en vigor de la nueva Ley de Protección de Datos está generando muchas dudas y controversias en el sector sanitario. Una de ellas es la que envuelve a una nueva figura que tendrán que implantar todos los hospitales y centros de salud a partir del 25 de mayo, día en que entrará en vigor la norma, como es el delegado de Protección de Datos. Pese a que, poco a poco, los profesionales y gestores del sector van conociendo más detalles acerca de este nuevo puesto, aún no están claros aspectos como competencias, funciones o el perfil profesional que debe tener la persona que ocupe el cargo. Pese a las dudas que subsisten sobre este nuevo puesto, los expertos que acudieron al debate de Sanitaria 2000 coincidieron en los beneficios y la tranquilidad que traerá el delegado a las organizaciones sanitarias, pues ayudará a éstas a cumplir con la nueva normativa y a adoptar medidas que aseguren la información de los pacientes a largo plazo. 

¿Qué formación debe tener este profesional? ¿Podrá desempeñar el cargo un sanitario?

Jesús Rubí, adjunto a la Dirección de la Agencia Española de Protección de Datos: Bueno, esta es una figura que en el ámbito sanitario, tanto público como privado, y con carácter general, va a ser obligatorio implantarla, designarla. Es una figura que viene a contribuir, a facilitar, el cumplimiento de la normativa de protección de datos. Porque se trata de un profesional especializado en esta materia, con conocimientos jurídicos, tecnológicos y de la propia organización. 

Pero es una figura que no es la que tiene como misión cumplir con la normativa de Protección de Datos, quien tiene que cumplir la normativa es la propia organización. Es una figura que ayuda a cumplir informando, asesorando, supervisando que se están haciendo correctamente las cosas, y teniendo un acceso directo muy fluido a la organización y a la dirección para poner de manifiesto cómo se están haciendo las cosas. Está configurada de una manera muy flexible, no se exige una titulación específica, ni jurídica, ni tecnológica, ni en este caso sanitaria. Se exige que sea una persona que tenga esa cualificación y por tanto, no cabe excluir en absoluto que pueda ser un profesional de la sanidad.

¿Y cómo se va a evaluar esa cualificación de la que nos habla?

Jesús Rubí: Para evaluar la cualificación también hay una importante flexibilidad, ha habido mucho debate sobre si se debería exigir una titulación u otra, sobre si se debería certificar. El sistema por el que se ha optado es flexible. La agencia ha promovido un modelo de acreditación de entidades que certifiquen a los delegados de Protección de Datos, pero es una certificación que no es en absoluto obligatoria, se ha tomado esta iniciativa un poco para poner en el mercado un punto de referencia sobre cuál debe ser la cualificación de las personas que desempeñen este papel, pero no hace falta tener esa certificación.

Jesús Rubí: "Es la institución la que tiene que cumplir con la normativa, no el delegado".

Hay otras certificaciones distintas en el entorno universitario, o de asociaciones profesionales, que pueden ser también adecuadas para apreciar esa cualificación e inclusive sin ninguna certificación, personas que lleven mucho tiempo dedicadas a esta materia, y que sean conocedoras de la normativa de protección de datos, pueden ser perfectamente delegados de protección de datos. Hay una gran flexibilidad y de lo que se trata es de que el responsable del cumplimiento de la organización pues identifique esa cualificación.

¿Cómo va a operar esta figura a la sanidad española? ¿Se va a incorporar a la plantilla regular de los centros o se va a externalizar? ¿Qué tienen previsto tanto los centros públicos como privados?

Manuel Vilches, director general del Instituto para el Desarrollo e Integración de la Sanidad (IDIS): La Ley es todavía muy embrionaria y la figura se está todavía evaluando. Jesús nos lo acaba de definir, pero es tremendamente complicado encontrar, dentro de una organización, una persona que la conozca y además tenga conocimientos legales de derecho y experiencia en el ámbito de la protección de datos.

Nosotros no lo vemos fácil, la verdad, al contrario, y en el caso de los centros pues creo que va a depender claramente del tamaño de cada uno de ellos. Afortunadamente se contempla la posibilidad de que pueda haber un equipo, aunque siempre haya una figura designada como delegado, y va a depender de las cadenas hospitalarias, supongo que designará un equipo con un delegado global. Afortunadamente, los avances informáticos nos permiten el no tener que estar de manera presencial en todos los sitios y se empezará a funcionar así.

