Profesionales sanitarios y pacientes siguen enfrentándose al reto de entender el cambio de paradigma que supuso el nuevo Reglamento General de Protección de Datos (RGPD). Ha supuesto un profundo cambio legislativo y ha implantado una nueva cultura sobre el tratamiento de datos de carácter personal en el sector sanitario. Las dudas sobre de qué forma afectan estos cambios legislativos al tratamiento de datos personales de salud siguen surgiendo, por eso la redacción de SaluDigital se ha puesto manos a la obra para indagar de qué manera cambiará la sanidad.
Entre las exigencias que se establecieron como obligatorias desde el pasado 25 de mayo de 2018 (con la entrada en vigor) está la necesidad de nombrar un Delegado de Protección de Datos (DPO). En el caso de los centros sanitarios, tanto el reglamento europeo como la Ley Orgánica 3/2018, de 5 diciembre, de Protección de Datos Personales y garantía de los derechos digitales que regulan este marco exigen la designación de este profesional.
Fue aprobado en mayo de 2018 y ha requirido un proceso de adaptación por parte de las entidades sanitarias y las empresas del sector salud
Pero, además se establecieron otras medidas de seguridad relacionadas con los datos de los pacientes, el uso de datos personales sin el consentimiento del afectado en casos de peligro de su vida o la utilización de datos con fines de investigación científica, entre otras.
El RGPD, un sector como la salud y un área como es la Salud Digital tiene gran importancia ya que cualquier proyecto que no tenga en cuenta la normativa quedará relegado a guardarse en el cajón. Con este reglamento europeo se quiere garantizar la protección de datos de las personas físicas y por ello las empresas del sector salud y las entidades sanitarias de la Unión Europea que manejen información personal de cualquier tipo deberán acogerse al RGPD. De no hacerlo, se exponen a multas que pueden llegar a los 20 millones de euros.
ÁREAS AFECTADAS POR EL RGPD
La genómica, la medicina personalizada, la investigación científica, los wearables, las apps de salud o los servicios de teleconsulta, serán algunas de las áreas de la e-Health que se verán afectadas ante la obligación de cumplir con todos los requisitos legales establecidos.
Para el tratamiento de datos de los usuarios o pacientes se debe obtener su consentimiento, por eso debe ser explícito o expreso, y aunque no necesariamente escrito, siempre debe ser libre, voluntario e informado para el titular de los datos.
Sin embargo, existen una serie de excepciones pensadas tales como en situaciones preventivas para la salud pública o que el tratamiento de datos venga exigido por un riesgo inmediato y grave para la salud del enfermo.
Otros ámbitos de control del DPO serán la destrucción de las historias clínicas, las políticas de custodia de datos, controlar la cesión de datos que se realicen o la seguridad informática. De hecho, se establece como obligatorio el mantenimiento de las historias clínicas de los pacientes durante cinco años.
Para garantizar la seguridad de los datos utilizados en salud y la confidencialidad se deberá cifrar la información mediante la minimización de datos, el backup continuo y la capacidad de resiliencia del sistema ante ciberataques.