info@typeoflegal.com
info@typeoflegal.com
  • 14 de abril de 2022

En materia de protección de datos, si una empresa trata datos de salud de sus pacientes es desde luego motivo para tratar de una manera más especial los procesos a implementar en materia de protección de datos.  Y es que, para la realización de determinados tratamientos de datos, en la obtención del consentimiento libre, específico, informado e inequívoco de los interesados y si es en el ámbito de la salud los requisitos para tratar los datos son mayores.  

Para la orientación de las empresas que traten este tipo de datos vamos a mencionar las principales recomendaciones

Obtener el consentimiento explícito para almacenar los datos

Siempre que tratemos datos de salud debe obtenerse del paciente un consentimiento explícito. Con ello, en el formulario de recogida de datos personales de los pacientes debe quedar muy clara la información que se proporciona y los tipos de tratamiento que se harán.

Con la llegada del RGPD y la LOPD-GDD es precioso facilitar al paciente información adicional respecto a sus datos e historial clínico. En concreto es recomendable los formularios de consentimiento deberán hacer referencia a:

  • Información de contacto del Delegado de Protección de Datos
  • Los motivos en los que se basa el tratamiento de los datos como puede ser el consentimiento, interés legítimo, contrato o interés público o vital
  • Indicar los derechos que dispone el paciente sobre sus datos personales, como son el derecho de acceso, rectificación, oposición o supresión, la posibilidad de solicitar la limitación del tratamiento, así como el derecho a la portabilidad de los datos.
  • Incluir la posibilidad de poder presentar una reclamación ante la autoridad de control(la Agencia Española de Protección de Datos (AEPD)

No obstante, existen supuesto por los que se puede tratar este tipo de información sin el consentimiento expreso del paciente.

  1. Cuando por motivos de salud pública existen motivos de interés público
  2. Cuando el paciente no se encuentra en condiciones para otorgar adecuadamente su consentimiento y su vida corre peligro, siendo necesario tratar sus datos para poder actuar.
  3. Cuando existe un contrato con un profesional sanitario que le permite realizar diagnósticos y tratamientos de forma preventiva.

Nombrar un Delegado de Protección de Datos

Cuando nuestra empresa trate datos de salud o gran número de datos personales es obligatorio

la designación de la figura del DPO, y también cuando el tratamiento lo realizan las administraciones públicas, por lo que los centros de salud, clínicas u hospitales tienen que  designar a un DPO ya sea interno o externo. Esta figura debe actuar como un responsable con autonomía en el desarrollo de sus funciones, pudiendo realizar sus funciones tanto en jornada parcial como completa.  

Medidas de organización y seguridad

Cuando una empresa trata este tipo de datos no debe solo cuidar los consentimientos y la información que traslada a los usuarios, también debe cumplir con los deberes a nivel interno. En concreto debe disponer de medidas de seguridad adaptadas a los tipos de riesgos que pudieran sufrir los datos. En el caso de datos de salud, al ser de riesgo alto es necesario implementar procesos que garanticen la confidencialidad, integridad, disponibilidad y resiliencia de los datos. Además de establecerse flujos de datos controlados y revisados por personal autorizado. Es vital crear protocolos de actuación teniendo en cuenta aplicaciones de terceros, accesos o políticas de brechas de seguridad.

 Evaluación de impacto

 La evaluación del impacto supone un análisis que se establece como obligatorio en los casos de tratamiento de datos personales de alto riesgo, como es el caso de los datos de salud. Esta evaluación tiene que hacerla el centro médico asesorado por el Delegado de Protección de Datos y va a permitir tomar las medidas necesarias para disminuir el riesgo. Se trata de un análisis que brindará a la empresa una visión en su conjunto del flujo de datos personales tratado para para conocer los riesgos que implica y las soluciones o medidas posibles a aplicar. 

 

En Type of Legal somos abogados especializados en asesorar a empresas del sector salud en materia de protección de datos.

 

Sorteo en redes sociales y web
Whistleblowing: canal de denuncias interno obligatorio

Leave A Comment