Noticias y Novedades

ESPAÑA CONFIRMA SU DESASTRE LEGISLATIVO EN PROTECCIÓN DE DATOS.

España ha confirmado este miércoles, 21 de febrero, su desfase legislativo sobre protección de datos, a pesar de la inminente aplicación del reglamento europeo en la materia: 2016/679 (RGPD), el cual está establecido para el próximo viernes, 25 de mayo del presente año, sin moratorias posibles. Sin embargo, no hay fecha para la ley española que sustituirá la actual Ley Orgánica de Protección de Datos (LOPD), ni para su posterior reglamento nacional. De esta manera se expuso durante la jornada organizada por la Alianza por la Sanidad Privada Española (ASPE) al respecto de este asunto.
Actitud proactiva
El director general de ASPE, Carlos Rus, abrió el evento con la afirmación de que el reglamento comunitario de protección de datos viene a impulsar una actitud proactiva en todas las entidades que manejen esta información, y a diferencia de la legislación española previa, más dirigida. Carlos Rus, que agradeció a la Confederación Española de Organizaciones Empresariales (CEOE) el uso de su sede para el encuentro, destacó la aplicación directa del RGPD, ya que supone un cambio de paradigma desde la autorresponsabilidad de las empresas y la exigencia de formación para sus trabajadores. El representante de ASPE situó la adopción de la legislación europea en el camino de excelencia que sigue el sector sanitario privado desde hace mucho tiempo y que se fraguó en la creación de un Código Tipo destinado a la facilitar la adaptación al RGPD. Recordó también Rus la importancia de velar por la seguridad de la información personal desde un sector, como el de la Sanidad Privada, que ya tiene más de 50.000 camas y el 25 por ciento de la actividad sanitaria de España, a  través de 150.000 profesionales y más de 450 hospitales.
Sanciones millonarias
El subdirector general de la Inspección de Datos de la Agencia Española de Protección de Datos (AEPD), el abodado y funcionario público Pedro Colmenares, dudó inicialmente sobre el hecho de poder tranquilizar al auditorio sobre la nueva legislación en ciernes, dado que su función es inspectora y sancionadora cuando procede. Con un cuadro de multas que pronto oscilarán entre los 600.000 euros y los 20 millones de euros, aparte de la posibilidad de cargar el 4 por ciento del volumen de facturación de la compañía infractora; aunque también admitió que el nuevo marco legal viene a vigilar comportamientos, sin que la base de protección de datos haya cambiado de forma sustancial.
Contra malos usos sostenidos
Aunque las sanciones han subido en su tramo alto, este ponente considera que su aplicación no va contra el error aislado, sino contra las conductas corporativas negligentes o delictivas, de forma continuada. Por ello, la AEPD avisará de aquellos casos que detecte, antes de que sea necesaria la vía ejecutiva, con la salvedad de que las sanciones pueden variar entre países, en función de la inabarcable casuística. Desde la concepción del contenido digital como intangible, Pedro Colmenares habló de enormes posibilidades de inmediatez, generación de información y capacidad muy rápida de alteración, en virtud de las nuevas tecnologías de la información y la comunicación. Como fallos más frecuentes, habló de malos usos, que sólo son puntuales en el sector sanitario.
Cuidar la historia clínica
Colmenares citó la especial protección que se debe aplicar a la historia clínica, desde la ley de autonomía del paciente. Como antecedente, se remontó al plan de inspección de oficio de hospitales públicos, de 2016-2017, para la adecuación de la normativa con el objetivo de generar confianza y elevar el nivel de cumplimiento, como anticipó del nuevo marco legal a entrar en vigor este año. De esta forma, la experiencia culminó con un decálogo en el que se insta a utilizar los datos ajenos como a los propios, sin que se haga un uso innecesario de las historias clínicas, con registro de todos aquellos que consultan los datos y las razones para ello. Todo ello, además de prevenciones de tipo informático y para los documentos en soporte físico, como el papel. Dicho decálogo sirve para tutelar la información, afirmó este ponente, dentro de una cultura de la protección de datos. Entre los problemas detectados, habló de cierta ligereza, sin llegar a negligencia, en el uso masivo de datos, en el sector sanitario público analizado.
Impronta anglosajona
Según Colmenares, era necesario el nuevo reglamento europeo por agotamiento de las anteriores fórmulas de protección, con la novedad de contar con un responsable de protección de datos y del refuerzo del concepto de la responsabilidad activa. Desde este nuevo enfoque, las empresas y entidades tienen pautas en el reglamento, de inspiración anglosajona, a partir de conceptos como ‘Compliance’ y ‘Accountability’.
