El vigente Reglamento Europeo de Protección de Datos fue aprobado el pasado 27 de abril de 2016. No obstante, a pesar de su aprobación y consecuente entrada en vigor, su contenido no será de aplicación hasta el próximo 25 de mayo de 2018. Un periodo transitorio en el que las instituciones sanitarias deben adecuar y preparar sus estructuras y procedimientos de trabajo interno para dar cumplimiento al elenco de obligaciones que el nuevo escenario jurídico aprobado por este Reglamento Europeo exige.
Ante este panorama de grandes e inminentes cambios, Ricardo De Lorenzo Aparici, Abogado, Socio-Director de Nuevas Tecnologías en De Lorenzo Abogados, Delegado de Protección de Datos, especializado en TIC y privacidad en el sector sanitario, ofrece en esta entrevista su visión de los principales temas que van a afectar a la puesta en marcha de este escenario así como los principales ejes de su reciente y futura actuación.
De Lorenzo reconoce que el primer año de aplicación de Reglamento europeo va a ser duro, tanto para la Agencia Española de Protección de Datos (AEPD), como autoridad nacional responsable, como para las empresas sanitarias, máxime cuando ya ha anunciado la Agencia que no habrá moratoria y estarse tramitando en estos momentos el Proyecto de nueva Ley Orgánica de Protección de Datos, que ajusta nuestro ordenamiento a este nuevo Reglamento, por lo que habrá que estar atento los próximos meses de la aprobación de la nueva ley y lo que implica, aunque destaca que el cumplimiento de la normativa va a ofrecer una importante ventaja competitiva para las organizaciones sanitarias.
¿Qué consecuencias tiene en el sector sanitario español la nueva legislación europea de protección de datos que entra en vigor este mes de mayo?
Los cambios que introduce la nueva regulación son de enorme calado, pudiéndose hablar de un nuevo modelo europeo de protección de datos basado en la implantación de una cultura de gobierno responsable de la información. Las novedades afectan a cuestiones tan relevantes como los deberes de información, la forma en la que debe prestar el consentimiento el titular de los datos, que debe ser siempre “explícito”. Se introducen nuevas herramientas para el control de los datos como el derecho al olvido o la portabilidad de los datos. Las empresas, las Corporaciones Colegiales y en definitiva todas las Instituciones Sanitarias , deberán introducir muchos cambios en su forma de actuar, adoptando medidas en materia de prevención, de forma que puedan demostrar que están condiciones de cumplir las normas que el Reglamento establece. El Reglamento Europeo de Protección de Datos supone un gran paso adelante porque reduce la disparidad normativa, con lo que fomenta un mercado digital único. También reduce la disparidad en la ejecución, a través de la regla de one stop shop (ventanilla única) y del mecanismo de coherencia atribuido al Comité Europeo de Protección de Datos.
¿Cómo impacta el Reglamento Europeo de Protección de Datos en la normativa nacional?
El Reglamento desplaza la normativa nacional que sea incompatible con el Reglamento Europeo, razón por la que se encuentra en trámite el Proyecto de nueva Ley Orgánica de Protección de Datos, que debe ajustar nuestro ordenamiento a este nuevo Reglamento, para garantizar la seguridad jurídica, el plazo de presentación de enmiendas terminará precisamente el próximo 6 de febrero. Paralelamente se trabaja en un borrador de Reglamento. Hay que tener en cuenta que la primacía del derecho núcleo decisorio de capacidad normativa de cada Estado, establece algunas excepciones permitiendo previsiones normativas de los Estados miembros, en algunas materias como la definición del interés público por Ley de cada Estado, el ámbito sanitario, las relaciones laborales o el consentimiento de los menores de edad.
¿Cuáles son las novedades para el sector sanitario?
