En materia de protecci贸n de datos, si una empresa trata datos de salud de sus pacientes es desde luego motivo para tratar de una manera m谩s especial los procesos a implementar en materia de protecci贸n de datos.聽 Y es que, para la realizaci贸n de determinados tratamientos de datos, en la obtenci贸n del consentimiento libre, espec铆fico, informado e inequ铆voco de los interesados y si es en el 谩mbito de la聽salud los requisitos para tratar los datos son mayores. 聽 Para la orientaci贸n de las empresas que traten este tipo de datos vamos a mencionar las principales recomendaciones
Obtener el consentimiento expl铆cito para almacenar los datos
Siempre que tratemos datos de salud debe obtenerse del paciente un consentimiento expl铆cito. Con ello, en el formulario de recogida de datos personales de los pacientes debe quedar muy clara la informaci贸n que se proporciona y los tipos de tratamiento que se har谩n. Con la llegada del RGPD y la LOPD-GDD es precioso facilitar al paciente informaci贸n adicional respecto a sus datos e historial cl铆nico. En concreto es recomendable los formularios de consentimiento deber谩n hacer referencia a:
- Informaci贸n de contacto del Delegado de Protecci贸n de Datos
- Los motivos en los que se basa el tratamiento de los datos como puede ser el consentimiento, inter茅s leg铆timo, contrato o inter茅s p煤blico o vital
- Indicar los derechos que dispone el paciente sobre sus datos personales, como son el derecho de acceso, rectificaci贸n, oposici贸n o supresi贸n, la posibilidad de solicitar la limitaci贸n del tratamiento, as铆 como el derecho a la portabilidad de los datos.
- Incluir la posibilidad de poder presentar una reclamaci贸n ante la聽autoridad de control(la Agencia Espa帽ola de Protecci贸n de Datos (AEPD)
No obstante, existen supuesto por los que se puede tratar este tipo de informaci贸n sin el consentimiento expreso del paciente.
- Cuando por motivos de salud p煤blica existen motivos de inter茅s p煤blico
- Cuando el paciente no se encuentra en condiciones para otorgar adecuadamente su consentimiento y su vida corre peligro, siendo necesario tratar sus datos para poder actuar.
- Cuando existe un contrato con un profesional sanitario que le permite realizar diagn贸sticos y tratamientos de forma preventiva.
Nombrar un Delegado de Protecci贸n de Datos
Cuando nuestra empresa trate datos de salud o gran n煤mero de datos personales es obligatorio la designaci贸n de la figura del DPO, y tambi茅n cuando el tratamiento lo realizan las administraciones p煤blicas, por lo que los centros de salud, cl铆nicas u聽hospitales聽tienen que 聽designar a un DPO ya sea interno o externo. Esta figura debe actuar como un responsable con autonom铆a en el desarrollo de sus funciones, pudiendo realizar sus funciones tanto en jornada parcial como completa. 聽
Medidas de organizaci贸n y seguridad
Cuando una empresa trata este tipo de datos no debe solo cuidar los consentimientos y la informaci贸n que traslada a los usuarios, tambi茅n debe cumplir con los deberes a nivel interno. En concreto debe disponer de medidas de seguridad adaptadas a los tipos de riesgos que pudieran sufrir los datos. En el caso de datos de salud, al ser de riesgo alto es necesario implementar procesos que garanticen la confidencialidad, integridad, disponibilidad y resiliencia de los datos. Adem谩s de establecerse flujos de datos controlados y revisados por personal autorizado. Es vital crear protocolos de actuaci贸n teniendo en cuenta aplicaciones de terceros, accesos o pol铆ticas de brechas de seguridad.
聽Evaluaci贸n de impacto
聽La evaluaci贸n del impacto supone un an谩lisis que se establece como obligatorio en los casos de tratamiento de datos personales聽de alto riesgo, como es el caso de los聽datos聽de salud. Esta evaluaci贸n tiene que hacerla el聽centro m茅dico聽asesorado por el Delegado de Protecci贸n de Datos y va a permitir聽tomar las medidas necesarias聽para disminuir el riesgo. Se trata de un an谩lisis que brindar谩 a la empresa una visi贸n en su conjunto del flujo de datos personales tratado para para conocer los riesgos que implica y las soluciones o medidas posibles a aplicar.聽 En Type of Legal somos abogados especializados en asesorar a empresas del sector salud en materia de protecci贸n de datos.