La salud, ya sea en el ámbito privado o público, es un apartado importante dentro del Reglamento General de Protección de Datos (RGPD). No se trata solo del historial médico -datos sensibles-, sino también de nuestros datos de carácter personal.
Si nos fijamos en nuestra tarjeta sanitaria podemos ver los datos personales que nos identifican: nombre, apellidos, DNI... ¿Se comprueba nuestra identidad cuando hacemos uso de ella?
Según señaló la Agencia Española de Protección de Datos (AEPD) en uno de sus informes, "la mayoría de los hospitales públicos españoles no verifican la identidad del paciente ni cuentan con un mecanismo adecuado de borrado, cancelación o bloqueo de datos".
La renovación de estos procesos es indispensable tras la aplicación directa del RGPD el pasado 25 de mayo. El sistema general de salud en España recoge, almacena y trata multitud de datos personales, por tanto, debe adaptarse al nuevo Reglamento europeo.
El RGPD y los datos relativos a la salud
En primer lugar, conviene realizar copias de seguridad de los datos y de los registros de acceso, así como ofrecer información relevante al paciente que garantice la transparencia y la veracidad de la atención sanitaria.
Por otra parte, es recomendable realizar una Evaluación de Impacto de Protección de Datos (EIPD) para, entre otras cosas:
- Describir la planificación de las operaciones de tratamiento de datos y, si procede, su interés legítimo.
- Analizar los riesgos de los derechos y libertades de los interesados.
- Definir las medidas que hay que tomar para el correcto tratamiento de los datos.
- Evaluar la magnitud de las acciones y la finalidad de las mismas.
Además, los centros sanitarios y hospitales deberán realizar estudios -de manera periódica- del nivel de riesgo de los datos y los fallos en los protocolos de seguridad.
Otro de los puntos esenciales es el consentimiento. El RGPD señala que el paciente "debe dar su consentimiento explícito al tratamiento de sus datos". Una buena práctica es revisar cómo se recoge el consentimiento en los centros ya que, probablemente, muchos de ellos tienen que incluir una hoja de autorización -firmada por el interesado- en los historiales y ficheros para su posterior archivo.
Por último, es importante destacar el nuevo derecho a la portabilidad de datos a través del cual el interesado puede solicitar la entrega de su información personal de un responsable del tratamiento de datos a otro.
Si te ha interesado este artículo, no dudes en participar gratis en el seminario web sobre el RGPD, que tendrá lugar el próximo 19 de septiembre a las 16 h.
En él, un consultor experto en la materia y con destacada experiencia internacional hablará sobre:
- Cómo el RGPD afecta a las diferentes industrias.
- Cómo aplicar el RGPD si se quieren expandir el negocio en Europa.
- Por qué es obligatorio cumplirlo en toda la UE.
- Por dónde empezar tu proyecto nacional y europeo en materia RGPD.
- Las claves del Delegado de Protección de Datos (DPD).