Dentro de las novedades para el sector sanitario más reseñables, el Reglamento incorpora un matiz novedoso al concepto tradicional de datos relativo a la salud, como es el hecho de acoger también bajo la definición de datos relativos a la salud, la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona. El Reglamento igualmente contempla la definición de datos genéticos, de máxima importancia en la medicina personalizada y preventiva, que forma parte ya de las investigaciones biomédicas y clínicas que se desarrollan tanto por los centros de investigación como por la propia industria farmacéutica y también los biométricos dirigidos a identificar de manera inequívoca a una persona. En lo concerniente a la legitimidad, para el tratamiento de lo que el Reglamento define como datos sensibles, este restringe su licitud, entre otros supuestos, a que el ciudadano haya otorgado su consentimiento explícito o que su tratamiento sea necesario para fines de Medicina preventiva, para el diagnóstico médico, para la prestación de asistencia o tratamiento de tipo sanitario o social, así como para la gestión de los sistemas y servicios de asistencia sanitaria; no obstante, dicho tratamiento queda supeditado a que el mismo sea realizado por un profesional sujeto a la obligación de secreto profesional.
Por otra parte, debe destacarse la de la figura del Delegado de Protección de Datos. Una figura cuyo nombramiento en el ámbito sanitario es obligatorio (Centros Sanitarios que traten datos conforme a la Ley de Autonomía del Paciente), que corresponde al propio responsable, o encargado del tratamiento de datos personales, la institución sanitaria en nuestro caso, y cuyas funciones vendrían definidas por las labores de asesoramiento y supervisión de la propia institución para el efectivo cumplimiento de lo dispuesto por el Reglamento Europeo de protección de datos, así como por la cooperación con la autoridad de control correspondiente. El Reglamento aumenta los requisitos informativos que todo responsable en el tratamiento de datos personales debe trasladar a los interesados al momento de la obtención de sus datos. Esta novedad informativa cobra especial relevancia en el ámbito sanitario. Uno de los aspectos más novedosos del Reglamento es el nuevo tratamiento del consentimiento del titular de los datos. El Reglamento desarrolla el derecho a la protección de los datos de carácter personal que le conciernan, como derecho fundamental europeo y regula, sobre la base del consentimiento expreso del titular de los datos, todo acto de cesión a terceros para su tratamiento. De modo que todo acto de tratamiento sin previo consentimiento lesiona el derecho fundamental, salvo que se encuentre dentro de aquellos casos en los que, excepcional y restrictivamente, el Reglamento admite un tratamiento de datos sin previo consentimiento. No obstante, al responsable del tratamiento se le impone la carga de demostrar la licitud del mismo y, en su caso, las consecuencias de la ilicitud.
¿Cree que en el sector son conscientes de las inspecciones y las multas que se avecinan?
No realmente. Falta información, o para ser más precisos mayor interés en la información que se está generando por todos los especialistas, y señaladamente por la propia Agencia. El nuevo Reglamento General de Protección de Datos incrementará, los riesgos que asume toda organización y especialmente las sanitarias, en el tratamiento de datos personales. Hablando de multas, éstas ya no serán por cantidades, sino por porcentajes. Las sanciones actualmente van de los 900 a los 600.000 euros, en los casos más extremos que afecten a gran número de usuarios o que sean precisamente con datos de salud. Estas sanciones son aplicadas en estos momentos a todas las empresas por igual, sin importar sus ingresos. Con el nuevo reglamento cambia la fórmula y serán por porcentajes ajustándose a la realidad de cada empresa. Es evidente que no es lo mismo que multen con 3.000 euros a un grupo Hospitalario que a una Farmacia.
Pero esta ventaja lógica en su aplicación, se disipa, cuando vemos que las multas pueden ser de hasta diez millones de euros como máximo o de una cuantía equivalente al 2 por ciento del volumen total anual global de facturación de la empresa, o hasta 20 millones como máximo o de una cuantía equivalente al 4 por ciento de ese volumen global de la empresa en el ejercicio fiscal anterior, con lo que pueden resultar multas hoy por hoy desconocidas en nuestro ámbito y desde luego se incrementan respecto de la situación actual.
Cuestiones como el no atender los derechos de los pacientes, las cesiones inconsentidas de datos a terceros, el uso de datos para fines diferentes a los señalados, el no tener habilitación legal para el tratamiento de datos o el no atender las violaciones de las medidas de seguridad son algunas de las situaciones que podrían generar multas millonarias. A ellos hay que añadir derechos nuevos como “a la portabilidad”, “cambio de operador” o el ya conocido “derecho al olvido”.
