Datos de salud y nuevo reglamento de protección de datos.

¿Quién trata datos de salud en el ámbito de la protección de datos?

Tratan datos de salud el Estado, las comunidades autónomas, los ayuntamientos, hospitales públicos y/o privados, centros penitenciarios, clínicas médicas, clínicas de odontología, centros y asociaciones de discapacitados, enfermos mentales y/o ancianos, compañías aseguradoras, mutuas, entidades bancarias, etc..

Los datos de salud están presentes en múltiples administraciones públicas y negocios privados  y están ligados a la asistencia y prestación de servicios sanitarios y también a otras actividades como los seguros, la recaudación de impuestos o los grados de minusvalía. En este sentido, son calificados en el nuevo REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 en adelante RGPD como categoría especial de datos personales.

¿Qué son los datos de salud?

En primer lugar, debemos definir, dentro del marco de la protección de datos, qué se entiende por datos de salud; en este sentido el considerando 35 del RGPD señala que serán datos de salud  “todos los datos relativos al estado de salud del interesado que dan información sobre su estado de salud física o mental pasado, presente o futuro”, esto es, todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios. Por lo tanto, dicha categoría es muy amplia, y aquí podemos incluir la información relativa a:

– La obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal. 

– La procedente de datos genéticos y muestras biológicas.

– La relativa a una enfermedad, una discapacidad o el riesgo de padecer enfermedades.

– La relativa al historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado.

Y todo ello independientemente de su fuente, ya provenga de un médico, cualquier profesional sanitario, de un hospital o de un dispositivo médico.

Pues bien, en su art. 9 el RGPD, el RGPD denominado “Tratamiento de categorías especiales de datos”, señala que queda prohibido el tratamiento de los datos de salud (entre otros), si bien establece hasta 10 supuestos en los que dicho tratamiento no estará prohibido, entre los que se encuentran, la prestación de servicios de interés público, medicina preventiva, consentimiento expreso del afectado, seguridad social y derecho laboral, etc..

Es en base a dichos supuestos y legítimos intereses sobre los que actúan todos las entidades (clínicas, hospitales, etc..) y sobre las cuales está legitimado el tratamiento de datos relativos a la salud.

¿Qué debo tener en cuenta con la nueva normativa?

Sentadas estas bases, que deben tener en cuenta aquellas entidades públicas o privadas que tratan datos de salud con el nuevo RGPD.

1º.-  Debe adecuarse toda la documentación legal de la entidad u organización.

En este sentido cláusulas de consentimiento, contratos con encargados de tratamiento,  transferencias internacionales de datos a terceros países, realización de un registro de actividades de tratamiento y análisis de riesgos, son cuestiones documentales a actualizar y adecuar a la nueva normativa.

Los cambios aquí son sustanciales, puesto que desaparece la figura del antiguo documento de seguridad y la inscripción de ficheros, incorporándose nuevas obligaciones documentales como el registro de actividades de tratamiento, el análisis de riesgos o, en determinados supuestos, la evaluación de impacto; documentación que deberemos tener preparada y actualizada para el caso de ejercicio de derechos por parte de los interesados, reclamaciones extrajudiciales o judiciales por parte de éstos, determinación de responsabilidades con encargados de tratamiento frente a los interesados o requerimiento de la autoridad de control, en nuestro caso, la Agencia Española de Protección de Datos.

2º.- Con el nuevo RGPD, desaparecen los niveles de seguridad, instaurándose un criterio de proactividad o accountability en función de los riesgos.

Hasta ahora, se tenía un documento de seguridad que establecía una serie de medidas de seguridad y una auditoría bienal en función del nivel de seguridad de los datos que se trataban, y con eso parecía que se tenía todo hecho. Con el nuevo RGPD  esto desaparece y será la propia organización o entidad, de forma proactiva, la que determine por un lado las medidas de seguridad a tomar así como la procedencia y plazos para la realización de auditorías.

Además, tendrá que documentar todas sus decisiones para, en su caso, poner a disposición de la autoridad de control competente, en este caso la Agencia Española de Protección de Datos. En este sentido,  las administraciones públicas y aquellas empresas que traten datos a gran escala deberán designar de forma obligatoria un Delegado de Protección de Datos (DPO).