En muchos casos sí que se buscará una externalización que pueda dar un servicio más adecuado dentro del ámbito de la sanidad privada. En las consultas de los médicos la cosa se nos va a complicar un poco más, pero quizás los colegios tengan alguna manera de apoyarles. Creo incluso que las sociedades, las consultas y los policlínicos y los hospitales acabarán integrándose en unidades que les den el servicio de una manera ordenada, reglada y lógica.

Filiberto Chuliá, jefe de servicio de Asesoría Jurídica del Hospital La Paz: La idea, la filosofía que está en el reglamento es la flexibilidad, adaptarse a las circunstancias, se pasa de un modelo continental puramente administrativista, en el que se trataban de cumplir una serie de formularios que se tenían que publicar. El planteamiento del reglamento es totalmente innovador, se exige eso que se ha llamado la responsabilidad activa, entonces eso se transmite absolutamente a toda actividad que tenga que ver con los datos de carácter personal, y también en esta figura, en la del delegado de protección de datos. Y toda esa idea da flexibilidad.El reglamento no se pronuncia sobre si se tiene que externalizar, o si se puede, o sea que es bastante amplio.

En el ámbito de la sanidad pública se establece que no podrá generar un incremento de costes, por lo tanto esto veda la posibilidad de contratación externa. Habrá que articular medidas dentro de la propias administraciones para posibilitar esta figura.

Filiberto Chuliá: "Nuestra Administración tiene recursos para afrontar la incorporación del delegado".

Realmente no exige grandes dispendios que generen incrementos de costes en las organizaciones, porque no se trata de innovar, de hacer algo nuevo que no se estuviera haciendo ya. Hablo de las administraciones en general y en particular de Madrid. La labor que se ha estado haciendo hasta ahora y la labor que se ha hecho en materia de protección de datos de nuestros ciudadanos, de nuestros pacientes, es verdaderamente impresionante. Es decir, en nuestro hospital, por ejemplo, tenemos un comité de seguridad de protección de datos que está velando porque efectivamente se aplica, digamos, toda esta nueva filosofía. Entonces se tiene que hacer con los instrumentos de las propias administraciones.

Jesús Rubí: Es cierto que ya hay una cultura acreditada en materia de protección de datos en las administraciones sanitarias. Eso no quita que en las inspecciones que vamos haciendo periódicamente en grandes centros sanitarios sigamos apreciando ciertas deficiencias, en particular en relación con aspectos relacionados con la seguridad, con los accesos y el control de accesos a la información sanitaria. Se ha avanzado mucho, sobre todo en aquellos ámbitos sanitarios en los cuales la historia clínica ya es electrónica, que genera unas ciertas complicaciones pero facilita mucho los temas de seguridad.

Pero lo verdaderamente relevante es que es un modelo proactivo, y exige que se inculque una cultura y unos métodos de funcionamiento de una mayor prevención o de análisis previo de todo aquello que se va a hacer. Y esto no está desarrollado de una manera generalizada en el conjunto de los responsables que tratan datos, en particular en el ámbito sanitario. Sí hay análisis de qué implicaciones puede tener, pero no tienen este detalle, esta precisión, esta metodología que exige el reglamento y por eso esta figura de delegado de Protección de Datos puede contribuir de una manera muy importante a que quienes tienen que cumplir el reglamento tengan un punto de referencia, alguien que les asesore, que les ayude, que supervise de algún modo si las cosas se están haciendo correctamente para que vaya impulsándose y aplicándose este modelo de proactividad.

¿Cómo va a operar esta figura en las sociedades científicas?

Fernando Carballo, presidente de la Federación de Asociaciones Cientifico-Médicas de España (Facme): Lo primero que me gustaría destacar es que estamos en un escenario, en cierto modo, nuevo, que es, por ejemplo, estar debatiendo el tema de una forma "preventiva", y creo que esto es también lo que va a significar en cierta medida esta figura. En ese sentido, creo que lo que tenemos que hacer es un esfuerzo todos, las organizaciones que prestan servicios sanitarios, por supuesto, tanto en el entorno público como en otro tipo de entorno donde se estén prestando estos servicios, pero también hay que incluir, lógicamente, la perspectiva de los profesionales.

