Una vez más continuamos analizando aspectos del nuevo Reglamento General de Protección de Datos (Reglamento UE 2016/679). En esta ocasión vamos a detallar algunos de los aspectos que afectan a los centros sanitarios y a los datos de salud.
En primer lugar el nuevo Reglamento UE 2016/679 establece en su artículo 9.1 las categorías especiales de datos, en concreto dice “quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona.
Es decir, la nueva legislación europea encuadra los datos de salud en las categorías especiales de datos. ¿Y qué consecuencias puede tener para un hospital?
Pues entre otras cosas, el hecho de tratar datos encuadrados en una “categoría especial” exigirá a los hospitales la incorporación obligatoria de un Delegado de Protección de Datos. Así lo afirma el artículo 37 del nuevo Reglamento UE 2016/679 que dice:
El responsable y encargado del tratamiento designará un Delegado de Protección de datos siempre que:
a) El tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial
b) Las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
c) Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10.
Como podemos observar la figura del Delegado de Protección de Datos se exigirá tanto a hospitales públicos como privados. Es más, ya en el Anteproyecto de Ley Orgánica de Protección de Datos se refuerza esta idea cuando en su artículo 35 l) dice que será obligatoria la figura del Delegado de Protección de Datos en los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
Tendremos que ver en el futuro, la forma de implementar esta figura sin interferir en el buen funcionamiento del hospital, ya que no debemos olvidar que los centros sanitarios tienen unos protocolos bastante complejos y el Delegado de Protección de Datos deberá ser capaz de establecer políticas de control para la protección de los datos de salud, pero adaptándose a la idiosincrasia del buen funcionamiento de un hospital.
Relativo a esto, puedes consultar nuestra Guía para pacientes y usuarios de la sanidad en el tratamiento de datos de salud
Otra de las implicaciones que incidirán en la gestión de los datos de los hospitales y retomando el tema de las categorías especiales de datos, es la cuestión del consentimiento del paciente.
El Reglamento UE 2016/679 exige que el consentimiento consista en una manifestación de voluntad libre específica, informada e inequívoca por la que el interesado acepta, ya sea mediante declaración o una clara acción afirmativa, el tratamiento de datos personales que lo conciernen. Ya no se podrá asumir que el interesado o en este caso paciente, haya otorgado su consentimiento al no realizar ningún acto en contra de dicho tratamiento, se exige un consentimiento afirmativo.
Por lo que aquellos centros que aun no hayan adaptado sus cláusulas de consentimiento a los requisitos que ahora se exigen deberán replantearse el protocolo para obtener el consentimiento de los pacientes.
Pero como en casi todas las legislaciones siempre existen excepciones. En este caso vienen dadas por el mismo artículo 9 del Reglamento UE 2016/679 que comentábamos anteriormente. En su apartado segundo dice:
El apartado 1 (la prohibición de tratar datos enmarcados en categorías especiales) no será de aplicación cuando concurra alguna de las siguientes circunstancias:
- Que el interesado haya dado su consentimiento explícito
- El tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física en caso de que el interesado no esté capacitado para dar su consentimiento
- El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social en virtud de un contrato con un profesional sanitario.
- El tratamiento es necesario por razones de interés público en el ámbito de la salud pública
Por todo ello los centros de salud u hospitales, tanto públicos como privados deberán comenzar sus trabajos de adaptación al nuevo Reglamento cuanto antes, puesto que el sector de la salud trata datos enmarcados en Categorías especiales y por tanto deberán actuar con mayor cautela y especial atención a los derechos de los interesados o pacientes. En H&A somos expertos en protección de datos. No dudes en consultar con nosotros en caso de tener cualquier duda o problema
Comentarios
No hay comentarios