Hoy vamos con una entrada muy diferente, PROTECCIÓN DE DATOS, pero que afecta tanto a la gestión clínica como la gestión de los datos que genera los equipos electromédicos.
Protección de Datos y la nueva legislación.
La protección de datos en el entorno sanitario cobra especial significado ya que hay información delicada que el paciente desea que esté protegida.
Para adaptarse a la nueva legislación las empresas tienen hasta el 25 de mayo del 2018.
Al tratarse de un Reglamento Europeo prevalece sobre la *LOPD y su reglamento de aplicación, esto nos exige conocer las novedades que trae consigo. Las más importantes en función del impacto que tendrá en las empresas sanitarias (hospitales, centros sanitarios y empresas del sector) son las siguientes:
- Se amplía la obligación respecto al deber de informar a los usuarios y clientes(pacientes) y se obliga a que el consentimiento del usuario deberá ser siempre explícito, bajo una declaración o acción afirmativa.
- Aparece una figura nueva, Delegado de Protección de Datos (DPO) que adquiere una importancia vital, siendo obligatorio para multitud de empresas, para encargarse de garantizar el cumplimiento, notificar las violaciones de seguridad y tramitar las autorizaciones que sean necesarias. Por tanto, designar, un DOP será imprescindible para los organismos públicos y para aquellas empresas que traten datos personales a gran escala. Esta figura tendrá que formar parte de la plantilla si la empresa tiene más de 250 trabajadores, o ser un trabajador externo si la empresa tiene menos de 250 trabajadores, o ser un trabajador externo si la empresa tiene menos de 250 trabajadores.
- Se exigirán evaluaciones de impacto, sobre todo en aquellos casos que se vayan a tratar datos sensibles, teniendo que hacer esta evaluación antes de poder iniciar el tratamiento de los datos personales
- La privacidad del diseño se convierte en pieza clave para que las empresas determinen desde el primer momento qué medidas de seguridad deberán aplicar para el tratamiento de los datos que se van a realizar.
- Se exige a los responsables de los datos que cuando observen una violación de la seguridad deberán ponerlo en conocimiento de la Autoridad correspondiente en 72 horas. Esto quiere decir, que una empresa responsable deberá ser la encargada de acusarse a sí misma de que en su propia empresa se ha producido una brecha de seguridad. Este punto es uno de los más polémicos.
- El régimen sancionador se vuelve mucho más severo, sobre todo para aquellas empresas que tengan mayor facturación, y que afectarán tanto a los responsables como a los encargados de protección de datos. Las multas podrán alcanzar hasta los 20 millones de euros o el 4% del volumen bruto anual del ejercicio financiero anterior.
- En el derecho de borrado se incluye el llamado derecho al olvido, que podrá demandarse, entre otras causas, cuando no exista o desaparezca la finalidad que originó el tratamiento.
- Derecho a la portabilidad de datos de un proveedor de servicio a otro.
En nuevo Reglamento propone, en definitiva, un cambio de enfoque sustancial en la manera de abordar la protección de datos: se pasa de un modelo de gestión de la privacidad reactivo a un modelo proactivo; se exige a las empresas europeas una implicación más proactiva y comprometida con la seguridad, para que puedan ofrecer una respuesta eficaz a las nuevas amenazas que plantean los entornos digitales.
En conclusión, el nuevo Reglamento propone eliminar obligaciones formales, como la inscripción de ficheros para imponer medidas que otorgan un mayor control a los ciudadanos sobre su propia información.
Adaptarlo a las instituciones sanitarias va ser un trabajo largo y sobre todo una implicación de todos los sectores, incluido fabricantes, empresas, profesionales y pacientes