Adiós al fichero, hola registro
Entre los requisitos de la nueva filosofía de protección, se sustituye el fichero de datos por el registro de actividades con los datos de terceras personas. De esta forma, es preciso pensar en la protección de datos desde el diseño de cada proyecto, practicar la protección por defecto, con medidas de seguridad, análisis de riesgo, evaluaciones de impacto y notificaciones de las violaciones que afecten a la seguridad. Además del consentimiento expreso de los individuos, aclaró este ponente, el reglamento exige actuar con proporcionalidad de forma que se argumenten las actuaciones con datos que pudieran dar lugar a actuaciones desde la AEPD. En relación con las medidas de seguridad, precisó que tienen diferentes grados y deben adecuarse siempre al estado tecnológico del momento.
Desfase legislativo
Dado que el 25 de mayo entrará en pleno vigor el reglamento europeo, Colmenares animó al Parlamento español a disponer lo antes posible de la necesaria ley que sustituya a la LOPD actual, aunque no albergó esperanzas de que pueda estar lista en la próxima primavera, con lo que el “paquete” reglamento, ley española y reglamento de dicha ley española tendrá que esperar. Esta es una realidad que no impedirá a la AEPD velar por la protección de datos desde el articulado del reglamento europeo. En el articulado comunitario, a pesar de ser bastante genérico, el artículo 9 se refiere a los datos sanitarios como datos de especial protección, en sintonía con las características intrínsecas de la persona. Sobre la figura del delegado de protección de datos (DPO), el ponente afirmó que su desarrollo irá paralelo a la adopción de códigos de conducta, con carácter transversal.
Datos especialmente sensibles
El reglamento, reiteró Colmenares, afirma que los datos de salud responden a una categoría especial que exige consentimiento explícito, respetar los intereses vitales de la persona, ser de interés público esencial su uso, y atender a fines como la Medicina Preventiva y la Salud Pública. Estas son pautas que deben ser especialmente protegidas por los responsables de tecnología de las entidades y empresas y los profesionales sanitarios. Además, el responsable de la AEPD advirtió de que el reglamento europeo no afecta al fundamento de la investigación científica.
Atención a los riesgos
El director general de Alaro Avant, Alberto Martín San Cristóbal, explicó el concepto de EIPD (DPIA, en inglés), o evaluación de impacto de la protección de datos, es decir, el análisis de los riesgos que se derivan de los datos personales que posee cada organización. Estos riesgos pueden afectar a los derechos y libertades de las personas físicas, y van desde el honor, a la imagen, pasando por la intimidad, el secreto de las comunicaciones y la seguridad, entre otros; con valoración de la probabilidad de ocurrencia y la gravedad que implican consecuencias. Para prever la situación anterior, el plan de tratamiento de riesgos determina las acciones a realizar con carácter preventivo. Como ejemplo de ello, Alberto Martín San Cristóbal habló de un terremoto ocurrido en la víspera en Murcia, hecho realmente inusual pero no imposible, además de susceptible de afectar a la integridad de los datos y sus soportes.
Medidas de seguridad
Señaló Martín San Cristóbal que, a diferencia de la LOPD, el reglamento europeo no incluye un listado de medidas de seguridad, sino que auspicia un marco preventivo sometido a un ciclo de mejora continua. En virtud de esta indefinición, en claro contraste con la posibilidad de sanción real por parte de la AEPD, entendió el nerviosismo de muchos responsables de clínicas y hospitales. Este especialista también se refirió al artículo 35 del reglamento (RGPD) y a su concepto de gran escala, difícil de cuantificar, la consideración de datos de salud como especiales y los derechos y libertades de las personas. Estas son magnitudes que definen el grado de riesgo, modificado por el concepto de ‘Scoring’, o predicción sobre la salud de las personas afectadas, junto a consideraciones de sujetos ambientales o la imposibilidad de ejercer derechos, entre otros. Añadió que su firma actúa como DPO externo, para cuyo cometido dispone de un seguro civil de responsabilidad subsidiaria de 600.000 euros.
La importancia del DPO
La DPO y directora de la Unidad de Seguridad y Protección de Datos de la Clínica Universidad de Navarra, Patricia Muleiro, describió la figura del Data Protection Officer (DPO), o delegado de protección de datos, que debe existir en cada hospital. Previamente, agradeció a ASPE la confianza que tuvo al encomendarle la misión de participar en la certificación DPO que realizó la patronal del sector, en beneficio de sus asociados. Como consejos para las organizaciones sanitarias que todavía no han hecho los deberes, Patricia Muleiro habló de la realización preparatoria con la designación de un DPO, además de cartografiar el uso de datos, priorizar las acciones, gestionar según criterio de riesgo, organizar los procesos internos y documentar todos los procesos, con trazabilidad y ‘Accountability’.