¿Cuál sería a su juicio la dimensión del problema que se van a encontrar?
Las entidades públicas y privadas serán cada más más conscientes de que necesitan proteger los datos personales como una inversión estratégica para sus actividades, y evidentemente es posible que pueda generarse más litigiosidad, porque las entidades tienen mucho más que perder si se les imponen multas elevadas
El problema va a radicar, en mi opinión, en que pasaremos de una normativa exhaustivamente desglosada que señalaba que medidas de seguridad debían aplicar los responsables en función del tipo de datos que trataban, a una normativa en la que se precisará de una interpretación continuada, que de margen de maniobra a los responsables para confeccionar su plan estratégico de seguridad, debiendo incluir en sus procedimientos medidas de seguridad acordes a su estructura, tipología de datos procesados y normativas específicas a las que se encuentran sometidos.
¿Es algo que afecta por igual a la pública y a la privada?
Las Administraciones Públicas actúan como responsables y encargados de tratamientos de datos personales en el desarrollo de muchas de sus actividades. Consecuentemente, se van a ver afectadas por las previsiones del Reglamento General de Protección de Datos. En muchos casos, los efectos del Reglamento serán los mismos que para cualquier otro responsable o encargado. En algunas áreas, sin embargo, existen especificidades para el sector público.
Este es el caso, por ejemplo, de la comisión de infracciones por parte de administraciones públicas. En este sentido, cuando los responsables o encargados de las administraciones públicas cometiesen alguna infracción contra la protección de datos, desde las más graves a las más leves, la autoridad de protección de datos que resulte competente dictará resolución sancionando a las mismas con apercibimiento. La resolución establecerá asimismo las medidas que proceda adoptar para que cese la conducta o se corrijan los efectos de la infracción que se hubiese cometido.
¿Quiénes van a padecer más esta nueva legislación, los grandes grupos hospitalarios, las clínicas medianas o pequeñas, o los médicos por cuenta propia?
Aparentemente este Reglamento parece más enfocado a regular los tratamientos de datos realizados por grandes organizaciones, a la vista de la realización de Evaluaciones de Impacto en la Protección de Datos, la llevanza de un registro de actividades o bien la comunicación en supuestos de brechas de seguridad. Pero al final se trata de cumplimientos, al margen de grandes organizaciones, medianas o pequeñas, y de protección del derecho fundamental europeo a la protección de los datos de carácter personal que nos conciernan.
¿Habrá más incidencia de inspecciones y multas por especialidad? (Ginecología, Cirugía, Oncología…)
Desconozco si la Autoridad de Control realizará más inspecciones por especialidades, si bien es cierto que el sector sanitario lo evalúa como un sector prioritario de cumplimiento. En este sentido, el Plan Estratégico 2015-2019 de la AEPD estableció “Fomentar las actuaciones de prevención para un cumplimiento más eficaz del derecho, especialmente en ámbitos con un gran impacto ciudadano como entre otras, la sanidad. Del mismo modo, presentó el pasado 26 de septiembre de 2017, los resultados del Plan de Inspección Sectorial realizado a hospitales públicos ofreciendo un punto de referencia para que el sector sanitario pueda abordar la adaptación de sus sistemas y procedimientos a los requerimientos que impone el Reglamento General de Protección de Datos.
¿También podrá afectar directamente a otros profesionales sanitarios que suelen trabajar por cuenta propia como fisioterapeutas, dentistas, podólogos, psicólogos clínicos…?
Claro, los que me indica y todos los establecimientos sanitarios (oficinas de farmacia, ópticas y ortopedias) y los centros sanitarios deben cumplir con todas las obligaciones derivadas de la nueva normativa, derivadas del tratamiento de datos que realicen, debiendo tener en cuenta que se contempla entre las categorías especiales de datos, el tratamiento de datos relativos a la salud, de datos genéticos y de datos biométricos.
