LOPD y sector sanitario: ¿cómo afecta a los datos relacionados con la salud?

¿Qué información personal hay más delicada que aquella que rodea nuestra salud? La privacidad alrededor de los datos de nuestra situación física y mental es algo que no nos gustaría ver quebrantado. Sin embargo, muchas empresas y organismos guardan este tipo de datos. A continuación, presentamos una serie de claves en la relación entre sector sanitario y RGPD. Así cambia el mundo de la salud el nuevo Reglamento de Protección de Datos.

¿Qué datos maneja el sector sanitario?

 

Los datos que almacena el sector sanitario, incluyendo mutuas y seguros, son delicados. El propio RGPD les dedica un apartado y los define como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.

Esto quiere decir que el RGPD afecta a las entidades que almacenen y gestionen cualquier dato sobre enfermedades, discapacidades, riesgos, historiales médicos, tratamientos, etc. El RGPD también define los datos biométricos (relativos a las características físicas, fisiológicas o conductuales de una persona física) y genéticos (características genéticas heredadas o adquiridas de una persona).

 

Tantos los datos relativos a la salud como los biométricos y genéticos son considerados como “especialmente protegidos”. Esto quiere decir que, como punto de partida, no se pueden almacenar ni gestionar. Dado el impacto potencial de este tipo de información personal, solo puede ser utilizada en determinadas circunstancias.

La clave: el consentimiento

 

Es uno de los puntos centrales del RGPD de la Unión Europea. Las empresas u organismos que traten datos tendrán que contar con el consentimiento inequívoco, expreso, libre e informado de las personas cuyos datos procesen. Esta es, también, la primera excepción a la norma que prohíbe el tratamiento de datos especialmente protegidos, como los sanitarios.

Si el interesado ha dado su consentimiento explícito para el tratamiento de dichos datos personales con uno o más fines especificados, los datos relativos a la salud podrán ser almacenados. Eso sí, no deberán en ningún momento incumplir las leyes de la Unión ni del Estado miembro.

Es importante tener en cuenta que, con respecto a la Ley Orgánica de Protección de Datos (LOPD) desaparece el consentimiento tácito del afectado. Se exige que el consentimiento sea inequívoco y es necesario presentar una declaración explícita de la persona afectada.

Seis condiciones especiales

Además del consentimiento inequívoco, existen otra serie de condiciones bajo las cuales está permitido el tratamiento de datos relativos a la salud.

1. Si existe una obligación legal. “El tratamiento de los datos es necesario para el cumplimiento de obligaciones legales en el ámbito del derecho laboral y de la seguridad y protección social”, señala el RGPD.

2. Si están en riesgo los intereses vitales del interesado o de otra persona física.

3. El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.

4. Por razones de interés público. Es uno de los puntos más polémicos porque deja la puerta abierta a un montón de supuestos que solo dependen de quién define qué es y qué no es el interés público.

5. El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.

6. El tratamiento es necesario para salvaguardar la salud pública.

 

LOPD y sector sanitario: ¿qué hay que tener en cuenta?

Además del consentimiento explícito del paciente y de las condiciones que permiten el tratamiento de datos especialmente protegidos, se deben tener en cuenta otra serie de cuestiones más generales.

1. La calidad de los datos:

Deberán ser siempre veraces, adecuados y pertinentes, así como estar destinados a un uso concreto.

2. La información del paciente:

Los afectados por el tratamiento de datos sanitarios deberán estar informados en todo momento.

3. La confidencialidad:

El impacto potencial de este tipo de datos sobre la privacidad de las personas obliga a empresas y organismos del sector sanitario a adoptar las medidas necesarias para garantizar la confidencialidad.

4. El registro de la actividad:

El RGPD exige un registro detallado de los datos que se almacenan y por qué se almacenan. Esta es una condición que afecta a todas las empresas que manejen datos personales, independientemente del sector.

5. Análisis de riesgo y evaluación de impacto:

Otra de las obligaciones generales del RGPD. Los responsables del tratamiento deben evaluar el riesgo de la información que manejan y llevar a cabo la llamada Evaluación de Impacto sobre la Protección de Datos (EIPD) antes de poner en marcha tratamientos de alto riesgo. Es parte de lo que se conoce como principio de responsabilidad activa.

6. El Delegado de protección de Datos:

El RGPD establece esta figura, ya que así lo exige la nueva normativa comunitaria. Es el contacto para los afectados dentro de la empresa u organismo que trate los datos. En el caso concreto del sector sanitario, los centros de salud que guardan y mantienen historiales clínicos deben contar con un delegado. La Agencia Española de Protección de Datos debe tener constancia de dicho nombramiento.

25 de mayo, fecha límite

El RGPD se aprobó inicialmente en 2016. La Unión Europea y los Estados miembros decidieron dejar dos años de margen para que las empresas y las instituciones se adaptasen a los numerosos cambios. A partir del 25 de mayo de 2018, su cumplimiento será obligatorio para todas aquellas entidades que lleven a cabo tratamiento de datos, incluyendo las del sector sanitario. En España, sustituye a todos los efectos a la LOPD vigente hasta el momento.

¿Quieres conocer el grado de cumplimiento del RGPD de tu empresa? Haz nuestro test

Para que puedas auto evaluar tu nivel de conocimiento sobre el nuevo Reglamento General de Protección de Datos, hemos preparado una breve encuesta con 8 preguntas tipo test.

¿Y a cambio?

Podrás conocer tu nivel de conocimiento para cumplir con el nuevo RGPD.
Tendrás acceso a una “Guía para cumplir con el nuevo RGPD” elaborada por nuestros expertos en gerencia de riesgos.