No obstante, aquellas entidades u organizaciones que no están obligadas a designar un DPO podrán hacerlo de forma voluntaria o cuando menos designar a una persona, un equipo jurídico, ya sea interno o externo, que se encargue de trazar un plan de seguridad de la información en la empresa y de revisar constantemente dicho plan en aras del cumplimiento normativo.

3º.- Cumplimiento de las medidas de seguridad.

Como quiera que en este artículo de blog estamos hablando de los datos relativos a salud como categoría especial de datos personales, se debe ser especialmente cuidadoso en el cumplimiento y aplicación, no sólo de los requisitos legales, determinantes a efectos formales, de responsabilidad y sancionadores, sino también en el cumplimiento efectivo de las medidas de seguridad.

Imaginémonos por un momento que una clínica médica u hospital público o privado, sufre un ataque informático, ya sea por una mala ejecución de la política de contraseñas, porque tenemos nuestros servicios de cloud computing en un país no autorizado, por la falta de formación de su personal, por un malware o ramsomware, y se pierde toda la información clínica de los pacientes; o imaginémonos que alguien accede a esa información y publica en la red datos especialmente sensibles. Aquí los daños se podrían evaluar a varios niveles:

– Si estamos en el ámbito privado, la pérdida de los datos o la filtración o acceso por parte de terceros conllevaría un evidente pérdida (o mejor dicho destrucción) de su reputación y con ello de su negocio.

– Avalancha de  reclamaciones judiciales en solicitud de indemnizaciones por parte de los interesados que se puedan ver afectados.

– A nivel sancionador, los efectos serían devastadores también, con sanciones de hasta 20 M de euros y/o el 4% de la facturación global anual, optándose por la de mayor cuantía.

– A nivel público, la pérdida o destrucción de los datos de salud (historias clínicas, pruebas, etc..) de la ciudadanía sería catastrófico y podría poner en riesgo incluso nuestro sistema de salud.

4º.- Debemos ser conscientes del mundo en el que vivimos.

La sociedad de la información y la tecnología, ha traído al ámbito de la salud y en general a todos los ámbitos mejoras inimaginables, pero también ha conseguido que toda esa cantidad abrumadora de información que fluye a través de todos nuestros dispositivos sea merecedora de una especial atención. En este sentido, de nada sirven las grandes medidas de seguridad en las que invierten miles de millones las grandes compañías tecnológicas y los estados, si después la política de contraseñas es defectuosa o el personal no conoce los riesgos que entraña abrir un correo electrónico malicioso.

Soluciones

– En Insitu Abogados entendemos que debe afrontarse la seguridad de la información de una forma positiva, como una forma de mejorar la seguridad y el valor tanto en instituciones públicas com organizaciones privadas. El primer paso es concienciarse de la importancia de comporta la seguridad de la información y empezar a prestar atención y recursos a ello. Nosotros te guiaremos en el proceso informándote de las obligaciones legales y de los pasos a seguir.

– Se debe tener un correcto, constante y minucioso asesoramiento legal en la materia, conociendo todas las implicaciones normativas que implica la nueva legislación de cara a mejorar la seguridad de la información tanto en insituciones públicas como organizaciones privadas, en aras de preservar la reputación de la organización, garantizar los derechos de los pacientes y evitar elevadísimas sanciones.

– No debemos quedarnos en la apariencia legal, o en asesoramiento puntual,  sino que deben destinarse los recursos continuados y adecuados para ejecutar las medidas de seguridad acorde a los datos a tratar y, para ello, en Insitu Abogados, una vez ofrecido el asesoramiento legal oportuno, contamos excelentes  empresas colaboradoras sitas en Galicia especialistas en ciberseguridad y seguridad de la información, que llevarán a cabo las labores informáticas necesarias. 

Si necesitas asesoramiento legal riguroso y de calidad en materia de protección de datos puedes ponerte en contacto con nosotros en el Tfno. 881252160 o en info@insitu-a.com.

Por último, te dejamos una pequeña herramienta de autodiagnóstico de INCIBE (Instituto Nacional de Ciberseguridad) para que conozcas en que estado de riesgo se encuentra tu negocio. https://adl.incibe.es/