El 4 de mayo de 2016, el diario oficial de la Unión Europea publicó el Reglamento Europeo de Protección de Datos –General Data Protection Regulation (GDPR)-, que entró en vigor a partir del 25 de mayo de ese mismo año y es de aplicación obligatoria en todos los Estados miembros desde el 25 de mayo 2018.
La normativa europea introduce algunas novedades, entre ellas el llamado derecho al olvido y la figura del delegado de protección de datos (DPD) para entidades que traten datos a gran escala o datos muy sensibles o especialmente protegidos, entre los que se encuentras los datos relativos a la salud. Por este motivo, elDPD de Hermanas Hospitalarias Aita Menni, ofreció una sesión informativa y de repaso de la legislación vigente al equipo de profesionales del hospital.
Tras la introducción en la que el director gerente del HAM, Mikel Tellaeche, y Susana Fernández Monge, en calidad de responsable de la Comisión de Protección de Datos de Hermanas Hospitalarias Aita Menni, explicaron estos extremos, nuestro DPD inició su exposición. Titulada ‘Reglamento Europeo de Protección de Datos: deber de información y consentimiento’, su charla nos recordó que toda información sobre una persona física identificada o identificable son datos personales y puso varios ejemplos para subrayar la posición de vulnerabilidad de las personas usuarias en la era de los smartphones y el big data.
Precauciones específicas
El repaso de conceptos básicos, aclaraciones sobre la aplicación territorial de la normativa europea en otros países, dudas sobre los derechos de las personas fallecidas o la limitación de la conservación de los datos (como mínimo 5 años desde el último episodio asistencial para el historial clínico en el caso del País Vasco), así como explicaciones sobre la responsabilidad de cada uno de los agentes en el tratamiento, formaron parte del debate que se suscitó durante la intervención del experto.
El consentimiento de quien otorga sus datos ocupó buena parte de la sesión. El DPD de Aita Menni y consultor de Govertis, empresa especializada en servicios de tecnologías de la información, cumplimiento normativo, seguridad y gestión del riesgo, incidió en que la manifestación de la voluntad en la cesión de datos ha de ser libre, específica, informada e inequívoca, y que en el documento debe quedar claro que a persona interesada acepta «afirmativamente».
Conforme avanzó la tarde, se fueron abordando otros aspectos, como el derecho de acceso a los datos de la persona usuaria, a su rectificación, a la limitación de su tratamiento, su portabilidad o supresión (derecho al olvido, art. 17 REPD). Para finalizar, el consultor de Govertis apuntó algunos ejemplos de medidas de seguridad, sin olvidar el necesario secreto de respecto a cualquier tipo de información personal conocida en función al trabajo desarrollado, incluso una vez concluida la relación laboral con la organización (art. 10 LOPD) o la diligencia en la comunicación de incidencias que afecten a la seguridad en la protección de datos de carácter personal.
La sesión resultó muy interesante y, sin duda, servirá para extremar, más si cabe, las precauciones en cuanto a la protección de datos personales en nuestra institución.