Durante la celebración de la jornada sobre el Reglamento Europeo de Protección de Datos: Aplicación en el Sector Sanitario, celebrada por la Alianza de la Sanidad Privada Española (ASPE) en la sede de la CEOE en Madrid, Alberto Martín San Cristóbal, director general de Alaro Avant, ha desarrollado una intervención sobre la Evaluación de Impacto de la Protección de Datos (EIPD) en el Sector Sanitario.
Martín ha expuesto las novedades más relevantes del RGPD frente a la actual LOPD. El ámbito de aplicación ya no es sólo España, sino que es la Unión Europea y ha señalado que “muchas empresas que actúan en el sector sanitario están en una fase expansiva dentro de la Unión Europea y, por tanto, esto les afecta de lleno“. El consentimiento expreso es otra de las grandes novedades, junto con la figura del DPO y ha destacado la importancia de “prever el tratamiento de datos que se va a hacer antes de realizar ese tratamiento“. Ha hablado también de la privacidad por defecto que significa que “no debemos tratar más datos de los que necesitamos ni por más tiempo del que los necesitamos”. Ha hecho referencia a los nuevos derechos que tienen los afectados, tales como el derecho de portabilidad de los datos, ya que “imaginemos que un paciente se quiere llevar sus datos de una clínica a otra, o de un hospital a otro“; y a la obligación de la comunicación de brechas de seguridad. Por último, ha mencionado el régimen sancionador que “lógicamente, supone un incremento del riesgo para las empresas que están en este setor“.
“No debemos tratar más datos de los que necesitamos ni por más tiempo del que los necesitamos”
Con respecto a la Evaluación del Impacto de la Protección de Datos (EIPD), ha explicado que es “un análisis de riesgos derivado de los datos personales que tiene o que trata la organización”, y ha matizado que estamos ante un concepto que no es propio del Reglamento Europeo, sino que “es un concepto que ya se viene utilizando mucho tiempo y que ahora el Reglamento Europeo lo adopta“.
Ha destacado la importancia de hacer un análisis de riesgos como paso previo a la evaluación de impacto dentro de una organización, pues “va a tener un efecto en cascada sobre las medidas de seguridad adoptadas y, por tanto, a la hora de decidir cuáles son esas medidas, tenemos que hacer previamente un análisis de riesgos“, y ha añadido que “si el análisis de riesgos está mal hecho, las conclusiones serán erróneas y las medidas a adoptar dentro de la organización serán erróneas también“. Por eso ha destacado la importancia no sólo de hacerlo bien, sino también de contar con personal cualificado dentro o fuera de la organización, “para que puedan realizar correctamente este análisis de riesgos, ya que tiene consecuencias“.
“Si el análisis de riesgos está mal hecho, las conclusiones serán erróneas y las medidas a adoptar dentro de la organización serán erróneas también“
Ha explicado la necesidad de saber cuál es el flujo de los datos dentro de la organización: “qué recorrido llevan, por dónde entran, quiénes acceden, en qué sistemas informáticos están soportados, incluso dónde están almacenados” Y ha hecho alusión al principio de privacidad por defecto para que “nadie que no tenga que acceder a esos datos, que no lo necesite, pueda acceder a ellos“.
Principio de privacidad por defecto: “Que nadie que no tenga que acceder a esos datos, que no lo necesite, pueda acceder a ellos“
¿Qué medidas técnicas y organizativas se están utlizando para proteger esos datos?
Sobre las medidas técnicas y organizativas para la protección de datos, Martín se ha referido a que “no solamente estamos pensando en la parte informática, sino también a nivel procedimental“. También ha hecho mención a la importancia de pensar cuál es el destino final de los datos, una vez que se ha cumplido la finalidad para la que fueron recogidos, es decir “ya hemos realizado la prestación del servicio y, a partir de ahí, qué pasa con esos datos“.
Con respecto a la identificación de los riesgos, ha enfatizado en la necesidad de saber qué es un riesgo, que es “cualquier incidente que pueda producirse y que pueda afectar a los derechos y libertades de las personas físicas“.
“Ahora, las medidas de seguridad las tenemos que definir nosotros“
Según el Reglamento Europeo, los riesgos ya no son sólo los inherentes a la privacidad de las personas y solamente tienen que ver con la protección de datos, sino que “va un paso más allá, hacia los derechos y libertades de las personas físicas. Por eso, cuando tengamos algún incidente de seguridad que pueda afectar a estos derechos y libertades de las personas físicas es donde tenemos el riesgo. Con lo cual, el ámbito se amplía a todos estos aspectos: integridad moral, imagen, intimidad, honor, secreto de las comunicaciones, ideología, religión o creencias, libertad, seguridad, etc“.
“Riesgo es cualquier incidente que pueda producirse y que pueda afectar a los derechos y libertades de las personas físicas“
A la hora de analizar uno por uno dichos riesgos, hay que atender a dos aspectos esenciales, como ha señalado Martín San Cristóbal. Uno de ellos es “la probabilidad de ocurrencia, es decir, cómo de posible o de probable es que suceda un riesgo, que se materialice ese riesgo“. El segundo criterio a ponderar es la gravedad, “las consecuencias de la ocurrencia, es decir, si sucede y se materializa ese riesgo, cómo de grave es que eso pueda pasar y qué consecuencias tiene“. Y estas últimas pueden ser daños o perjuicios materiales o morales para terceros, si pueden llegar a afectar a derechos y libertades de terceros, si pueden llegar a que el centro sanitario incumpla sus obligaciones o, incluso, si puede llegar a repercutir en la imagen de la compañía de cara a terceros.
Sobre la gravedad de los riesgos, hay que analizar si pueden constituir daños o perjuicios materiales o morales para terceros, si pueden llegar a afectar a derechos y libertades de terceros, si pueden llegar a que el centro sanitario incumpla sus obligaciones o, incluso, si pueden llegar a repercutir en la imagen de la compañía de cara a terceros
Además, ha indicado que “la nueva norma no nos dice lo que tenemos que hacer, y eso nos crea incertidumbre“, y ha señalado que antes, con la LOPD, era más fácil. “Aquí no tenemos un listado de las medidas de seguridad, y eso a todos los que estamos en el sector nos preocupa, porque no tenemos una guía clara. Esas medidas de seguridad las tenemos que definir nosotros, más allá de que podamos utilizar las que se han venido utilizando hasta ahora por el reglamento de la LOPD actual, pero lo que la nueva norma nos dice es: analiza tus riesgos y, en función de esos riesgos, decide tú cuáles son las medidas de seguridad a adoptar, implántalas y, además, lo que tienes es que hacer un ciclo de mejora para revisar si esas medidas de seguridad son efectivas para reducir los riesgos“, ha expuesto.
..Flor Cid