Son dos los grandes bloques de organizaciones profesionales que vamos a tener que colaborar. Una son la sociedades científicas, la otra ya se ha dicho, los colegios. Yo no represento a los colegios pero es cierto que trabajamos de una forma conjunta, especialmente en el Foro de la Profesión Médica, y somos conscientes de estos retos. Las sociedades científicas tienen además una peculiaridad que es la de la responsabilidad de las protecciones de datos en un nivel primario, puesto que manejan información de sus propios asociados, y por lo tanto cada vez esa información puede y debe ser más amplia. Es decir, en cuanto a la tipología del profesional, porque cada vez hacemos más prospección con respecto a investigación dentro del ámbito profesional. En segundo lugar, generamos proyectos e investigaciones en los que también tenemos que garantizar esa protección y, por lo tanto, nos parece fundamental.

En cuanto a su implantación, en las sociedades científicas no parece razonable que cada una tenga la figura propia, porque entre otras cosas puede ser ineficiente y, además el delegado no es quien tiene que cumplir, es quien tiene que ayudar a que se produzca la adecuada aplicación de la protección de datos. El gran valor que tenemos que incorporar como Facme es llevar el modelo a las organizaciones profesionales científico-técnicas, esas son las que yo represento, en el sentido de que eso no es un problema añadido, que no es una burocracia, sino todo lo contrario, una adecuación de nuestro entorno profesional a los requerimientos que se nos obliga ante los nuevos escenarios en el uso de la información.

Fernando Carballo, presidente de la Federación de Asociaciones Científico-Médicas de España (Facme); Jesús Rubí, adjunto a la dirección de la Agencia Española de Protección de Datos; Pablo Rodríguez, periodista de Redacción Médica; Manuel Vilches, director general del Instituto para el Desarrollo e Integración de la Sanidad (IDIS); y Filiberto Chuliá, jefe de servicio de Asesoría Jurídica del Hospital La Paz.

La implantación de esta figura en los grandes centros hospitalarios, con muchos recursos, parece, a priori, mucho más sencilla y asequible que en ambulatorios o clínicas pequeñas, ¿cómo se va a afrontar esta implantación en las pequeñas entidades de Atención Primaria?

Jesús Rubí: Es que hay que tener en cuenta que en el entorno sanitario las magnitudes, los tipos de organizaciones de prestación de servicios, van desde el profesional sanitario que trabaja individualmente hasta los grandes centros hospitalarios o de investigación. Esto genera situaciones distintas y, con las mismas reglas jurídicas, obligaciones que se aplican de manera diferente. En el caso de los profesionales sanitarios que desarrollen su actividad personal hay un dictamen de las autoridades de protección de datos de la Unión Europea en el que se admite, cuando es un tratamiento de un volumen reducido de datos, que puedan no tener la obligación de tener un delegado, aunque se recomienda que lo tengan.

Y ahí los colegios profesionales juegan un papel fundamental, porque pueden generar análisis estandarizados para una profesión que es muy repetitiva en cuanto al cumplimiento, y también pueden facilitar un delegado en un determinado entorno que suponga un reparto de costes. En cuanto a los centros de Atención Primaria, efectivamente son unidades muy pequeñas, pero están dentro de toda una organización sanitaria que puede ser que normalmente un servicio público de salud. Cada centro de Atención Primaria no tiene que tener un delegado de ninguna manera.

Manuel, ¿cómo habéis valorado en la sanidad privada la implantación de esta figura en las clínicas más pequeñas?

Manuel Vilches, sobre la nueva figura: "Nos va a permitir estar más tranquilos".

Manuel Vilches: La nueva ley es razonablemente flexible como para adecuar a cada situación la necesidad del delegado de Protección de Datos y dependerá un poco todo del tamaño y del volumen de datos a tratar. Lo lógico es que se busquen agregaciones o asociaciones para optimizar y buscar la eficiencia en esta figura.

