microlabhard s.l.
10Jul

RGPD: principales obligaciones de los centros sanitarios

El concepto de centro sanitario se refiere cualquier organización en la que se realicen actividades sanitarias dirigidas a la prevención, diagnóstico, tratamiento y rehabilitación de pacientes, por lo que comprende centros tan diferentes como un gabinete psicológico, una clínica de fisioterapia o un centro de salud.

El Reglamento (UE) 2016/679, General de Protección de Datos (RGPD), junto con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD), establecen el marco normativo en materia de protección de datos a nivel nacional, previendo estrictas obligaciones para esta clase de organizaciones que, durante el desarrollo normal de su actividad, tratan datos relativos a la salud de las personas. Por esta razón y con el objetivo de proporcionar una visión global sobre las responsabilidades en materia de privacidad, desde el departamento legal de MICROLAB hemos recopilado los aspectos clave que deben tener en cuenta los centros sanitarios en relación con la protección de datos.

El registro de actividades del tratamiento

Sí, la correcta llevanza de un registro de actividades del tratamiento es obligatoria cuando se tratan categorías especiales de datos, con independencia de que el responsable del tratamiento sea un profesional persona física o una organización.

Por tanto, tanto los centros como los profesionales sanitarios que desarrollen su actividad a título individual deben llevar un registro de actividades del tratamiento, donde se detallen los términos y características del tratamiento, y como mínimo:

  • el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos;
  • los fines del tratamiento;
  • una descripción de las categorías de interesados y de las categorías de datos personales;
  • las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales;
  • en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional;
  • cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
  • cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad

Análisis de los riesgos del tratamiento

Es obligatorio realizar un análisis sobre todos los tratamientos de datos realizados por el responsable (pacientes, proveedores, empleados, contactos…) que identifique los posibles riesgos para los derechos y libertades de los interesados, así como las medidas para mitigarlos. El análisis de riesgos es una evaluación sistemática que tiene como finalidad identificar las amenazas potenciales que pueden afectar a los datos personales tratados, valorar la probabilidad de que ocurran y el impacto que tendrían, y determinar las medidas de seguridad necesarias para prevenir o mitigar esos riesgos.

De acuerdo con el principio de responsabilidad proactiva, los responsables del tratamiento (ya sea un centro sanitario o un profesional que actúa de forma independiente) deben ser capaces de demostrar que aplican medidas adecuadas para garantizar el cumplimiento de la normativa. Esto incluye la realización de un análisis de riesgos previo al tratamiento de datos, que deberá de estar documentado. Además, de forma periódica se deberán de revisar el análisis de riesgos y las medidas técnicas y organizativas implementadas, con la finalidad de actualizar su contenido y revisar su aplicación.

Este proceso debe formar parte del ciclo de vida del tratamiento de datos y actualizarse siempre que cambien las condiciones del tratamiento (nuevos servicios, herramientas digitales, incorporación de nuevos pacientes, etc.).

La obligación de realizar una evaluación de impacto

El RGPD recoge en su artículo 35 la obligación de realizar una evaluación de impacto, con carácter general, cuando del análisis de riesgos se desprenda un alto riesgo para los derechos y libertades de los interesados, en especial cuando se utilicen nuevas tecnologías para el tratamiento. Por su parte, la Agencia Española de Protección de Datos ha publicado una lista de tratamientos que por su naturaleza requieren una evaluación de impacto, entre los que destacan:

  • Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de forma inequívoca a las personas.
  • Tratamiento de datos genéticos.
  • Tratamientos que impliquen la utilización de nuevas tecnologías o el uso innovador de tecnologías ya consolidadas.

Esta evaluación de impacto deberá incluir, como mínimo, una descripción de las operaciones de tratamiento previstas y de los fines del tratamiento y una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad. Además, deberá contener una evaluación de los riesgos identificados, así como las medidas previstas para afrontar y mitigar dichos riesgos, incluidas garantías, medidas de seguridad y mecanismos que garanticen la protección de los datos personales.

¿Qué medidas de seguridad es necesario aplicar a los datos?

Al tratar datos de salud, los centros sanitarios deben aplicar medidas estrictas que garanticen la seguridad y confidencialidad de los datos. Entre ellas se incluyen:

Control de accesos: el responsable del tratamiento debe garantizar que únicamente las personas autorizadas tengan acceso a los datos personales y, en definitiva, a las historias clínicas. Además, se debe realizar un registro de accesos a la información, que documente quién ha accedido a la información de la historia clínica de un paciente, cuándo y por qué.

Cifrado de los datos: cuando la información vaya a salir del centro, es preciso que la información se encuentre cifrada, tanto en tránsito como en reposo, de tal manera que se garantice su ilegibilidad en caso de ser interceptada por terceros no autorizados.

Esta obligación es aplicable a cualquier servicio en la nube (como, por ejemplo, servicios de backup o softwares de gestión de la historia clínica), pero es igualmente aplicable cuando la información es transportada por el profesional sanitario en un soporte físico, como un ordenador portátil o un disco duro. En este último supuesto, se deberá proceder al cifrado del dispositivo a través de herramientas seguras.

