Análisis e Implantación del RGPD - LOPDGDD para el Ámbito Sanitario
Consultas Médicas, Clínicas, Hospitales, Centros Sanitarios y Farmacias
quienes somos
El Equipo de RGPDdoctor
Somos profesionales formados y especializados que entienden las particularidades de la protección de datos en el sector sanitario. No es lo mismo ayudar a una empresa tecnológica a cumplir con el RGPD LOPDGDD que a un hospital o una clínica. Los profesionales del sector sanitario necesitan soluciones concretas adaptadas a su día a día que entiendan sus problemas y necesidades particulares y no fórmulas generales sacadas de manuales.
Por eso, nos decidimos a fundar RGPDDOCTOR, para dar cabida a todas esas inquietudes del sector sanitario que necesita de ayuda especializada para cumplir con el nuevo Reglamento General de Protección de Datos (RGPD) para Centros Sanitarios.
Análisis e implantación del Reglamento General de Protección de Datos RGPD en el Ámbito Sanitario Salud
| Consultas Médicas | Clínicas | Hospitales | Farmacias | Centros Sanitarios
¿Qué es el RGPD?
El Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y libre circulación de estos datos, más conocido como RGPD, es la nueva norma europea que regula la protección de datos de carácter personal.
Este Reglamento entró en vigor el pasado 25 de Mayo de 2018 y resulta directamente aplicable en todos los países de la Unión Europea, lo que genera que ha ocasionado que todas los artículos de la LOPD (Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal) y del R.D. 1720/2008 que se opongan a esta norma queden formalmente derogados.
¿Esto significa que la LOPD está derogada? No en su totalidad, pero sí aquellos artículos que se opongan al contenido de la nueva norma europea. Para clarificar esta situación ahora mismo un poco confusa, se está tramitando una reforma de la LOPD que eliminará los artículos derogados y complementará en algunos puntos las obligaciones establecidas en el RGPD
PRINCIPALES OBLIGACIONES DEL RGPD
No queremos agobiarte ni aburrirte con un listado interminable de obligaciones, por eso a continuación encontrarás una pequeña guía de las principales obligaciones que introduce el RGPD para el tratamiento de los datos personales:
1 – Transparencia e Información
Uno de los principales objetivos del nuevo RGPD es ayudar a los ciudadanos a entender sus derechos para así poderlos ejercer de manera correcta. Para ello, se ha forzado a los Responsables de Tratamiento a que redacten políticas de privacidad estructuradas, más sencillas y transparentes.
¿Cómo tendría que ser la política de privacidad de mis pacientes?. Aunque dedicaremos a eso un artículo completo en nuestro blog, a continuación te damos algunas nociones básicas para que las tengas en cuenta:
a) Lo primero que tenemos que tener en cuenta es que lo recomendable es utilizar el sistema de información por capas. Una capa inicial o básica en la que se informa casi telegráficamente de una serie de aspectos básicos y fundamentales y una segunda capa o información adicional donde tienes la información completa o detallada sobre el tratamiento de los datos personales de los pacientes.
Algunos ejemplos de cómo podrías estructurar esta información:
– Capa inicial en un formulario inicial que firmen los pacientes (solo tienen que firmarlo la primera vez que acceden a la clínica) o en las hojas de admisión de un hospital.
– Información detallada en el apartado de política de privacidad de tu página web, en carteles visibles en mostradores de recepción o en documentos impresos que estén a disposición de los pacientes que los soliciten.
b) El contenido que deberíamos tener en cada una de las capas es el que se muestra a continuación:
– Capa inicial o básica: Identidad del responsable del tratamiento, descripción sencilla de los fines del tratamiento, legitimación (base jurídica elegida para el tratamiento), destinatarios de cesiones o transferencias, referencia al ejercicio de los derechos del interesado, procedencia de los datos.