No obstante, yo tengo mis dudas, a pesar de lo que decía, de que se puedan encontrar dentro de las organizaciones figuras ad hoc que se puedan reutilizar, porque además su tiempo necesariamente habrá que cubrirlo con otro. Pero bueno, la ley afortunadamente permite que se pueda estudiar de una manera particular y buscar una solución particular. Y al final, en nuestro caso, supongo que iremos buscando agrupaciones de interés para recibir un servicio común. Las grandes organizaciones supongo que tendrán los suyos y los pequeños pues tendrán que agruparse, lógicamente.

Filiberto Chuliá: Hay un aspecto que no me ha parecido escuchar y yo creo que es muy importante. Una de las cualidades que debe tener esta figura es el de la accesibilidad. Se ha dicho implícitamente porque tiene que informar, asesorar, estar en las soluciones. Es un instrumento de mediación buenísimo que va a solucionar infinidad de casos. Y otro punto importante es el de la cercanía, como digo, el delegado tiene que ser cercano.

Jesús Rubí: El 25 de mayo se aplica el reglamento, que se aprobó en el año 2016. Ha habido todo este periodo transitorio pero a medida que se acerca la fecha final, es cuando se empiezan a encender todas las alarmas. Y en ese sentido quiero aclarar que desde luego el reglamento es novedoso, porque incluye este elemento de proactividad de medidas que antes no eran obligatorias, y por eso en la agencia lo que hemos elaborado y está disponible en la página web es una hoja de ruta de cómo se debe aplicar al reglamento. Qué se debe hacer lo primero, qué se debe hacer a continuación y así sucesivamente.

El delegado de protección de datos, en estos momentos, tiene que asumir un papel un poco más proactivo para facilitar esta aplicación efectiva. Y en lo que se refiere a las infracciones de la normativa, este reglamento tiene un modelo de supervisión que es mucho más flexible que la vigente ley, con un abanico de medidas mucho más flexible y mucho más amplio. Cabe hacer advertencias, cabe hacer apercibimientos de una manera más flexible, sin necesidad de que eso vaya a dar lugar a la iniciación de un procedimiento sancionador con una multa económica, porque las sanciones económicas del reglamento son verdaderamente contundentes. Y eso ca a depender de la diligencia que se tenga a la hora de cumplir y hacer un análisis de riesgos. Otro aspecto es el de la documentación de esa diligencia, porque hay que acreditar que se ha tenido esa diligencia, y no estamos acostumbrados a ir documentando todos los procesos que se van llevando a cabo en relación con esta materia. Hay que documentarlo todo.

La sanción económica, entonces, ¿se aplicará sólo en ultimísima instancia?

Jesús Rubí: En ultimísima no, depende de la diligencia que se tenga y de cómo se acredita.

Pero se van a contemplar muchas otras medidas antes de imponer una multa, ¿no es así?

Jesús Rubí: Efectivamente. Cuando ha habido simplemente una situación de una apreciación que puede ser incorrecta, pero se ve que se ha tratado de hacer lo mejor posible, bueno, pues hay otras medidas que es: "pues revísela, incorpore este elemento, corrija esto", sin necesidad de que todo tenga que ir como ahora. Pero desde luego si el cúmulo de errores pone de manifiesto que los protocolos de esa organización no están adecuadamente diseñados, y esa situación es distinta, hay que verlo en cada caso, pero las opciones son mucho más flexibles.

Fernando Carballo: "Hay un equilibrio necesario entre investigación clínica y protección".

Fernando Carballo: Es que esto no se trata de cumplir para que no me sancionen, por lo tanto, no es un problema de conformidad. En segundo lugar, no buscamos una figura que trabaje de parte de las organizaciones como puede ser un asesor legal o un asesor fiscal, va más allá, por esa posición proactiva, y también por esa flexibilidad que se nos da de cooperar de alguna forma a través de esa figura con la propia agencia.

Con ese modelo a mí se me ocurren dos comentarios. El primero, las organizaciones profesionales gestionamos conocimiento y los clínicos también, asi como las organizaciones que prestan servicios, y la gestión tecnológica del conocimiento nos obliga a hacer la información y el conocimiento cada vez más explícito. Por lo tanto, todos los procedimientos que nos permiten aflorar la forma en que los datos son registrados, cómo se tramitan, utilizan y al final son aplicados a los fines de la organización, es importante. Por lo tanto, absolutamente a favor con fluir al final en un modelo de gestión documentada. Este cambio de cultura me parece fundamental.