¿Una empresa sanitaria se puede poner en orden ante esta novedad legislativa en pocos días, o hace falta una previsión mayor?
Puede y debe ponerse en orden pero requiere su tiempo, el Reglamento se publicó en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, entrando en vigor a los 20 días de su publicación y será aplicable como hemos visto, a partir del 25 de mayo de 2018. En este periodo transitorio, aunque sigue vigente la Ley Orgánica de Protección de Datos (LOPD), los responsables y encargados de tratamiento han debido y deben seguir adaptando, tomando las medidas necesarias para cumplir la nueva normativa en el momento de su aplicación. Es evidente que la adaptación será mucho más rápida y sencilla si ya se viene cumpliendo con la normativa española existente.
Pero piense que se deben regularizar las relaciones con los encargados del tratamiento, redactando los nuevos contratos que contemplen las obligaciones expuestas en el reglamento o las informadas por Autoridad de Control (Directrices y/o Guías). Deben revisarse los clausulados y los consentimientos ya obtenidos, determinando la necesidad o no de recopilarlos nuevamente en base a los nuevos principios de transparencia e información.
Se deben Implementar medidas de seguridad antes, durante y después del tratamiento de datos y siempre acordes a las necesidades, posibilidades y tipo específico de la organización sanitaria de la que se trate, preparándose los procedimientos de atención de los nuevos Derechos en materia de protección de datos.
Y por último se deben analizar los riesgos que atañen al tratamiento de datos, reconfigurándose como parte activa en la protección y asumiendo que la normativa de protección de datos es mucho más que un cumplimiento formal y/o documental, por lo que esto no se hace en un día y requiere una previsión mayor.
Las novedades que se incorporan en la legislación, ¿cree que afectan solo a determinados departamentos de una empresa sanitaria, o las reformas para cumplir con la nueva ley deben impregnar a toda la estructura, del gerente al último trabajador?
Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones, en nuestro caso sanitarias, que tratan datos. Es lo que venimos señalando como responsabilidad proactiva, lo que supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos, pero también de todas las partes implicadas, posiblemente en muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.
Esta responsabilidad proactiva trae consigo la puesta en funcionamiento de procedimientos de prevención del riesgo, que requieren la implantación de medidas para identificar los riesgos derivados del tratamiento de datos, la valoración de la probabilidad de que ocurran, del daño que causarían si se materializasen y de las medidas a adoptar en caso de que efectivamente sucedan. Para ello el Reglamento Europeo propone que los responsables del tratamiento actúen de conformidad con el principio de responsabilidad proactiva “accountability”.
«Los Abogados especializados en TIC, pero especialmente en privacidad en el sector sanitario, debemos dejar de ser Abogados exclusivamente reactivos, para ser Abogados preventivos»
Este principio de responsabilidad proactiva obliga, además, tanto a los responsables como encargados, a estar en condiciones de demostrar en todo momento que cumple con las previsiones normativas en materia de protección de datos (principio de rendición de cuentas), lo que implica toda la estructura.
¿Qué consejo le daría a un profesional sanitario por cuenta propia, o a una empresa del sector que quiera cumplir con la nueva legislación desde el primer día?
Primero, que debe ser consciente de que a partir del 25 de mayo el nuevo Reglamento será directamente aplicable, y se ejecutarán tanto los derechos como las obligaciones señaladas en sus preceptos. La directora de la Agencia Española de Protección de Datos, Dª Mar España Martí, el pasado 29 de Enero, Día Internacional de la Protección de Datos, ha hecho especial hincapié en que no habrá régimen transitorio, ni plazos ni prórrogas, siendo suficientes los 2 años previstos en su artículo 99, ya próximos a cumplirse.
Y Segundo la necesidad de que exista un cambio de mentalidad en los responsables de los tratamientos. El Reglamento General de Protección de Datos, como hemos comentado, define el nuevo marco como de garantía y tutela del derecho fundamental a la protección de los datos. Lo hace con la idea de ser un instrumento de garantía de su protección en un escenario de rápida evolución tecnológica y de globalización, reforzando los derechos de los interesados y estableciendo nuevas obligaciones de los responsables y encargados que han de acostumbrarse desde ya a asumir un papel más proactivo y responsable.
