¿Quieres saber si estás obligado a nombrar un Delegado de Protección de Datos?, ¿tiene que ser alguien externo?, ¿puede ser el gerente de la clínica o el hospital? …
En este post trataremos de ayudarte a resolver todas las dudas que plantea esta misteriosa figura que ha introducido el RGPD.
RGPDdoctor te trae en este post...
1.- Empezamos por el principio, ¿Qué es un Delegado de Protección de Datos?
Un Delegado de Protección de Datos (DPD) o “Data Protection Officer” (DPO) Es el responsable de velar por el cumplimiento de la normativa sobre protección de datos en la organización.
En otras palabras, el que va a supervisar, vigilar y controlar que la normativa sobre protección de datos se cumple en nuestra clínica u hospital.
Es importante tener en cuenta que no responde personalmente del cumplimiento de las obligaciones, es decir en caso de una sanción ésta no recaería sobre el DPD sino sobre la entidad para la que presta sus funciones
2.- ¿Es obligatorio para mi clínica? Todos los supuestos en los que es obligatorio un DPD para el sector sanitario.
Llega el momento de ponerse en plan “rollo jurídico” prometo que será poco, pero es estrictamente necesario para que tener claro cuando es obligatorio contar con un DPD.
El RGPD establece en su Art. 37 la obligatoriedad de nombrar un Delegado de Protección de Datos, cuando se den determinadas circunstancias y al sector salud nos toca de pleno cuando dice lo siguiente:
“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:
c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”
Debemos recordar que entre los datos de categoría especial que se detallan en el art. 9 del RGPD se incluyen los datos de salud, por tanto, a priori todo el sector sanitario queda afectado por esta obligación.
Pero si leemos con detalle el artículo 37.1 C) Nos damos cuenta de que los requisitos para tener que nombrar un DPD son en realidad tres:
1.- Que tratemos datos a gran escala
2.- Que los datos tratados sean de categoría especial (datos de salud)
3.- Que estemos en el marco de nuestra actividad principal.
De estos tres requisitos, el dos y el tres parecen claros ¿pero y el número uno? ¿Qué es eso de datos a gran escala?
Pues sinceramente esa es la pregunta del millón, ni el RGPD ni la Agencia de Protección de Datos nos indican de manera exacta cual es la cantidad de datos que se consideran a gran escala, la doctrina en este punto se limita a indicarnos que dependerá de cada caso concreto.
2.a- ¿Tienes dudas sobre que dice la nueva ley LOPDGDD?
Sin embargo, para evitar estas dudas la nueva LOPD (ahora se llama LOPDGDD) si que ha venido a aclararnos un poco más este punto, estableciendo muy claramente un listado de entidades que sí o sí están obligadas a disponer de DPD.
Así en el art. 34 de la nueva LOPDGDD nos encontramos lo siguiente:
“1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:
l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.”
Vamos mejorando, ya tenemos claro que los profesionales de la salud que ejerzan su actividad a título individual no tienen la obligación de contar con un DPD. ¿Pero y el resto? ¿Que debemos entender por centros sanitarios obligados al mantenimiento de las historias clínicas?
2.b- ¿Cómo resolvemos esto?
Para resolver esta última cuestión tenemos que acudir a dos normas diferentes:
a) En primer lugar debemos comprobar quien está obligado a mantener una historia clínica. Si examinamos el artículo 17 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, nos indica que “Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad”
Esto nos deja casi igual que estábamos, pero al menos nos refuerza la obligación de que todo aquel que sea considerado centro sanitario debe contar con historia clínica y por tanto con DPD.
Por lo tanto, ya solo nos queda determinar ¿qué es un centro sanitario? y para averiguarlo acudimos a la segunda norma.
b) EL R.D. 1227/2003 de 10 de octubre, por el que se establecen las bases generales sobre autorización de centros, servicios y establecimientos sanitarios, define a los centros sanitarios en su Art. 2.1.a) como “conjunto organizado de medios técnicos e instalaciones en el que profesionales capacitados, por su titulación oficial o habilitación profesional, realizan básicamente actividades sanitarias con el fin de mejorar la salud de las personas. Los centros sanitarios pueden estar integrados por uno o varios servicios sanitarios, que constituyen su oferta asistencial.”