Y el otro tema es la importancia es cómo se va a garantizar que no va a ver delegados con doctrinas discordantes. Es imprescindible que haya una interrelación, una cooperación, para que al final todos tengamos claro que eso es lo que hay que hacer, y que cada uno juega su papel en su organización pero lo juega en un mismo partido, que es la propia interacción entre la agencia y las organizaciones. 

Jesús Rubí: La del delegado es una figura que tiene un margen, independencia y autonomía en lo que es el desarrollo de sus funciones, porque puede ser alguien que realice otras funciones dentro de esa organización, cabe esa posibilidad siempre que no haya un conflicto de intereses, o puede ser un equipo. No se le puede dar instrucciones sobre cómo tiene que pronunciarse o no pronunciarse. Eso no quita que sean falibles porque, aunque tengan un conocimiento muy cualificado, a lo mejor en un determinado momento, dentro de una organización, el delegado tiene un criterio y la institución otro consistente, y en ese caso de lo que se trata es de documentar cuál fue el criterio de uno y otro.

Lo deseable es que no se produzca, pero si pasa no tiene por qué suponer ningún drama, siempre que esté claro esa consistencia y esa documentación. Además, este delegado de Protección de Datos tiene otra perspectiva, externa y muy importante, que es con los propios afectados,pues tiene que hacerse público y tiene que estar a disposición de los propios afectados para poder transmitir lo que opinan, lo que les parece, sus reclamaciones, cómo han sucedido las cosas y que él pueda tratar de resolver esas cuestiones.

El delegado es un interlocutor privilegiado con las autoridades de protección de datos a la hora de plantear dudas, facilitar informaciones, sugerir opiniones, es decir, que tiene que haber un intercambio muy fluido para tratar de conseguir ese resultado, que en último término tiene como finalidad el garantizar estos derechos de los ciudadanos, un resultado que sea que haya un conocimiento homogéneo, armonizado de la aplicación de la norma. Y en éste punto este reglamento, desde una óptica europea, ha dado un salto adelante muy importante, porque crea un comité en el que participan todas las autoridades de todos los Estados miembros. Y una de sus funciones va a ser precisamente el conseguir una armonización a nivel continental en la aplicación de estas normas.

¿Será más difícil implantar esta figura en la sanidad pública que en la privada por cuestiones burocráticas?

Filiberto Chuliá: En absoluto. Esta figura viene a ayudar, a facilitar el cumplimiento de un derecho fundamental. Las Administraciones públicas estamos, los empleados de dichas Administraciones, al servicio de los ciudadanos. Esto es un derecho, hay que cumplir sí o sí. Así que no hay debate, no puede haberlo, hay que hacerlo. Y hay todo un instrumental, una serie de profesionales de distinta y variopinta cualificación muy avezados, además, en este tipo de cuestiones. O sea, no me cabe la menor duda de que cualquier Administración pública tiene recursos suficientes como para dar respuesta a esta necesidad.

¿Hay alguna estimación del coste que puede suponer para las organizaciones sanitarias la implantación de esta figura?

Manuel Vilches: No, porque se está evaluando ahora mismo el problema. A lo que me refería en cuanto a la dificultad es que llevamos dos años y pico de periodo transitorio, pero éste nunca existe, al final siempre queda solo el último mes. Debe ser la idiosincrasia latina que tenemos en este funcionamiento. Entonces, no tengo todavía estimaciones de coste al respecto. Afortunadamente, como comentábamos, por la diferente variabilidad y flexibilidad de la ley habrá organizaciones que ya lo tengan dentro de su propia plantilla, habrá otras que tengan que contratarlo y otras que tengan que externalizarlo. Pero la verdad es que todavía no lo tenemos estimado.

Nosotros, desafortunadamente, al ser instituciones privadas, no estamos exentos de esas sanciones de las que sí está la sanidad pública, que también tranquiliza bastante. El que te pongan una sanción administrativa y no una multa de 600.000 €, por el mismo fallo. Creo que hay un agravio comparativo significativo en este caso, que ya lo comenté alguna vez con la agencia al respecto, que no entendía por qué se daba esta dicotomía, pero bueno, supongo que tendrán sus razones. 

El debate ha tenido lugar en el plató de Sanitaria 2000.

¿Por qué se da esta diferencia entre la sanidad pública y privada?