– Segunda capa o información detallada: Datos de contacto del responsable del tratamiento, datos de contacto del Delegado de Protección de Datos (si estamos obligados a ello), descripción detallada de los fines del tratamiento, plazos o criterios de conservación de los datos, existencia de decisiones automatizadas, perfilado y lógica aplicada, detalle de la base jurídica del tratamiento, obligación o no de facilitar datos y consecuencias de no hacerlo, destinatarios o categorías de destinatarios, como ejercer los derechos del interesado, información detallada sobre el origen de los datos y categorías de datos que se tratan.
Servicios Especializados de RPGDdoctor
Esto es lo que podemos hacer por ti desde nuestro portal especializado en Protección de Datos
CONSULTAS MÉDICAS, DESPACHOS Y GABINETES
NO LO DUDES
¡¡¡Totalmente Garantizado!!!
CLÍNICAS PRIVADAS
TE IMPLANTAMOS
HOSPITALES
!!!Más de 15 años de experiencia!!!
RGPDdoctor
2 – Derechos del Interesado
En la LOPD se reconocían los derechos de acceso, rectificación, cancelación y oposición, (más conocidos como derechos arco), con el nuevo Reglamento Europeo, los Derechos del interesado se ven reforzados tanto en contenido como en número, así nos encontramos nuevos derechos como el derecho al olvido (derecho al borrado en el entorno online), limitación del tratamiento, derecho a la portabilidad.
También habrá que hacer mención en las políticas de privacidad al derecho a retirar el consentimiento (cuando el tratamiento se base en éste) y a presentar una reclamación ante la autoridad de control en materia de protección de datos que resulte competente, así como la forma de ponerse en contacto con ella.
El plazo que tendremos para responder a las solicitudes de ejercicio de los derechos es de un mes.
3 – Encargados de Tratamiento
Lo primero que deberíamos saber es ¿qué es un encargado de tratamiento?. Esta figura se define en el RGPD como “la persona física o jurídica que trate datos personales por cuenta del responsable del tratamiento” .
Se trata por tanto, de un tercero (proveedor) que está tratando los datos por cuenta de aquel que determina los fines y medios del tratamiento (responsable del tratamiento).
Para que lo entendamos fácilmente, se trataría de un proveedor que nos presta servicios y en esa prestación de servicios accede o trata los datos personales de los que somos responsables (Ej. Pacientes, empleados, …etc).
Vamos a ver algunos ejemplos en los que seguro que lo apreciaremos más claramente:
Ejemplo 1:
– Responsable de Tratamiento: Clínica
– Encargado de Tratamiento: Empresa externa que nos presta servicios de mantenimiento informático.
Ejemplo 2:
– Responsable del tratamiento: Hospital
– Encargado de Tratamiento: Laboratorio de análisis clínico que presta el servicio para el hospital, en régimen de subcontratación.
Evidentemente este panorama no siempre es sencillo ya que las prácticas actuales del sector nos conduce a que existan verdaderas dificultades para determinar quién es el responsable de un tratamiento y quien es el encargado.
Ahora que ya sabemos qué es un encargado de tratamiento nos toca saber cuales son los requisitos y obligaciones que establece la Ley para estos casos:
Firmar un contrato o acuerdo de tratamiento de datos.
El Encargado debe ofrecer garantías que acrediten que el tratamiento que va a realizará se efectuará conforme a los requisitos del RGPD.
4 – Análisis de Riesgo
Desde la entrada en vigor del RGPD, se requiere la realización de un análisis de riesgos para poder determinar las medidas técnicas y organizativas que deberás aplicar al tratamiento de los datos personales.
Según la Guía publicada por la Agencia Española de Protección de Datos que puedes consultar aquí:
Pincha aquí —> GUÍA ÁNALISIS DE RIESGOS AEPD
Si el tratamiento de los datos entraña un riesgo bajo, bastará con utilizar la herramienta facilita:
Accede aquí —> HERRAMIENTA FACILITA RGPD AEPD
Sin embargo, en el caso del sector sanitario deberá acudirse siempre a la realización de un análisis y evaluación de riesgos, así pues ya tengamos una simple consulta con un solo profesional sanitario o gestionemos un hospital, estaremos obligados a realizar este análisis de riesgos como paso previo a la implantación de las medidas técnicas y organizativas.
