Los centros sanitarios deben iniciar el proceso de transición para adaptarse al nuevo Reglamento General de Protección de Datos (RGPD), que será de obligado cumplimiento a partir del próximo 25 de mayo de 2018 y supondrá una revolución para la gestión de los sistemas sanitarios porque marca unas nuevas reglas del juego compartidas para toda la Unión Europea. Así, lo advierten los expertos reunidos en el XXIV Congreso Nacional de Derecho Sanitario, que se celebra en el Colegio Oficial de Médicos de Madrid, organizado por la Asociación Española de Derecho Sanitario (AEDS). El gobierno español aprobará este otoño la nueva LOPD, para la aplicación de esta nueva normativa, presentada durante estas jornadas.
“Nos encontramos en el punto de partida para que los centros sanitarios se adapten al nuevo RGDP. Ahora se va a iniciar un período transitorio durante el cual será necesario formarse, ver si los protocolos de protección de datos actuales son adecuados y qué medidas habría que corregir para adaptarse a esta nueva normativa”, explica Julio Sánchez Fierro, vicepresidente primero de la AEDS. A su juicio, es importante destacar que el RGPD incluye los datos relativos a la salud entre las categorías especiales de datos personales. “Su tratamiento queda, como norma general, vedado, salvo que concurran determinadas circunstancias, en aras de la mayor protección”, apunta. Además, Sánchez Fierro resalta que este RGDP obliga a las empresas sanitarias a contar con un delegado de protección de datos (DPO, por sus siglas en inglés) que será quien “documente, y cree evidencias de la gestión global de la privacidad”.
A nivel normativo, la adaptación al RGPD exige el impulso de una nueva ley orgánica que reemplace a la actual de 1999. “Puesto que la norma europea resulta directamente aplicable (a diferencia de la directiva transpuesta en 1999), el objetivo de la futura normativa será completar y desarrollar el RGPD allí donde sea necesario. De la nueva regulación europea cabe destacar dos aspectos: la regulación de la pluralidad de títulos legitimadores del tratamiento; y el tránsito de un modelo de cumplimiento formal a otro de responsabilidad activa, en el que la evaluación de los riesgos por el responsable tiene una importancia clave”, comenta José Amérigo, secretario general técnico del ministerio de Justicia.
Seudonimización de los datos
Por otra parte, el nuevo RGDP permitirá el desarrollo de la investigación científica y evitará la mercadotecnia de los datos. “Me parece relevante lo dispuesto en el Considerando 159 del Reglamento, en la medida en que se indica que el tratamiento de los datos personales con fines de investigación científica debe interpretarse de una manera amplia, lo cual es relevante a la hora de cumplir con el deber de información”, indica Miguel Geijo, secretario de la Asociación de Profesionales Españoles de la Privacidad (APEP).
Sin embargo, para Geijo la necesidad de disociar los datos no facilita la investigación en relación a la normativa previa. “El RGDP destaca la necesidad de cumplir con el principio de minimización de los datos, identificando como instrumento idóneo la seudonimización cuya definición está recogida en el artículo 4. 5. Se trata en definitiva, del proceso de disociación. No hemos avanzado mucho en este proceso de facilitar la investigación científica respecto de lo que ya teníamos hasta la fecha pues al fin y al cabo, salvo que se trate de procesos de disociación irreversibles (lo que da lugar a la anonimización completa de datos, poco útil en este tipo de investigaciones), seguimos con la necesidad de llevar a cabo técnicas de disociación en ocasiones complejas y en muchos casos no accesibles para proyectos menores”, añade.
En cuanto a la historia clínica electrónica, falta por determinar en qué medida se admite el acceso de los profesionales sanitarios a la historia completa ya que habrá que tener en cuenta su responsabilidad, formación y atribuciones.