Boletines de la Oficina de Seguridad

Servicio de Salud de las Islas Baleares

Boletín n.º 57 - año 2018 - ¿Qué es el RGDP?

El 25 de mayo de 2018 entró en vigor el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

Este tipo de reglamentos europeos, desde su entrada en vigor y aplicación, se convierten en una norma aplicable directamente en toda la Unión, como si de una norma nacional más se tratara, y con la particularidad de que sus disposiciones prevalecen sobre las normas de derecho interno que sean contrarias a ellos.

En este sentido, cualquier empresa radicada o con negocios en la Unión Europea, deberá someterse a esta normativa.

 

¿Qué se pretende con este Reglamento? Por un lado, facilitar y garantizar el acceso de los ciudadanos de la Unión Europea a sus datos, eliminando ambigüedades y dotándolos de más derechos. Y por el otro lado, controlar cómo las organizaciones almacenan, tratan y utilizan estos datos.

 

Principales cambios que supone para las empresas u organizaciones

El RGPD supondrá algunos cambios fundamentales con respecto a la normativa precedente:

  • Mayor control a las empresas no europeas: todas las empresas que recopilen datos de ciudadanos europeos tienen que cumplir con el RGPD, independientemente de que el procesado de los datos se haga dentro o fuera de la Unión Europea.
  • Multas más severas: las organizaciones que vulneren el RGPD pueden ser multadas con hasta el 4% de la facturación global anual o 20 millones de euros.
  • Solicitudes claras y entendibles: a partir de ahora, las solicitudes de consentimiento para obtener y tratar los datos personales de los afectados o ciudadanos —en caso de organismos públicos—, deberán estar redactadas en lenguaje claro y entendible por el afectado.
  • Desaparece la obligación de declarar los ficheros a la Agencia Española de Protección de Datos, pero deberán mantener un registro de los tratamientos llevados a cabo y ponerlo a disposición de las autoridades de control competentes en caso de ser requerido.
  • Nombramiento del delegado de Protección de Datos (DPD): en el caso de los organismos públicos, dado el gran volumen de datos que deben tratar de los ciudadanos a los que prestan servicio, es de obligado cumplimiento el nombramiento de la figura de un DPD, que deberá informar y asesorar a responsables y encargados del tratamiento de datos en materia reglamentaria, supervisar el nivel de cumplimiento de lo dispuesto en el Reglamento, y actuar como punto de contacto con la autoridad de control.
  • Notificaciones de filtraciones o brechas de seguridad: las empresas estarán obligadas a notificar las filtraciones o brechas de seguridad que hayan sufrido en relación con su tratamiento de datos personales, en un plazo máximo de 72 horas después de que se haya detectado el incidente.

Nuevos derechos. Derecho al olvido y derecho a la portabilidad: los usuarios tendrán el derecho a solicitar a la empresa u organismo responsable del tratamiento la eliminación de sus datos personales de los ficheros del responsable, que éste deje de compartirlos e incluso que haga que los terceros con los que los han compartido dejen de procesarlos. El usuario también podrá ejercer el derecho de acceso a sus datos y solicitar una copia de los mismos bien estructurados y organizados, para ser entregados a otra empresa o controlador de datos.

 

Principales retos del RGPD para el sector sanitario

Dada la evolución exponencial de la tecnología en los últimos años, el marco normativo anterior — la Directiva 95/46 con 20 años de antigüedad—, ha quedado desfasado y de difícil aplicación.

En un entorno como el sanitario —en el que se tratan de manera masiva datos de salud, con fines docentes y de investigación, usando macrodatos (big data), y en el que la tecnología tiene un papel cada vez más relevante— el principal objetivo es mejorar la confidencialidad y privacidad de los datos de los pacientes, estableciendo controles mas restrictivos de acceso a la información clínica.

En este sentido, entre otros retos importantes que deberá abordar el sector están:

  • El principio de responsabilidad activa, que es la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de poder garantizar y demostrar que el tratamiento se hace conforme al Reglamento.
  • Análisis de riesgos de un entorno complejo y heterogéneo: los organismos sanitarios deberán valorar sus riesgos e incorporar mecanismos para minimizarlos, garantizando la privacidad desde el diseño, y por defecto, desde la concepción de sus productos y servicios. Esto, en un entorno en el que existen centenares de aplicaciones y miles de activos de información, se convierte en un reto importante a la hora de integrarlo en el Esquema Nacional de Seguridad (ENS) y en la metodología PILAR recomendada por el CCN-CERT.
  • Adecuarse a la problemática del consentimiento, que ha de ser “informado, libre y otorgado mediante manifestación claramente expresa y afirmativa”. Esto conlleva modificar las cláusulas actuales de “deber de información” —para las admisiones, por ejemplo— dado que se prohíbe el consentimiento tácito, incluso para tratamientos iniciados con anterioridad.
  • Ofrecer más información al ciudadano, lo que queda bastante bien resuelto con el planteamiento de hacerlo por capas (de menos a más información).
  • Los derechos ARCO deben ser adecuados e incorporar los nuevos derechos. No obstante, el derecho de portabilidad no se aplica en la sanidad pública.
  • Un cambio significativo, y relacionado con la responsabilidad activa, comentada anteriormente, es la mayor diligencia que se requiere con los encargados de tratamiento, a la hora de verificar su cumplimiento, aunque se articule mediante los clausulados oportunos.

 

Adecuación por parte del Servicio de Salud

En el Servicio de Salud se ha trabajado en distintas líneas para adecuar el organismo a los requerimientos del RGPD como, entre otras, en la identificación de los tratamientos, la realización de análisis de riesgos y la elaboración de auditorías.

Igualmente es importante destacar que el Servicio de Salud contará con un delegado de Protección de Datos propio con el fin de asegurar el cumplimiento de las obligaciones establecidas por el RGPD y velar por los derechos de los ciudadanos y de los pacientes.

Cualquier comunicación al delegado de Protección de Datos del Servicio de Salud se podrá hacer a la dirección de correo electrónico Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.. También puede hacerse al de la Comunidad Autónoma de las Islas Baleares Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

 

LOPD 2.0

La LOPD 2.0, anteproyecto de la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal), se encuentra pendiente de aprobación en el Congreso de Diputados.

Algunas de las modificaciones del anteproyecto de ley son:

  • La obtención del consentimiento de los ciudadanos para cada una de las finalidades en las que se requieren sus datos.
  • La posibilidad de los herederos de ejercer los derechos de acceso, rectificación o supresión de datos, en nombre del familiar fallecido.

 

La Agencia Española de Protección de Datos (AEPD) y el RGPD

La AEPD ha habilitado dentro de su portal un espacio dedicado exclusivamente al RGPD, donde se incluye el texto íntegro del Reglamento, así como un conjunto de informes, presentaciones y documentación que les animamos a visitar y revisar si desean profundizar e ir conociendo los avances sobre la materia.

Se puede acceder a la información a través del siguiente enlace: http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php