Jesús Rubí: Esto es una opción de legislador. El reglamento permite que a los organismos públicos se les pueda imponer sanciones económicas, entonces, depende del legislador nacional el que se haga así o no se haga así. Cuando se tramitó la vigente Ley de Protección de Datos hubo un momento, en el trámite del Senado, donde se asumió una iniciativa para que las administraciones públicas también tuvieran sanciones económicas, y al final se rechazó. Ahora está en tramitación un nuevo proyecto de Ley de Protección de Datos que adapte el derecho español a las exigencias europeas, y en ese proyecto se ha optado por mantener esta situación, pero los legisladores podrían modificarla.

Es una decisión que tiene que ver con la concepción de si se sanciona y se abona una sanción económica con recursos públicos, en qué medidas esos recursos públicos son a su vez recursos públicos para la entidad que recibe esa sanción o el importe de esa sanción. En fin, son otro tipo de consideraciones que no tiene que ver con la protección de datos, pero cabe esa posibilidad.

Una de las mayores dudas que generaba esta Ley de Protección de Datos es si de alguna manera podría ralentizar o dificultar las investigaciones y el trabajo diario de los médicos en sus centros. Las principales quejas en este sentido han venido de las Sociedades Científicas. Fernando, ¿podrías explicarnos las inquietudes que os genera?

Fernando Carballo: Ha quedado claro en el debate que estamos hablando de buen gobierno. Que no sólo estamos hablando de cumplimiento, por lo tanto, nos situamos en la posición de la búsqueda de la mejora orientada a los fines de las organizaciones, que al final es prestar atención sanitaria de calidad. En ese contexto, hay un equilibrio necesario entre la investigación clínica y la protección del sujeto sometido a experimentación en un ensayo clínico, pero también al uso de los datos que procedan de la persona bajo investigación que está directamente relacionada con el avance del conocimiento médico. Aquí no estamos hablando de un uso inadecuado de la información, que eso bajo ningún concepto se puede permitir, sino respeto a los ciudadanos dentro de la investigación. Nosotros simplemente lo que hemos preguntado, porque no hemos protestado, es que es si las garantías que tradicionalmente se vienen aplicando en esta protección, que en España son potentes, sufrirían alguna modificación con la nueva norma. Creo que esto ya está aclarado.

¿Pero cuando introduzcamos esto, va ser una nueva burocracia? ¿Va a ser un escalón adicional? Y ahí es donde me parece importante, tal como estamos viendo, aclarar qué es la figura del delegado de Protección de Datos, que va a ser una palanca para poder preparar todos los aspectos relacionados con la investigación. Los profesionales estamos habituados a prepararlo con gran calidad metodológica, me refiero desde el punto de vista científico, pero muchas veces se nos generan ciertas incertidumbres.

¿Y puede suponer una ralentización de la atención sanitaria en el día a día de hospitales y ambulatorios?

Manuel Vilches: Creo que la figura del delegado de protección de datos al final va a ser muy positiva. Lo del incrementar la burocracia, en este caso como se enfoca desde el análisis previo, en la mayoría de los casos no va a suponer hacer nada más que confirmar que ya lo estabas haciendo bien. Y en los otros te va a permitir hacer un diagnóstico para solucionarlo sobre la marcha, con lo que me parece que la positividad de la figura es clara, porque nos va a permitir es estar todos mucho más tranquilos al respecto de cómo estamos haciendo las cosas. 

Filiberto Chuliá: Muy positivo, sin lugar a dudas, va a facilitar muchísimo. Dicho esto, sí que me gustaría un poco resituar esta polémica que ha habido, que a mí, la verdad, me ha sorprendido. Yo tengo que decir tres cosas. Primera, el reglamento europeo es absolutamente facilitador de la investigación clínica.

Otra cuestión, a mí me causó mucha perplejidad el artículo 16 /3 de la Ley 41 del 2002, la Ley de Autonomía. Y sin embargo ahí hubo un silencio absoluto de las sociedades científicas de todo el mundo. Nos preocupaba que había un gran margen de inseguridad jurídica para nuestros investigadores, que también tenemos que proteger. Nos causaba mucha zozobra la necesidad de anonimización o consentimiento para acceder a la historia clínica. Bien, entonces esto nos preocupó muchísimo y fomentamos un debate porque veíamos que no estaba en los medios y no estaba en el índice preocupaciones de la sociedades científicas. Este reglamento ha venido a solucionar y a despejar esas dudas que a nadie le había preocupado.

