¿Cómo evitar sanciones de protección de datos en entornos médicos?

¿Cómo evitar sanciones de protección de datos en entornos médicos?

Consejos legales para evitar sanciones en entornos médicos con la nueva regulación normativa europea en materia de protección de datos. ¿Cómo afecta la protección de datos en los entornos médicos digitales? ¿En qué consisten estas sanciones? Conoce la solución legal de Letslaw y los protocolos de actuación más eficaces

El nuevo Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, también conocido como Reglamento General de Protección de Datos, configura un nuevo sistema de protección para los datos personales de todos los usuarios.

¿Cómo afecta la protección de datos en los entornos médicos digitales?

Debemos tener en consideración que los entornos médicos requieren de una diligencia particular debido a que los datos relativos a la salud de las personas, es decir, aquellos que se refieren al estado de salud del usuario y que dan información sobre su estado de salud física o mental ya sea pasado, presente o futuro, tienen una protección especial.

Esto es así por una razón, y esta es que la mayoría de entornos médicos online tratan datos de salud que el Reglamento General de Protección de Datos denomina como categorías especiales de datos.

Los datos que el Reglamento General de Protección de Datos define como “especiales”, en su artículo 9, son los siguientes:

• Datos de origen étnico o racial.
• Opiniones políticas.
• Convicciones religiosas o filosóficas.
• Afiliación sindical.
• Datos genéticos
• Datos biométricos dirigidos a identificar de manera unívoca a una persona física.
• Los datos relativos a la salud.
• Los datos relativos a la vida sexual a las orientaciones sexuales.
• Los datos relativos a condenas e infracciones penales o medidas conexas.

La característica más importante para obtener el consentimiento de los usuarios para las categorías especiales de datos es el que debe otorgarse lo denominado por el Reglamento General de Protección de Datos como “consentimiento explícito”. Según el Grupo de trabajo del artículo 29, este tipo de consentimiento podrá suponer, por ejemplo, la necesidad de rellenar un formulario electrónico, utilizar la firma electrónica o enviar un documento escaneado con la firma del usuario.

Por lo tanto, el requisito “explícito” supondrá además para el responsable del fichero, dentro de los entornos médicos digitales, una serie de esfuerzos adicionales para asegurar la identidad del usuario que presta su consentimiento.

¿En qué consisten estas sanciones?

Las sanciones que se pudieran imponer en materia de protección de datos varían sustancialmente desde la entrada el 25 de mayo del 2018 del nuevo Reglamento General de Protección de Datos.

Las empresas que traten datos en entornos médicos online podrían llegar a enfrentarse a multas administrativa de hasta 20.000.000 de euros o, incluso al 4% del volumen de negocio total anual global del ejercicio financiero anterior, siempre que este sea de mayor cuantía.

¿Cómo evitar sanciones de protección de datos?

Para evitar este tipo de sanciones, las empresas que trabajen en entornos médicos digitales deberán realizar un análisis de riesgos, para así poder evaluar correctamente el tratamiento de datos que se está realizando.

Se plantea incluso la necesidad de que las empresas que traten este tipo de datos no realicen únicamente un análisis de riesgos en materia de protección de datos, sino un análisis de riesgos en un entorno de Corporate Compliance, de forma que se analicen todas las implicaciones existentes .

Además, es muy importante adecuar la empresa al nuevo RGPD, teniendo en cuenta que esta va a tratar categorías especiales de datos. Es decir, habrá que obtener el consentimiento explícito de los usuarios e implementar unas medidas de seguridad adecuadas para el tratamiento de este tipo de datos personales.

Por último, y con el objetivo de evitar sanciones, habrá que cumplir con la nueva regulación en su totalidad, incluyendo la necesidad de dar la posibilidad al usuario de ejercitar sus derechos de acceso, rectificación, supresión, oposición, derecho al olvido, derecho a la portabilidad y derecho a la limitación del tratamiento de sus datos personales.

Del mismo modo, es fundamental, en el caso de empresas que traten datos especialmente protegidos, que antes de realizar el pertinente Registro de Actividades, realicen un estudio de si es necesario elaborar una Evaluación de Impacto.

La Evaluación de Impacto debe hacerse en algunos de los supuestos que establece el artículo 35.3 del Reglamento General de Protección de Datos y que describe de forma genérica lo que el legislador ha considerado que puede dar lugar a riesgos elevados.

El tenor literal del artículo establece que “cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías que, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares”.

El RGPD dispone que es el Responsable del tratamiento, con el apoyo del Delegado de Protección de Datos, quien realizará la Evaluación de Impacto.

En el caso de datos médicos, es necesario realizarla de conformidad con lo establecido en la letra a) del artículo 35.3 b) del RGPD, que dispone que la Evaluación de Impacto será necesaria cuando exista “tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10”.

Para más información pincha aquí.