Examen y experiencia
Como DPO, Muleiro explicó que la certificación de este perfil se ajusta al criterio ISO/IEC-2012, con examen requerido y. al menos. cinco años de experiencia demostrable en protección de datos. Sobre esta persona, o entidad externalizada, aseguró que debe tener conocimientos legales y no ostentar cargos corporativos que generen conflictos de intereses en relación con su función. Todo ello, además de tener rasgos personales, como las dotes de comunicación, la proactividad y el espíritu de servicio a su organización y al fiel cumplimiento de la normativa de protección de datos. Reflexionó igualmente esta ponente que la nueva normativa obliga a los hospitales a estandarizar los procedimientos de seguridad de los datos con mayor anonimización y registro de todas las acciones realizadas en esta materia.
El Caso WannaCry
La responsable de proyectos del Instituto de Ciberseguridad (INCIBE) del Ministerio de Energía, Turismo y Agenda Digital, Elena García, cifró en un 1 por ciento del PIB mundial el negocio del cibercrimen que actualmente existe en el planeta. Todo ello como un problema de dimensión global en el que muchas empresas pagan rescate en los chantajes digitales (ransomware), aunque públicamente no lo puedan confesar. Elena García habló de 123.064 incidentes reconocidos, de los que 116.642 afectaron a personas y empresas y 5.537 al ámbito académico. Para ilustrarlo, citó el caso WannaCry, que produjo segundas vulnerabilidades en los equipos de todo el mundo, con presa en empresas que no habían actualizado sus sistemas, especialmente del Reino Unido, que vio muy afectada su asistencia sanitaria. Aboga, por tanto, por el uso de ciberseguridad con el uso de la herramienta virtual de INCIBE, que permite chequear los equipos en apenas cinco minutos.
Consentimientos digitales
Seguidamente, el ejecutivo de grandes cuentas de DS Legal Group, Gabriel Díaz Ferrer, habló de consentimientos informados desde la perspectiva legal que ofrece su firma tras más de 2.000 procedimientos. Dentro de sus servicios, esta empresa ofrece auditorias y consultoría para lograr prescindir en las entidades sanitarias del papel, responsable del 80 por ciento de sentencias adversas. Todo ello tras juicios, aclaró, en los que se detecta, sobre todo, una desactualización de consentimientos como causa de la pérdida en los procedimientos. Estas son situaciones que, a veces, coinciden con pequeños incendios en algunos centros asistenciales, según explicó de manera anecdótica. Dado que la litigiosidad por consentimientos informados incorrectos alcanza el 70 por ciento, Gabriel Díaz Ferrer recordó que estos documentos deben ser almacenados durante, al menos, cinco años en soportes seguros. En ese sentido, propuso la creación de una base de datos en el que los consentimientos se vinculen a las historias clínicas. Todo ello en tendencia creciente hacia la clasificación internacional CIE-10 y al ahorro que supone prescindir del aludido papel.
La firma digital
A continuación, el director jurídico de Validated ID, el abogado Fernando Pino, insistió en el carácter probatorio del consentimiento, que debe ser consciente e inequívoco, además de implícito o explícito, escrito, digital o verbal. Fernando Pino comentó que la antigua ley de firma electrónica está a la espera de renovación de la transposición del marco comunitario. Entre los tipos de firma, señaló la sencilla, la avanzada y la cualificada, sin olvidar la biométrica, que debe ser validable, mediante el cotejo con el documento oficial. O como la firma centralizada o las tarjetas con chip, como la del DNI o la firma remota, añadió. Sobre este último, aludió el jurista al ataque a la compañía Roca, que no tuvo consecuencias porque nadie utiliza el DNI electrónico. Todo ello con mención a que el desastre podría haber sido importante, si ese documento de identidad hubiese sido de uso general.
El cambio como oportunidad
El responsable de protección de datos del grupo asistencial Hermanas Hospitalarias, Alejandro Artexe, afirmó que el nuevo marco legal no ha dejado de suscitar temor y nerviosismo en las organizaciones sanitarias. Tras referir diferentes experiencias en centros de salud mental, con resultados moderadamente satisfactorios, Alejandro Artexe explicó que el sector sanitario español está en fase burocrática, a lo que añadió su confianza en que las organizaciones asistenciales podrán “coger el músculo suficiente” para atender con fidelidad los dictados del RGPD. Desde su experiencia como PDO, este ponente considera imprescindible esta figura en los hospitales, de cara a cumplir la ley y ayudar a cambiar la cultura organizativa, misión que deberá estar siempre apoyada por la formación que sea necesaria, aconsejó. Aprovechó para criticar los realities de televisión que difunden a los cuatro vientos datos personales que deberían quedar reducidos al estricto ámbito de la privacidad.
Gracias y adelante
Clausuró el acto el directivo de ASPE, Valentín Ballesteros, quien animó a todos sus asociados a no temer al nuevo reglamento, con la adopción de las medidas necesarias para preservar los datos de los pacientes. Además de resumir las ponencias, anunció que ASPE informará próximamente sobre la actualización de su código tipo. Fuente: actasanitaria http://www.actasanitaria.com/aspe-proteccion-datos/