Cómo afecta a la asistencia sanitaria el nuevo Reglamento General de Protección de Datos  02-04-2018

El próximo 25 de mayo de 2018 será de obligado cumplimiento el Nuevo Reglamento General de Protección de Datos (RGPD), el cual denomina especialmente protegidos a los datos relativos a la salud física o mental de las personas físicas, incluyendo la prestación de servicios de atención sanitaria que revelen información sobre el estado de la salud de las mismas sobre enfermedad, discapacidad, riesgo de padecer enfermedad, historial médico o tratamiento clínico del interesado, independientemente de que la fuente emisora sea el médico, un profesional sanitario o el hospital.
Con la llegada de la nueva normativa, se introducen algunas novedades sobre uno de los principios básicos para el tratamiento de los datos personales: el consentimiento. Desaparece el consentimiento tácito y se exige que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco, requiriendo por tanto una declaración explícita del o de los interesados, o una acción positiva. El RGPD incluye los datos concernientes a la salud entre los datos de naturaleza especial, incluyendo también los datos genéticos y biométricos en esa categoría.
Medidas en función del riesgo

La normativa, aunque no establece medidas de seguridad por niveles, sí prevé que se apliquen medidas en función del riesgo y, para el caso que nos atañe, el tratamiento de datos sobre la salud de las personas físicas, los riesgos son elevados, por lo que las medidas organizativas y de seguridad se diseñarán conforme a dicho riesgo.
Entre las principales medidas a plantear, la Evaluación de Impacto o Análisis de Riesgo, que permitirá a los responsables tomar las medidas adecuadas para reducir dichos riesgos plasmándolos en un documento de seguridad o protocolo. Otra medida será el Registro de Actividades de tratamiento que obliga a los responsables o encargados de forma obligatoria, cuando nos referimos a datos relacionados con la salud, con independencia o no de tener más o menos de 250 empleados, como se exige para otros sectores. Asimismo, es preciso mantener ese Registro de Actividades. Por último, las entidades sanitarias deberán contar con un Delegado de Protección de Datos (DPO). El DPO será el encargado de revisar las políticas de custodia, destrucción de historias clínicas, controlar la cesión de datos a laboratorios o compañías aseguradoras, además de establecer las políticas de seguridad informática.

Los centros sanitarios estarán legalmente obligados al mantenimiento de las historias clínicas de los pacientes durante cinco años, contando desde el alta de cada proceso asistencial, con lo cual tendrán que nombrar un DPO y comunicar este nombramiento a la Agencia Española de Protección de Datos.

Con esta nueva normativa, explican desde Aemol Consulting, los cambios y exigencias necesarias de adaptación en materia de protección de datos, ofrecerán una gran oportunidad a los centros sanitarios para actualizar sus sistemas de información, medidas de seguridad, así como la revisión de sus protocolos en beneficio de sus pacientes quienes verán mejor salvaguardada su intimidad y confidencialidad de sus datos.
Vanesa González
Responsable Departamento de Soporte de Aemol Consulting
Noticia original