5 – Registro de Actividades de Tratamiento
El RGPD obliga en determinados supuestos a llevar un Registro de Actividades de Tratamiento (RAT) en el que se incluya al menos la siguiente información sobre cada uno de los tratamientos:
– Nombre y datos de contacto del responsable del tratamiento y en su caso del delegado de protección de datos.
– Fines del tratamiento.
– Descripción de las categoría de interesados y de las categorías de datos personales tratados.
– Las categorías de destinatarios.
– En el caso de transferencias a un tercer país, la identificación del destinatario y garantías.
RGPDdoctor
Análisis e implantación del Reglamento General de Protección de Datos RGPD en el Ámbito Sanitario y Salud
| Consultas Médicas | Clínicas | Hospitales | Farmacias | Centros Sanitarios
Servicios Especializados de RPGDdoctor
Esto es lo que podemos hacer por ti desde nuestro portal especializado en Protección de Datos
CONSULTAS MÉDICAS, DESPACHOS Y GABINETES
NO LO DUDES
¡¡¡Totalmente Garantizado!!!
CLÍNICAS PRIVADAS
TE IMPLANTAMOS
HOSPITALES
!!!Más de 15 años de experiencia!!!
RGPDdoctor
6 – Evaluación de Impacto sobre Protección de Datos
Cuando se considere que un tratamiento de datos personales puede conllevar un alto riesgo para los derechos y libertades de los interesados, deberá realizarse una Evaluación de impacto sobre protección de datos. Para ello podrá utilizarse la Guía práctica publicada por la AEPD que podrás encontrar en este enlace:
Pincha aquí —> GUÍA EVALUACIONES DE IMPACTO
Según el RGPD, se deberá realizar una Evaluación de Impacto sobre Protección de Datos (EIPD) en los siguientes supuestos:
– Elaboración de perfiles sobre cuya base se tomen decisiones que produzcan efectos jurídicos sobre los interesados o que les afecten significativamente de modo similar.
– Tratamientos a gran escala de datos sensibles.
– Observación sistemática a gran escala de una zona de acceso público.
En el sector sanitario los hospitales están obligados a realizar una EIPD ya que realizan tratamientos de datos sensibles a gran escala.
7 – El Delegado de Protección de Datos – DPD
El RGPD establece la figura del Delegado de Protección de Datos que será obligatorio en los siguientes supuestos:
– Autoridades y organismos públicos.
– Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
– Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
Además el proyecto de reforma de la LOPD detalla algunos supuestos concretos en los que será obligatorio la figura del DPD.
a) Los colegios profesionales y sus consejos generales.
b) Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación, así como las Universidades públicas y privadas.
c) Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica, cuando traten habitual y sistemáticamente datos personales a gran escala.
d) Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio.
e) Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito.
f) Los establecimientos financieros de crédito.
g) Las entidades aseguradoras y reaseguradoras.
h) Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
i) Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
j) Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude, incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
k) Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
m) Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas.
n) Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos, conforme a la normativa de regulación del juego.
ñ) Las empresas de seguridad privada.
o) Las federaciones deportivas cuando traten datos de menores de edad.”
Como podemos comprobar esta obligación afecta de pleno al sector sanitario ya que según la regulación actual del RGPD un hospital debe contar de forma obligatoria con un Delegado de Protección de Datos y una vez que se apruebe la reforma de la LOPD también estarán obligados a disponer de ella todos los centros sanitarios que estén obligados a disponer de historia clínica excepto los profesionales sanitarios que ejerzan a título individual (Ej. Consultas médicas)
En otro artículo detallaremos la figura del DPD, sus requisitos y obligaciones, pero si conviene adelantar que para que un DPD pueda ser considerado como tal deberá disponer de conocimientos en derecho y práctica en materia de protección de datos, existiendo en la actualidad un esquema de certificación para DPD aprobado por la Agencia Española de Protección de Datos.