¿En qué consisten la prevención y el cumplimiento proactivo o compliance?
El «Compliance” o Cumplimiento Normativo, consiste en establecer políticas y procedimientos, que sean adecuados y suficientes para garantizar que un Centro Hospitalario Clínica, Farmacia o Institución en nuestro caso del ámbito sanitario, incluidos sus directivos, empleados y agentes vinculados, cumplan con el marco normativo aplicable, que no es no sólo las normas legales, sino que también lo son las políticas internas, los compromisos con clientes, proveedores o terceros, y especialmente los códigos éticos que la empresa u organización tenga implantados.
En definitiva es implantar una cultura para prevenir. El Cumplimiento Normativo ha adquirido especial importancia dentro de las organizaciones empresariales sanitarias en España desde la reforma del Código Penal que se produjo a finales de 2010, por la que, por primera vez se introducía la regulación de la responsabilidad penal de la persona jurídica. Pero tuvo todavía mayor incidencia en nuestro sector desde que la Fiscalía General del Estado publicó la Circular 1/2016, sobre la Responsabilidad Penal de las Personas Jurídicas, la cual interpretó e impartió instrucciones a los Fiscales sobre cómo valorar la eficacia de los planes de «Compliance” y, por tanto, cuándo debe considerarse exenta de responsabilidad penal a una empresa o bien cuándo le son de aplicación ciertas circunstancias atenuantes.
Y en esta interpretación se incluyeron a los Colegios y Consejos Profesionales sanitarios, que deberán implantar un sistema eficaz de prevención de riesgos penales que les permita protegerse de una posible responsabilidad penal, incluidas sus juntas directivas, Comisiones ejecutivas o Permanentes y consejeros-delegados. La existencia de estas medidas racionales y eficaces de control para prevenir riesgos penales puede evitar la comisión de delitos o, de producirse, exonerar de responsabilidad penal y, en consecuencia, de una condena criminal.
¿Puede ejemplificarlo con algunos casos concretos?
Por ejemplo, en Centros Sanitarios o Corporaciones Colegiales que gestionan datos de Pacientes, y usuarios, prevención y cumplimiento activo es hacer campañas de concienciación, dar charlas y formación a los trabajadores para que sepan lo que pueden y no pueden hacer con esos datos. O, si un paciente tiene sus fotografías en nuestro portal y quiere llevárselas –porque tiene derecho a llevárselas-, le ofrezcas la posibilidad de portarlas.
Supone un compromiso muy importante por parte de las entidades y empresas. Y cada una tendrá que hacerlo de forma personalizada porque una farmacia, una clínica o un centro de investigación clínica en la que la protección de datos tiene una especial incidencia, dada la realización de ensayos clínicos, estudios observacionales o investigación biomédica hace que su especial tratamiento de datos de carácter personal, no puedan tener el mismo programa de prevención.
El nuevo reglamento pide un cambio de mentalidad, en la que los Abogados que nos dedicamos o estamos especializados en TIC, pero especialmente en privacidad en el sector sanitario, debemos dejar de ser Abogados exclusivamente reactivos, para ser Abogados preventivos, que debemos asesorar para evitar que se puedan imputar delitos y se sucedan problemas. Evidentemente, esta es la principal característica y factor diferenciador de nuestro trabajo y especialidad en el ámbito sanitario.
¿Y cuál es su visión de la aplicación del nuevo Reglamento en el ámbito Biotecnológico?
El desarrollo de las actividades propias del sector de la biotecnología ha adquirido un grado de complejidad sustancialmente superior al de hace apenas unos años por la interactuación de diversos factores. La eclosión del “Big Data”, la progresiva convergencia con otras tecnologías (como las TICs), el desarrollo de campos específicos como la biología sintética (que combina la biología con la ingeniería), o la revolución que suponen las nuevas técnicas de edición genética son buenos ejemplos de los cambios que ya han llegado y de lo que anticipamos que está por venir.