Copias de seguridad periódicas: la finalidad de la copia de seguridad es la de garantizar la disponibilidad de los datos en casos de perder el acceso a la copia original. El Instituto Nacional de Ciberseguridad (INCIBE) recomienda la regla del 3-2-1 para las copias de seguridad, que implica tener tres copias de los datos, dos almacenadas localmente y una offsite. Además, sugiere que las copias de seguridad se realicen con frecuencia y en soportes distintos, y que se verifiquen para asegurar su integridad y posibilidad de restauración.

Actualización de software y antivirus. Los profesionales deben actualizar el software y antivirus regularmente para proteger sus sistemas de amenazas externas. Las actualizaciones incluyen parches de seguridad que resuelven fallos y vulnerabilidades que pueden ser explotadas por tecnologías como malware, ransomware y otros ciberataques.

Políticas internas de privacidad y confidencialidad. Las organizaciones deben dotarse de políticas internas que establezcan un marco dentro de una organización para el tratamiento de los datos. Estas políticas deben definir los principios, procedimientos y medidas de seguridad necesarias para cumplir con la normativa aplicable y proteger los derechos de los interesados. En esencia, su objetivo es garantizar que los datos personales sean tratados de manera legítima, transparente y conforme a la normativa.

Contraseñas robustas y cambios regulares. Una de las medidas técnicas básicas para garantizar la confidencialidad de los datos. Las organizaciones y profesionales del sector sanitario deben implementar protocolos para establecer la caducidad de la contraseña, al menos una vez al año. Las contraseñas deben de ser además alfanuméricas y de ocho dígitos de extensión, como mínimo. En caso de pérdida de la contraseña, se deberán establecer procedimientos para su recuperación segura a través del administrador del sistema o métodos de autenticación que ofrezcan garantías.

¿Cuándo es necesario nombrar un delegado de protección de datos?

El delegado de protección de datos es una figura que se encarga de velar por el cumplimiento de la normativa de protección de datos a todos los niveles dentro de la organización. Esta figura, que puede ser interna o externa, debe ser conocedora del Derecho y la práctica en materia de protección de datos.

La LOPD-GDD afirma que deberán designar a un delegado de protección de datos aquellos centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Sin embargo, el mismo artículo exceptúa a los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

En definitiva, tendrán la obligación de designar un delegado de protección de datos los centros sanitarios y, por el contrario, no estarán obligados los profesionales que ejerzan su actividad a título individual.

En un entorno tan sensible como el sanitario, la protección de los datos personales no puede entenderse como un mero trámite administrativo. Es una obligación legal, sí, pero también una responsabilidad ética con los pacientes. Cumplir con el RGPD y la LOPD-GDD implica establecer medidas reales y eficaces que garanticen la privacidad y seguridad de la información, así como promover una cultura de cumplimiento dentro de cada centro o consulta.

En Microlab, ayudamos a centros sanitarios y profesionales del sector a implementar sistemas de protección de datos ajustados a la normativa, desde el análisis de riesgos hasta la redacción de políticas internas y la adopción de medidas técnicas avanzadas. Si gestionas datos de salud y necesitas apoyo para cumplir con tus obligaciones legales, contáctanos. Te acompañamos en el camino hacia una gestión responsable y segura de la información de tus pacientes.

Share this post

Related Posts

La importancia del consentimiento para publicar imágenes de clientes en redes sociales según el RGPD

En la actualidad, las redes sociales se han convertido en...

07/11/2024
¿Qué son las cookies?
¿Para qué sirven las cookies?

Las cookies están presentes en todas las páginas webs por...

03/02/2022
Requisitos y responsabilidades de las empresas según la LOPD y el RGPD
Requisitos y responsabilidades de las empresas según la LOPD y el RGPD

En un mundo digital cada vez más expansivo, la protección...

20/06/2024
denuncia policia
Apercibida la Dirección General de Policía por el uso del teléfono particular de un agente

El pasado junio de 2021, en una concentración convocada por...

20/10/2022
Sancionan a una empresa por enviar publicidad a exempleados de sus clientes

Una reciente resolución de la Agencia Española de Protección de...

01/02/2024
Leyes y directrices en el email marketing Cómo cumplirlas
Leyes y directrices en el email marketing: ¿Cómo cumplirlas?

El email marketing es una poderosa herramienta para las empresas...

09/05/2024
Un ciberataque a los sistemas de la Administración Pública
Un ciberataque a los sistemas de la Administración Pública causa el robo de datos de miles de ciudadanos

Un ciberataque dirigido contra la red del

17/11/2022
Comienzan las filtraciones de datos de los pacientes del Hospital Clinic

El pasado 5 de marzo el Hospital Clinic de...

20/04/2023
sanciona a la Consejería de Salud
La AEPD sanciona a la Consejería de Salud de una CCAA por un fallo en el sistema “AUTOCITA”

La crisis de la COVID 19 provocó la saturación del...

10/11/2022
Sancionan a una inmobiliaria por no informar a un potencial inquilino del tratamiento de sus datos
Sancionan a una inmobiliaria por no informar a un potencial inquilino del tratamiento de sus datos

La Agencia Española de Protección de Datos...

29/09/2022