Portal de referencia en RGPD y protección de datos para
Centros Sanitarios de España
RGPDdoctor
Servicios Especializados de RPGDdoctor
Esto es lo que podemos hacer por ti desde nuestro portal especializado en Protección de Datos
CONSULTAS MÉDICAS, DESPACHOS Y GABINETES
NO LO DUDES
¡¡¡Totalmente Garantizado!!!
CLÍNICAS PRIVADAS
TE IMPLANTAMOS
HOSPITALES
!!!Más de 15 años de experiencia!!!
RGPDdoctor
8 – Las Medidas Técnicas y Organizativas
La obligaciones en materia de seguridad también cambian de forma sustancial, especialmente en cuanto al enfoque, encontrándonos en el RGPD una visión mucho más proactiva y ajustada a cada caso concreto.
Con el régimen legal anterior, disponíamos de una norma donde se detallaban las medidas de seguridad que debíamos aplicar según los niveles de datos que se trataban (básico, medio y alto) .
Ahora con el RGPD esos tres niveles desaparecen (únicamente se distinguen entre los datos de categoría especial y el resto de datos) y las medidas de seguridad se deben adoptar según los siguientes criterios:
– Estado de la técnica
– Costes de aplicación
– Naturaleza, alcance, contexto y fines del tratamiento
– Riesgos de probabilidad y gravedad para los derechos y libertades de las personas.
El objetivo de estas medidas debe ser el de garantizar un nivel adecuado de riesgo.
Por tanto, para poder implantar unas medidas de seguridad eficaces deberá realizarse previamente el Análisis de Riesgos y éste deberá indicarnos las medidas a implantar para garantizar la seguridad de los datos.
¿Esto significa que no podemos utilizar las antiguas medidas de seguridad del RD 1720/2007?
En absoluto, esas medidas podrán servirnos de guías u orientación pero no podremos tomarlas ya como un listado cerrado o catálogo de medidas que hay que cumplir sí o sí. Podrán ser esas u otras las que debamos aplicar a nuestro caso concreto según el resultado de nuestro análisis de riesgos.
9 – Notificaciones de Violaciones de Seguridad de los datos
El nuevo RGPD nos obliga a comunicar a la AEPD en el plazo máximo de 72h las violaciones de seguridad que supongan un riesgo para los derechos y libertades de los afectados.
Se considera violación de seguridad “todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
Por tanto, si en nuestra clínica sufrimos una pérdida o robo de información de nuestros clientes, nos veremos obligados a comunicar esta circunstancia a la AEPD en un plazo máximo de 72h.
La AEPD dispone de una guía para la gestión y notificación de brechas de seguridad:
Enlace aquí —> GUÍA BRECHA DE SEGURIDAD
Y un mecanismo específico para la realización de estas notificaciones:
Pincha aquí —> NOTIFICACIÓN BRECHAS DE SEGURIDAD
Hasta aquí este pequeño resumen con las principales novedades del RGPD. En esta web encontrarás información detallada sobre la incidencia de esta normativa en el sector sanitario. RGPDdoctor.
Suscríbete al blog más especializado en RGPD para el Sector del Ámbito Sanitario
Toda la información necesaria para estar totalmente adaptado al nuevo Reglamento General de Protección de Datos en Consultas Médicas, Clínicas y Hospitales. Somos Especialistas en Centros Sanitarios más de 15 años
el blog más especializado en rgpd para el sector sanitario
Nuestras entradas más visitadas
Acceso Historia Clínica Padres Separados
¿Cuándo pueden acceder los padres divorciados a las historias clínicas de sus hijos? Se suele dar con cierta frecuencia que los profesionales sanitarios que atienden
Tratamiento de datos en la historia clínica:
TODO lo que debes saber.
DECÁLOGO DEL TRATAMIENTO DE DATOS EN LA HISTORIA CLÍNICA. ¿Sabes si tienes que pedir el consentimiento para el tratamiento de los datos personales de tus
GRACIAS POR DAR VUESTRA VIDA POR NOSOTROS
GRACIAS POR DAR VUESTRA VIDA POR NOSOTROS. Cuando hablamos de un héroe normalmente nos referimos a un personaje principal de alguna película o saga que