¿Qué es el Reglamento General de Protección de Datos (RGPD)?

El tratamiento de datos de carácter personal realizado por un profesional, empresa o entidad en el desarrollo de su actividad, puede entrañar un riesgo para los derechos y libertades de los interesados, por lo que dicho tratamiento debe realizarse cumpliendo la normativa específica que lo regula. Para entender mejor el nuevo reglamento (RGPD), hemos hablado con nuestros consultores especializados en Protección de Datos y Seguridad de la Información, Grupo Biasahara.

¿Cómo se regula la protección de datos? ¿Cuál es el objeto del RGPD? Novedades del RGPD respecto a la LOPD Riesgos de no cumplir con el RGPD ¿Cómo tratar los datos de salud de pacientes? ¿A qué tienen derecho mis pacientes? Pasos para cumplir con el RGPD Inscripción de ficheros en la AEPD Uso de herramientas como Whatsapp o Facebook ¿Cómo me afectará si utilizo agenda de papel para gestionar mi consulta?

Artículo Relacionado (3)

 

¿Cómo se regula la protección de los datos? 

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (RGPD) establece el nuevo marco jurídico para la protección y el tratamiento de los datos personales y la libre circulación de estos de forma uniforme para todos los países de la Unión Europea.

El RGPD deroga la Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995.

El RGPD entró en vigor el 25 de mayo de 2016 y se aplica de forma directa desde el 25 de mayo de 2018. Por este motivo, es recomendable adaptar los procesos de modo que todas las empresas, entidades, organismos, etc. estén preparadas para dar cumplimiento al Reglamento en esa fecha.

Los Estados de la Unión Europea pueden iniciar la elaboración de normas para permitir o facilitar la aplicación del RGPD. En España, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD) sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Cumplir con el nuevo Reglamento es una obligación legal que afecta a toda las profesiones y actividades que traten datos de carácter personal. De este modo, los especialistas, consultas o centros médicos no solo tratan datos identificativos de los pacientes sino que, además, tratan datos especialmente sensibles como los datos de salud y/o datos genéticos. Estos están incluidos en las "Categorías especiales de datos" y, como tales, requieren un tratamiento especial.

Volver arriba

¿Cuál es el objeto del RGPD?

Se trata de acabar con la fragmentación existente en las distintas normativas de los países comunitarios y, además, persigue la adaptación de las normas de protección de datos a la rápida evolución tecnológica y los fenómenos derivados del desarrollo de la sociedad de la información y la globalización.

 

Volver arriba


¿Qué novedades presenta el RGPD en relación a la LOPD?

El RGPD contiene muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican. Por ello, las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento.

Sin embargo, el RGPD modifica algunos aspectos del régimen actual y contiene nuevas obligaciones que deben ser analizadas y aplicadas por cada organización teniendo en cuenta sus propias circunstancias.

La mayor innovación del RGPD la constituyen dos elementos de carácter general  que se proyectan sobre todas las obligaciones de las organizaciones:

- El Principio de Responsabilidad Proactiva. Es la necesidad de que el responsable del tratamiento de los datos aplique las medidas técnicas y organizativas adecuadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento. Este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que se lleven a cabo.

- El Enfoque de Riesgo. El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines de tratamiento, así como el riesgo para los derechos y libertades de las personas.

Volver arriba


¿Cuáles son los riesgos de no cumplir con el RGPD?

Si hay un incumplimiento normativo, la Agencia Española de Protección de Datos impondrá las correspondientes multas administrativas garantizando que sean efectivas, proporcionadas y disuasorias.

La cuantía de las sanciones se ha incrementado considerablemente respecto de la LOPD cuyo tope se establecía en 600.000 euros.

Con el nuevo RGPD, las sanciones pueden alcanzar hasta 10 millones de euros o el 2% del volumen de negocio total anual global del año anterior; o hasta 20 millones de euros o el 4% del volumen negocio total anual global del año anterior, según la obligación infringida.

Volver arriba


¿Qué hacer para tratar los datos de salud de los pacientes?

Los datos de salud y/o genéticos de los pacientes únicamente pueden tratarse con el consentimiento expreso y explícito del paciente (salvo en situaciones de emergencia o de riesgo vital del interesado).