Si además, nos vamos al Anexo I y Anexo II, ya si que encontraremos el listado completo y detallado de lo que la legislación española actual considera como centro sanitario.
2.c- Centros Sanitarios
C.1 Hospitales (centros con internamiento).
– C.1.1 Hospitales generales.
– C.1.2 Hospitales especializados.
– C.1.3 Hospitales de media y larga estancia.
– C.1.4 Hospitales de salud mental y tratamiento de toxicomanías
– C.1.90 Otros centros con internamiento
C.2 Proveedores de asistencia sanitaria sin internamiento
– C.2.1 Consultas médicas.
– C.2.2 Consultas de otros profesionales sanitarios.
– C.2.3 Centros de atención primaria
– C.2.3.1 Centros de salud
– C.2.3.2 Consultorios de atención primaria
– C.2.4 Centros Polivalentes
– C.2.5 Centros Especializados
– C.2.5.1 Clínicas dentales
– C.2.5.2 Centros de reproducción humana asistida
– C.2.5.3 Centros de interrupción voluntaria del embarazo
– C.2.5.4 Centros de cirugía mayor ambulatoria
– C.2.5.5 Centros de diálisis
– C.2.5.6 Centros de diagnóstico.
– C.2.5.7 Centros móviles de asistencia sanitaria
– C.2.5.8 Centros de transfusión.
– C.2.5.9 Bancos de tejidos.
– C.2.5.10 Centros de reconocimiento médico.
– C.2.5.11 Centros de salud mental.
– C.2.5.90 Otros centros especializados.
– C.2.90 Otros proveedores de asistencia sanitaria sin Internamiento.
C.3 Servicios sanitarios integrados en una organización no sanitaria
Así pues, si legalmente te encuentras incluido en el listado anterior (salvo las consultas de médicos individuales) tendrás la obligación de contar con un Delegado de Protección de Datos.
En contraposición a este listado, quien claramente no está obligado a disponer de un DPD son lo que en este decreto se califican como Establecimientos Sanitarios (oficinas de farmacia, botiquines, ópticas, ortopedias y establecimientos de audioprótesis), además de los ya mencionados profesionales sanitarios que ejerzan su profesión a título individual.
3.- Los requisitos que debe cumplir el DPD ¿porqué no vale cualquiera?
Seguro que a estas alturas de la película alguno está pensando, pues vale si necesito un DPD me nombro yo mismo o nombro a mi primo que es informático y entiende mucho de ordenadores o a mi cuñado, o al amigo de un amigo …etc.
Meeec, ¡Error! A continuación, te detallaré algunos de los motivos por los que no podrás confiar en cualquiera para que sea tu DPD.
1º.- El Art. 37.5 del RGPD establece que “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39.”
Vale que a priori no parece una gran declaración, pero si la analizamos con detalle veremos que tiene más transcendencia de la que aparenta. En primer lugar, nos está indicando que el DPD debe tener conocimientos especializados en el Derecho y la práctica de la protección de datos, por tanto, la Ley no busca especialistas en informática ni en seguridad informática. Si no tienen conocimientos en derecho de la protección de datos, es como si elegimos a un fontanero para que nos opere el corazón.
3.a- ¿Y si elegimos mal a nuestro DPD?
Porque no nos engañemos, si elegimos mal a nuestro DPD ese será el efecto que cause a ojos de la Agencia de Protección de Datos, que hemos elegido a alguien inadecuado para realizar esas funciones y por tanto los únicos responsables del resultado seremos nosotros por haber hecho una elección errónea. Así que ojo con quien elegimos.