Y uno de los grandes retos de la biotecnología actual consistirá en adaptarse a los requerimientos del nuevo Reglamento Europeo de Protección de Datos, lo que conllevará contar con personal habilitado para servir como “Data Protection Officers”, y comunicación permanente con los organismos oficiales encargados de implementar la normativa de protección de datos, tanto en nuestro país como en otros.
¿Qué perfil y qué funciones asume un Data Protection Officers (DPO)?
La figura del Delegado de Protección de Datos es una figura “ex novo”. Una figura cuyo nombramiento en el ámbito sanitario es obligatorio, que corresponde al propio responsable, o encargado del tratamiento de datos personales, la institución sanitaria en nuestro caso, y cuyas funciones vendrían definidas por las labores de asesoramiento y supervisión de la propia institución para el efectivo cumplimiento de lo dispuesto por el Reglamento Europeo de protección de datos, así como por la cooperación con la autoridad de control correspondiente
Esta nueva figura tiene como principal función precisamente la de la protección de datos. Además, tiene que saber qué hacer con esos datos, cómo se protegen y conocer a la perfección la legislación, la directiva europea. A partir de ahí, las labores son muy amplias, es un perfil muy “cross”, su función no es específica de un solo departamento.
Ante una brecha de seguridad donde puede haber una fuga de datos sensibles, tiene que poner en marcha procedimientos. En este caso, debe comunicarlo a las autoridades pertinentes y a los implicados. Esto antes no se hacía, pasaba todo lo contrario, se ocultaba.
El DPO tiene que poner orden en la parte técnica de ciberseguridad pero asegurarse que el resto de departamentos funciona acorde a ello y formar a los empleados. Este perfil tiene que tomar medidas preventivas, monitorizar que es lo que está pasando, vigilar la compañía, detectar anomalías y mejorar el proceso donde las medidas no son estáticas. Tiene que estar al día de las actualizaciones y sistemas
¿Dice que es obligatorio en el sector sanitario?
El Reglamento Europeo dispone que se deberá designar a un Delegado de Protección de Datos siempre que las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales. El Grupo de Trabajo del Artículo 29 aclaró está disposición señalando que un hospital deberá designarlo, mientras que no puede entrar en la definición de “gran escala” el tratamiento de datos de pacientes efectuado por un profesional sanitario individual.
No obstante lo anterior el Proyecto de Ley Orgánica de Protección de Datos, sí señala como sujetos obligados a los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Por lo que tiene la respuesta.
La Propia Agencia, en relación con el DPO ha destacado que en el Anteproyecto de Ley se contempla en su artículo 35 como obligatorio contar con él tanto los Colegios Profesionales como los Consejos.
El DPO tiene entre sus funciones previstas en el artículo 39 del Reglamento de Protección de Datos, la de información y asesoramiento, en este caso al Consejo y a los Colegios, supervisión de cumplimiento del Reglamento, destacando también -como señala la Agencia- su papel de asesoramiento para la resolución amistosa de reclamaciones que hayan podido plantearse por presunta infracción de la normativa.
En este sentido, la Agencia también recuerda en su escrito la posibilidad, con arreglo al artículo 37.2 del RGPD, de valorar el que se pueda, siempre con carácter voluntario para los profesionales colegiados, “ofrecer el servicio de DPO a los profesionales colegiados, de manera que pudieran contar con un experto que les ayudase a cumplir con la nueva regulación y supervisase su cumplimiento, además de, en su caso, atender a las cuestiones o controversias que en materia de protección de datos se pudieran producir entre los interesados y los profesionales. Una de sus funciones esenciales consistirá en su papel de asesoramiento al profesional para la resolución amistosa de las reclamaciones que hayan podido plantearse por presunta infracción de la normativa (artículo 66.4 del anteproyecto de Ley Orgánica de Protección de Datos)”.
Por último, recuerda que además de los Colegios y del Consejo, los establecimientos sanitarios (oficinas de farmacia, ópticas y ortopedias) y los centros sanitarios deben cumplir con todas las obligaciones derivadas de la nueva normativa.