¿Qué información personal hay más delicada que aquella que rodea nuestra salud? La privacidad alrededor de los datos de nuestra situación física y mental es algo que no nos gustaría ver quebrantado. Sin embargo, muchas empresas y organismos guardan este tipo de datos. A continuación, presentamos una serie de claves en la relación entre sector sanitario y RGPD. Así cambia el mundo de la salud el nuevo Reglamento de Protección de Datos.
Los datos que almacena el sector sanitario, incluyendo mutuas y seguros, son delicados. El propio RGPD les dedica un apartado y los define como “datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”.
Esto quiere decir que el RGPD afecta a las entidades que almacenen y gestionen cualquier dato sobre enfermedades, discapacidades, riesgos, historiales médicos, tratamientos, etc. El RGPD también define los datos biométricos (relativos a las características físicas, fisiológicas o conductuales de una persona física) y genéticos (características genéticas heredadas o adquiridas de una persona).
El RGPD afecta a las entidades que almacenen y gestionen cualquier dato sobre enfermedades, discapacidades, riesgos, historiales médicos, tratamientos, etc.
Tantos los datos relativos a la salud como los biométricos y genéticos son considerados como “especialmente protegidos”. Esto quiere decir que, como punto de partida, no se pueden almacenar ni gestionar. Dado el impacto potencial de este tipo de información personal, solo puede ser utilizada en determinadas circunstancias.
Es uno de los puntos centrales del RGPD de la Unión Europea. Las empresas u organismos que traten datos tendrán que contar con el consentimiento inequívoco, expreso, libre e informado de las personas cuyos datos procesen. Esta es, también, la primera excepción a la norma que prohíbe el tratamiento de datos especialmente protegidos, como los sanitarios.
Si el interesado ha dado su consentimiento explícito para el tratamiento de dichos datos personales con uno o más fines especificados, los datos relativos a la salud podrán ser almacenados. Eso sí, no deberán en ningún momento incumplir las leyes de la Unión ni del Estado miembro.
Es importante tener en cuenta que, con respecto a la Ley Orgánica de Protección de Datos (LOPD) desaparece el consentimiento tácito del afectado. Se exige que el consentimiento sea inequívoco y es necesario presentar una declaración explícita de la persona afectada.
Además del consentimiento inequívoco, existen otra serie de condiciones bajo las cuales está permitido el tratamiento de datos relativos a la salud.
1. Si existe una obligación legal. “El tratamiento de los datos es necesario para el cumplimiento de obligaciones legales en el ámbito del derecho laboral y de la seguridad y protección social”, señala el RGPD.
2. Si están en riesgo los intereses vitales del interesado o de otra persona física.
El impacto potencial de este tipo de datos sobre la privacidad de las personas obliga a empresas y organismos del sector sanitario a adoptar las medidas necesarias para garantizar la confidencialidad.
3. El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
4. Por razones de interés público. Es uno de los puntos más polémicos porque deja la puerta abierta a un montón de supuestos que solo dependen de quién define qué es y qué no es el interés público.
5. El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.
6. El tratamiento es necesario para salvaguardar la salud pública.
Además del consentimiento explícito del paciente y de las condiciones que permiten el tratamiento de datos especialmente protegidos, se deben tener en cuenta otra serie de cuestiones más generales.
Deberán ser siempre veraces, adecuados y pertinentes, así como estar destinados a un uso concreto.
Los afectados por el tratamiento de datos sanitarios deberán estar informados en todo momento.
El impacto potencial de este tipo de datos sobre la privacidad de las personas obliga a empresas y organismos del sector sanitario a adoptar las medidas necesarias para garantizar la confidencialidad.
El RGPD exige un registro detallado de los datos que se almacenan y por qué se almacenan. Esta es una condición que afecta a todas las empresas que manejen datos personales, independientemente del sector.
Otra de las obligaciones generales del RGPD. Los responsables del tratamiento deben evaluar el riesgo de la información que manejan y llevar a cabo la llamada Evaluación de Impacto sobre la Protección de Datos (EIPD) antes de poner en marcha tratamientos de alto riesgo. Es parte de lo que se conoce como principio de responsabilidad activa.
El RGPD establece esta figura, ya que así lo exige la nueva normativa comunitaria. Es el contacto para los afectados dentro de la empresa u organismo que trate los datos. En el caso concreto del sector sanitario, los centros de salud que guardan y mantienen historiales clínicos deben contar con un delegado. La Agencia Española de Protección de Datos debe tener constancia de dicho nombramiento.
El RGPD se aprobó inicialmente en 2016. La Unión Europea y los Estados miembros decidieron dejar dos años de margen para que las empresas y las instituciones se adaptasen a los numerosos cambios. A partir del 25 de mayo de 2018, su cumplimiento será obligatorio para todas aquellas entidades que lleven a cabo tratamiento de datos, incluyendo las del sector sanitario. En España, sustituye a todos los efectos a la LOPD vigente hasta el momento.
Para que puedas auto evaluar tu nivel de conocimiento sobre el nuevo Reglamento General de Protección de Datos, hemos preparado una breve encuesta con 8 preguntas tipo test.
Podrás conocer tu nivel de conocimiento para cumplir con el nuevo RGPD.
Tendrás acceso a una “Guía para cumplir con el nuevo RGPD” elaborada por nuestros expertos en gerencia de riesgos.
¿Dónde contratar una póliza de seguro de auto para un vehículo con licencia VTC? Los…
El cambio normativo en España respecto a los planes de pensiones trata de impulsar la…
Para que las personas que cobran una pensión pública no pierdan poder adquisitivo, año a…
Reinvertir la desgravación de los planes de pensiones en el propio plan es una forma…
Hasta el año 2013, las pensiones de jubilación se calculaban en base a los últimos…
El año pasado se despidió con buenos números para el sector turístico. Aunque todavía no…