Comparte este artículo en tus redes sociales

Como empresa que trata datos de salud, considerados especialmente sensibles por la nueva normativa relativa a la Protección de Datos, es importante que sepas que la Protección de Datos es un Derecho Fundamental desarrollado a partir del artículo 18.4 de la Constitución Española.

Este derecho se refiere a la facultad de disposición y control sobre los datos personales que autoriza a las personas físicas para consentir el conocimiento y tratamiento de sus datos por terceros. De esta forma es la persona física la única con facultad para decidir lo que se puede hacer con sus datos de carácter personal.

La nueva normativa relativa a la Protección de Datos que se recoge en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. y en el Reglamento Europeo de Protección de Datos (RGPD), nace con el objeto de garantizar y proteger el tratamiento de los datos personales, entre los que se incluyen los relativos a la salud de una persona física identificada o identificable. En este sentido, la Ley en su artículo 9 hace referencia a este tipo de datos a fin de garantizar la protección jurídica necesaria en un ámbito tan sensible para los derechos fundamentales como el de la protección de datos.

El RGPD define los datos de salud como aquellos referidos a la salud mental o física de una persona. Es decir, que revelen información sobre su estado de salud.

¿QUÉ ES UN DATO PERSONAL?

Un dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. (Nombre, apellidos y dirección, DNI, correo electrónico personalizado, estudios, trabajo, enfermedades, bajas médicas, etc.)

¿QÚE SE CONSIDERA TRATAMIENTO DE DATOS?

Se considera tratamiento de datos las operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.

¿CUÁLES SON LOS PRINCIPIOS BÁSICOS EN LA LOPDGDD?

  1. Principio de Minimización de Datos. (Exactitud de los datos)

El Reglamento General de Protección de Datos (RGPD) vincula este principio a la necesidad de que únicamente se obtengan los datos adecuados, pertinentes, limitados y exactos en relación con las finalidades para las cuales sean tratados.

  • Principio de confidencialidad

Los responsables, los encargados del tratamiento y todos los partícipes que traten datos personales tendrán que cumplir con el deber de confidencialidad, complementariamente al secreto profesional. Ambos deberes se mantendrán aunque finalice la relación entre el interesado y los encargados del tratamiento.

  • Principio de información y consentimiento. (Tratamiento basado en el consentimiento del afectado).

Cuando se soliciten los datos del usuario para diferentes finalidades no será válido que se pida su consentimiento en bloque, sino que deberá obtenerse de manera diferenciada y específica para cada una de las diferentes finalidades.

  • Consentimiento de los menores de edad

Se entenderá que el usuario es menor de edad cuando tenga menos de 14 años, edad a partir de la cual podrá expresar por sí solo su consentimiento. Antes de esta edad, los encargados de ejercer esta acción en su nombre serán los tutores legales y quienes tengan la patria potestad, así como, en aquellos casos en los que, a pesar de superar esta edad, sea necesario por ley.

Es importante, llegados a este punto hablar de las CATEGORÍAS ESPECIALES DE DATOS PERSONALES, como lo son origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida o las orientaciones sexuales de una persona física. En estos casos, se deberán poner en marcha mecanismos adicionales con respecto al régimen del consentimiento, aportando un mayor nivel de seguridad.

No será suficiente que el usuario consienta al tratamiento de este tipo de datos, se exigen nuevas condiciones para su tratamiento, como la seudonimización o anonimización, el cifrado, la necesidad de un informe de impacto sobre la privacidad (EIPD), por el elevado riesgo que conlleva un tratamiento incorrecto.

¿QUÉ OBLIGACIONES IMPONE EL RGPD Y LA LOPDGDD CUANDO SE TRATAN DATOS ESPECIALMENTE PROTEGIDOS?

El tratamiento de estas categorías especiales de datos supone una serie de obligaciones adicionales:

Registro de Actividades de Tratamiento: según el artículo 30.5 del RGPD, los Responsables o Encargados del Tratamiento que realicen tratamientos de categorías especiales de datos tendrán la obligación de llevar un Registro de las Actividades del Tratamiento, incluso aunque la empresa u organización emplee a menos 250 personas.

Designación del Delegado de Protección de Datos: el artículo 37.1.c) dispone que los Responsables o Encargados que realicen tratamientos a gran escala de datos especialmente protegidos tendrán la obligación de designar un DPO.

Evaluación de impacto: el artículo 35 apartado 3.b del RGPD estipula que será necesario realizar una evaluación de impacto en el momento en que se traten a gran escala categorías especiales de datos.

Además, según se indica en la Lista de Tipos de Tratamientos de Datos que requieren Evaluación de Impacto que ha sacado recientemente la AEPD, se indica que los tratamientos en que se vea implicado el mero uso de datos especialmente protegidos combinado con uno o más de los restantes criterios dados en el listado, dará lugar a la realización de una Evaluación de Impacto.

Desde Orts Consultores os presentamos distintas soluciones, adaptadas a las características concretas de cada caso, para cumplir con las numerosas modificaciones del RGPD/LOPDGDD que exigen un alto grado de diligencia por parte de los responsables de tratamiento y se basan en un compromiso proactivo con la normativa de Protección de Datos Personales, todo ello para evitar posibles sanciones por parte de la Agencia Española de Protección de Datos, así como daños a la reputación de la empresa.

No os perdáis la próxima entrada de nuestro blog, hablaremos de la necesidad (o no) de contar con un Delegado de Protección de Datos en tu clínica.