Fernando Carballo: No, no, es muy sencillo. Primero hay que separar los titulares, las posiciones individuales de la oposición colectiva que podamos representar desde Facme, que han tenido que entrar precisamente porque se ha generado un conflicto sin el conflicto. Coincidimos, pero hay un punto muy concreto, desde una posición del profesional, el reglamento lo deja muy claro y preguntábamos por qué el proyecto de ley era tan neutro, por qué se comentaban aspectos de posibles excepciones o tratamientos especiales con los ficheros de morosos, por decir algo, y por qué se hacía ese apoyo explícito en el proyecto Ley. Se ha resuelto, luego esa fue la inquietud. Lo importante es que ahora estamos en una situación de partida buena.

Jesús Rubí: En el tema de los datos de salud con fines de investigación, el reglamento tiene unas consideraciones generales, todos estos considerandos que ha señalado y la posibilidad de utilizar los datos con fines compatibles promoviendo la investigación. Pero la regulación material de cómo se hace la investigación sigue estando en las normas nacionales, en la regulación de los ensayos clínicos, en la regulación de la epidemiología, y son las normas nacionales.

Sobre la normativa vigente, ni el reglamento, ni la ley del proyecto de protección de datos se tocan en absoluto. El reglamento va a permitir interpretar los consentimientos de una manera mucho más amplia e interpretar que cuando son excepciones al consentimiento también se pueda operar, se pueda utilizar la información de una manera más amplia. Y en el caso particular de los procesos de investigación, la figura del delegado tendrá que hacer una evaluación de impacto, en la que tendrá que intervenir, asesorar y ayudar.

Conclusiones del debate

¿Qué importancia tiene esto? Pues que el comité de ética, que al final es el que va a tener que resolver sobre un proyecto de investigación concreto, se va a encontrar un cúmulo de información y de análisis exhaustivo muchísimo más detallado de qué riesgos se han analizado, de qué garantías se aportan para resolver esos riesgos que ahora se la encuentra pues un poco ’in albis’ en el momento de decidir. Y además si tiene alguna duda va a tener una figura que ha intervenido en ese proceso de evaluación de impacto, que es el encargado de protección de datos. Es decir, que va a suponer también, va a favorecer en la práctica al aportar mayor información y mayores análisis el poder resolver de una manera más eficaz en esta materia.

Conclusiones

Fernando Carballo: El delegado de protección de datos tiene la misión fundamental de que la organización se alinee con los intereses de la población general también en el ámbito de la atención sanitaria.

Jesús Rubí: El reglamento introduce un nuevo modelo de cumplimiento y un nuevo modelo de supervisión que se apoya mucho más en la diligencia, la proactividad y el análisis de las consecuencias que va a tener el tratamiento de datos que se haga y, por tanto, va a ofrecer mayores garantías de una manera, además, que continúa a lo largo del tiempo, porque no es hacer un análisis en un momento inicial, sino que tiene que desarrollarse dinámicamente durante todo el proceso.

Filiberto Chuliá:¡Bienvenido el delegado de protección de datos! Creo que va a ayudar muchísimo a los ciudadanos, a los operadores jurídicos, a los investigadores y a los médicos en su tarea diaria.

Manuel Vilches: Creo que el nuevo reglamento viene a tapar algunos agujeros que había en el anterior, que va a ayudar mucho y que la representación física y tangible del mismo en las empresas o en las instituciones, el delegado de protección de datos, es una figura que mucho más que verla como algo coercitivo, se tiene que ver como algo de ayuda, o sea, va a ser la persona que va a ayudar a informar y a adecuar a las instituciones para el cumplimiento de las obligaciones, que en el fondo no son tan diferentes a las que teníamos, pero que ahora vamos a tener la certeza de que lo estemos haciendo bien ayudados por esa figura del delegado de Protección de Datos.

Debate 'La figura del delegado de protección de datos en los servicios sanitarios' (1ªparte) Debate 'La figura del delegado de protección de datos en los servicios sanitarios' (2ªparte)