Datos seguros y accesibles, objetivo del nuevo Reglamento Europeo General de Protección de Datos

El próximo mes de mayo entre en vigor el Reglamento Europeo General de Protección de Datos, para analizar este tema la Sociedad Española de Directivos de la Salud (SEDISA) y el Comité de Antiguos Alumnos de la Sociedad (ALSEDISA), con la colaboración de Deloitte, han organizado el “Foro sobre Calidad y Sostenibilidad. Actualización sobre Protección de Datos en Sanidad”. Según explicaba en este evento Carmen Pérez Canal, técnico de función administrativa de la Dirección General de Recursos Humanos del Servicio Madrileño de Salud (SERMAS) y coordinadora de la jornada, “el reglamento ha puesto la protección de datos personales en primera línea de interés. Vemos cómo se habla y se debate sobre el tratamiento de la privacidad, lo que implica cambios normativos, pero también organizativos y técnicos”. Y es que el Reglamento Europeo ya no se basa en cumplir unas exigencias como ocurre con la normativa actual, “sino que partimos de una responsabilidad proactiva. Nos obliga a realizar un análisis en base al concepto de riesgo de todas las actividades de tratamiento. Se trata de cumplir y acreditar que se cumple, pasando de un ecosistema rigorista a una madurez de cumplimiento”, apunta la especialista. Los expertos coinciden en señalar que este reglamento es la norma más importante a través de las que se ha producido la revisión del marco legal de la protección de datos en la Unión Europea. Como señala la experta, se trata de  una norma de aplicación directa, sin necesidad de transposición al ordenamiento interno de los Estados y armoniza las  legislaciones que actualmente existen en los países de la Unión Europea. Condiciones de los Estados Miembros A la hora de su implantación en los hospitales, hay que tener en cuenta que “los centros tienen que saber que el Reglamento General de Protección de Datos de la Unión Europea contiene una previsión normativa expresa que permite el tratamiento de datos de salud para fines de diagnóstico médico, prestación de asistencia sanitaria, gestión de los sistemas y servicios de asistencia sanitaria”, indica Antonio Troncoso, de la Agencia Española de Protección de Datos, quien añade que “también regula el tratamiento de datos de salud por razones de salud pública o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos y productos sanitarios. En todo caso, el Reglamento permite a los Estados Miembros de la UE introducir condiciones adicionales en los tratamientos de datos relativos a la salud, por lo que se encuentra en tramitación un proyecto de nueva Ley Orgánica de Protección de Datos Personales”. En este contexto, Carlos Mur De Viu, vocal de la Junta Directiva de SEDISA y director gerente del Hospital Universitario de Fuenlabrada, de Madrid, recuerda que en un hospital se genera un gran número de datos, que además son necesarios para introducir con evidencia todos los avances terapéuticos y de tecnología sanitaria. “Sin embargo, esos datos no se están utilizando de forma generalizada, aunque el conocimiento que aportan es fundamental para la planificación de recursos y mejora de la actividad asistencial”. Vulnerabilidad-seguridad De hecho, hay que tener en cuenta la gran vulnerabilidad de los sistemas: “Nuestros sistemas no son invulnerables y cada día se perfeccionan más los ataques a estos”, asegura el experto, con quien coincide Carmen Pérez Canal cuando señala que “a las organizaciones les preocupa mucho la seguridad, pero no hay seguridad sin protección. Refuerza el consentimiento, recoge nuevos derechos y el control de su cumplimiento descansa en el principio de responsabilidad proactiva”. Por eso, según la experta madrileña, habrá que realizar una revisión profunda de la protección de datos en las organizaciones, empezando por un análisis de los tratamientos que realizan, qué datos tratan, su finalidad, plazo de tratamiento, base jurídica y consentimiento, revisión y adaptación de las cláusulas informativas y toda la documentación sobre cumplimiento normativo, incluyendo los procedimientos de atención de derechos. Así, “se deberá implantar, comunicar y formar en el análisis teniendo en cuenta el concepto de riesgo con la consecuente identificación de las medidas de seguridad”. Obligaciones Tal y como advierte Antonio Troncoso, el Reglamento Europeo incluye unas obligaciones adicionales para los responsables que tratan con datos de salud. En concreto, “establece un principio de responsabilidad activa que les obliga a estar en condiciones de garantizar y demostrar que el tratamiento de datos se ajusta a la legislación. Igualmente establece obligaciones de protección de datos en el diseño que les exige mantener un registro de actividades de tratamiento, llevar a cabo una evaluación de impacto en la privacidad y nombrar un delegado de protección de datos como figura independiente”. Por su parte, Rosario Heras, jefa de Área de Estudios Tecnológicos y Certificación de la Agencia Española de Protección de Datos, resalta algunos aspectos que no se pueden dejar pasar por alto, “entre ellos, la verificación de la identidad de los pacientes, la conservación de datos con fines administrativos o la falta de carteles informativos y normas internas sobre la confidencialidad de la información que trata el personal sanitario y no sanitario de los centros, pero sobre todo continúa un déficit importante en cuanto a las medidas de seguridad implantadas”. De esa forma, se van a poner en marcha principios de responsabilidad activa, junto con una serie de medidas preventivas que mejorará los resultados de la inspección que la Agencia Española de Protección de Datos ya lleva años haciendo. “Entre estas medidas están mantener un registro de las actividades de tratamiento, la protección de datos desde el diseño, aplicar medidas de seguridad adecuadas al riesgo, realizar una evaluación de impacto, la autorización previa o consulta previa con la agencia, la designación de un delegado de protección de datos, la notificación de violaciones de seguridad y la adopción de códigos de conducta y esquemas de certificación'. El Reglamento Europeo recoge el tratamiento que deben tener los datos de salud que se utilizan para la investigación sanitaria. Según señala Antonio Troncoso, “obliga a establecer unas garantías específicas, como es la minimización de datos personales, la pseudonimización, y si es posible, que se lleve a cabo la investigación de una manera anonimizada”.