2º.- La Directriz WP 243 del Grupo de Trabajo del Art. 29 (Unión Europea) sobre los Delegados de protección de Datos, establece los cargos sobre los que existiría un conflicto de intereses y que por tanto no podrían actuar como DPD, así se citan expresamente al “director general, director de operaciones, director financiero, director médico, jefe del departamento de mercadotecnia, jefe de recursos humanos o director del departamento de TI pero también otros cargos inferiores en la estructura organizativa si tales cargos o puestos llevan a la determinación de los fines y medios del tratamiento”
3º.- El art. 35 de la nueva LOPDGDD establece lo siguiente respecto a la cualificación del Delegado de Protección de Datos:
“El cumplimiento de los requisitos establecidos en el artículo 37.5 del Reglamento (UE) 2016/679 para la designación del delegado de protección de datos, sea persona física o jurídica, podrá demostrarse, entre otros medios, a través de mecanismos voluntarios de certificación que tendrán particularmente en cuenta la obtención de una titulación universitaria que acredite conocimientos especializados en el derecho y la práctica en materia de protección de datos.”
3.b- ¿Qué son esos mecanismos voluntarios de certificación?
Pues básicamente una certificación individual para DPD cuyo esquema de certificación ha sido desarrollado y aprobado por la AEPD y que en recientes meses ha comenzado a dar sus frutos mediante la acreditación de las entidades que podrán certificar a los futuros DPD, así que como mínimo y en caso de duda sobre la cualificación profesional del DPD siempre nos quedará la posibilidad de acudir a estos certificados voluntarios para acreditar que la persona posee los conocimientos suficientes para desempeñar el cargo.
También podemos destacar los siguientes aspectos sobre la figura del DPD:
– Puede ser externo o interno. Por tanto, podría ser alguien contratado mediante relación mercantil o laboral
– Puede ser una persona física o jurídica. Evidentemente si la designación recae sobre una empresa, las funciones efectivas de DPD deben recaer sobre una persona o grupo de personas que cumplan los requerimientos de la normativa.
– Tiene independencia y reporta a la dirección. No debe verse influenciado ni tener conflicto de intereses.
– Puede desempeñar sus funciones a tiempo completo o a tiempo parcial. No se trata de determinar un número de horas sino de hacer su trabajo de forma efectiva
– Puede ser compartido entre varias entidades de forma un grupo de clínicas u hospitales designen un mismo DPD.
4.- Las Funciones del DPD
Hasta ahora hemos visto que es un Delegado de Protección de Datos, cuando es obligatorio, quien puede ser DPD, pero en realidad ¿a que se dedica? ¿Cuáles son sus funciones? Vamos a examinar muy brevemente cuales son las funciones y obligaciones que le otorga el RGPD y la LOPDGDD.
A.- Informa y asesora a la entidad y a sus empleados sobre las obligaciones en materia de protección de datos y la legislación aplicable
B.- Supervisa el cumplimiento de la normativa incluido la asignación de funciones y la formación.
C.- Asesora en la realización de Evaluaciones de Impacto sobre protección de datos
D.- Actúa como interlocutor de la entidad ante la AEPD
E.- Atiende las reclamaciones previas de los interesados
F.- Atiende en primera instancia las reclamaciones contra la entidad presentadas ante la AEPD, debiendo dar respuesta en el plazo de un mes
G.- Sus datos de contacto deben ser públicos para que los interesados puedan contactar con él.
H.- Debe notificarse su nombramiento a la Agencia Española de Protección de Datos (AEPD)
I.- No es responsable de los incumplimientos de la normativa de la entidad para la que presta sus servicios
5.- En resumen
En este artículo hemos visto que es un Delegado de Protección de Datos, cuando es obligatorio, quien puede ejercer de DPD y cuales son sus funciones y todo eso está muy bien.
Pero al final, lo más importante de todo es que puedas dormir tranquilo, que puedas dedicarte a gestionar tu consulta, clínica u hospital e intentar dormir tranquilo por las noches o al menos intentarlo.
Por eso nuestro mejor consejo es que lo dejes en manos de auténticos especialistas, si somos nosotros fantástico, será un honor poder trabajar contigo, pero si decides confiar en otros, asegúrate que de verdad saben lo que se hacen porque como ya has visto no es algo para tomárselo a broma.
Si tienes cualquier otra pregunta o necesitas más información no dudes en contactar con nosotros.