En el momento en que el médico recoge los datos del paciente para abrir su historia clínica, está obligado a informarle de todos los puntos que la normativa exige: datos del médico o centro médico, para qué se van a utilizar sus datos, a quién se pueden comunicar los datos, los derechos que tiene el paciente, etc. y, a continuación, debe recoger su consentimiento expreso.

La normativa exige que las historias clínicas y los datos de pacientes sean tratados bajo las medidas de seguridad adecuadas al nivel de riesgo que comporta este tratamiento. El nuevo enfoque normativo exige que el médico cumpla con todo lo dispuesto en el RGPD y pueda acreditar en cualquier momento que es así. Es decir, como ya hemos indicado anteriormente, el tratamiento de datos se efectúa en base a:

  • El principio de responsabilidad proactiva
  • El enfoque de riesgo

Volver arriba


¿A qué tienen derecho los pacientes?

  • A obtener información sobre el responsable del tratamiento, el Delegado de Protección de Datos, en su caso y detalles sobre el tratamiento de datos.
  • Derecho de acceder a los datos que el médico o centro médico está tratando.
  • Derecho a rectificar los datos inexactos.
  • Derecho a la supresión de sus datos cuando éstos ya no sean necesarios para los fines que fueron recogidos.
  • Derecho a solicitar la limitación del tratamiento de sus datos.
  • Derecho a la portabilidad de los datos.
  • Derecho a oponerse al tratamiento de sus datos.
  • Derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento anterior a su retirada.
  • En caso de que el interesado sienta vulnerados sus derechos y especialmente cuando no haya obtenido satisfacción en el ejercicio de sus derechos, puede presentar una reclamación ante la Agencia Española de Protección de Datos.

Volver arriba


¿Qué pasos debo seguir para cumplir con el RGPD?

- Realizar un análisis básico de los riesgos que el tratamiento de los datos personales puede tener sobre los derechos y libertades de los pacientes.

- En base a ese análisis, determinar qué medidas técnicas y organizativas debo implementar en mis sistemas para realizar el tratamiento de datos.

- Si soy un centro médico, el resultado del análisis me indicará si debo realizar una "Evaluación de Impacto" y/o debo designar un Delegado de Protección de Datos.

- Informar a todos mis pacientes (actuales y nuevos) y recoger sus consentimientos y conservarlos para poder acreditar que se recogieron.

- Se debe mantener un Registro de Actividades de Tratamiento en el que se contengan cuestiones como nombre y datos del responsable y del Delegado de Protección de Datos si existe, finalidades del tratamiento, descripción de categorías de interesados y de los datos personales tratados, transferencias internacionales de datos, etc.

- Tener firmados los correspondientes Contratos de Encargado de Tratamiento de Datos con aquellos terceros que para prestar un servicio al médico o centro médico, acceden a los datos de mis pacientes.

- Suministrar información a los empleados sobre el tratamiento de sus datos, especialmente sobre sus derechos, funciones y obligaciones.

Volver arriba


¿Debo seguir inscribiendo ficheros en la Agencia Española de Protección de Datos (AEPD)?

Permanece vigente la obligación de inscribir ficheros ante la Agencia Española de Protección de Datos hasta el 24 de mayo de 2018. A partir del 25 de mayo, ya no se inscribirán ficheros.

Volver arriba


¿Puedo utilizar Whatsapp para recoger datos identificativos y de salud de los pacientes o intercambiar información médica con ellos?

Está totalmente desaconsejado el uso de esta herramienta a nivel profesional para recoger datos de pacientes o clientes, como consecuencia de las multas que la Agencia Española de Protección de Datos ha impuesto a Whatsapp y Facebook. Los profesionales que la usen, pueden ser sancionados.

Se recomienda el uso del correo electrónico o vía telefónica siempre que en ambos casos se informe al interesado cumpliendo con lo exigido por el RGPD.

Saber más sobre por qué no utilizar Whatsapp

Saber más sobre el riesgo de utilizar Google Calendar

Saber más sobre cómo puede afectar el RGPD si uso una agenda de papel

Volver arriba

Artículo Relacionado (1)