Facebook Instagram Twitter Youtube Linkedin Telegram
SUSCRIBETE

.do

Articulos

Protección de datos en el sector sanitario

POR:

Luis Espinosa

diciembre 8, 2022

La información de un paciente, como puede ser su historial clínico o farmacológico tiene un carácter confidencial. La protección de datos sanitarios son una serie de obligaciones legales que tienen las organizaciones en el tratamiento de la información sanitaria de sus usuarios o pacientes.

Las principales obligaciones legales de la protección de datos sanitarios refieren a la seguridad de los datos de los pacientes tanto en su transmisión, almacenaje, acceso o tratamiento, entre otros. Estas obligaciones están recogidas principalmente en el Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica de Protección de datos y Garantía de Derechos Digitales (LOPD-GDD). También es de especial mención la Ley de Autonomía del Paciente, que regula los derechos y obligaciones de los pacientes en materia de información y documentación clínica.

Cuando nos planteamos la incorporación o el desarrollo de software y aplicaciones que gestionan algún tipo de información personal de los usuarios es imprescindible cumplir estrictamente con todas las normativas vigentes en materia de protección de datos. Especialmente cuando se trata de software o apps sanitarias, y dado el carácter sensible de los datos que se gestionan, asegurarnos del cumplimiento de todas las leyes de protección de datos es un aspecto crítico.

¿Qué es el Reglamento General de Protección de Datos (RGPD)?

Un reglamento es una disposición legal de aplicación directa en todo el territorio de la Unión Europea. En materia de protección de datos, en 2016 se estableció el Reglamento (UE) 2016/679, también conocido como RGPD, que tiene como objetivo el unificar los principios y normas sobre la materia. Este reglamento entró en vigor en el 2018 y sustituyó la antigua Directiva de Protección de Datos del 1995, que regulaba entonces el procesamiento de los datos personales dentro de la Unión Europea.

¿Qué es la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD, LOPD-GDD)?

Como ya sabrás, las leyes orgánicas son reglas o normas para regular, de acuerdo con la constitución, aspectos importantes de las relaciones sociales. A pesar de que suele la Ley Orgánica 3/2018 suele conocerse como Ley Orgánica de Protección de Datos (LOPD), el nombre completo de esta normativa es Ley Orgánica de Protección de Datos y Garantía de Derechos digitales (LOPD-GDD). Esta ley entró en vigor en 2018 y sustituyó la anterior Ley Orgánica 15/199 de Protección de Datos de Carácter Personal.

La LOPD-GDD tiene por objetivo adaptar el Derecho español al Reglamento General de Protección de Datos (RGDP), estableciendo las obligaciones y responsabilidades que tienen las empresas a la hora de proceder con el tratamiento de la información personal, además de recoger los derechos de los usuarios y clientes en relación a las mismas.

Por tanto, la normativa de referencia que se aplica en España en materia de Protección de Datos es la LOPD-GDD. Esta norma complementa (que no sustituye) la RGDP en los aspectos que se ha permitido libertad de regulación a los estados miembros de la UE.

¿Qué es la Ley de Autonomía del Paciente?

Otra ley de especial mención cuando hablamos sobre la protección de datos sanitarios es la Ley 41/2002 de Autonomía del Paciente, que regula derechos y obligaciones en relación a la información y documentación clínica. Esta ley tiene por objetivo garantizar el derecho de un paciente a la información sanitaria y también el poder tomar determinadas decisiones relativas a su salud.

La importancia de la protección de datos en el sector sanitario

La información que se gestiona en el sector sanitario pertenece al contexto más íntimo de una persona y tiene un carácter muy sensible. Es por este motivo que los estados aplican una serie de reglamentos y leyes como la RGPD, la LOPD-GDD o la Ley de Autonomía del Paciente. Estas normativas deben tomarse muy en serio por parte de autónomos y empresas que operan con datos sanitarios, ya que de lo contrario, pueden incurrir en sanciones y en algunos casos incluso en delitos penales.

Las sanciones que establece la Agencia Española de Protección de Datos pueden ser muy elevadas y suponen en muchos casos la quiebra y cierre de los negocios, especialmente en el ámbito sanitario. Las cuantías de las sanciones que se imponen varían en función de la gravedad de la infracción:

Infracciones leves de la protección de datos sanitarios (sanciones de 900€ a 40.000€):

  • No haber solicitado la inscripción del fichero
  • Recoger datos sanitarios sin haber informado al usuario
  • Incumplimir el deber de secreto

Infracciones graves (sanciones de 40.001€ a 300.000€):

  • Recoger datos sanitarios con finalidades distintas al objetivo legítimo
  • Recoger datos sin el consentimiento expreso del usuario
  • Mantener los ficheros con los datos sanitarios sin las condiciones necesarias de seguridad que puedan garantizar su confidencialidad

Infracciones muy graves (sanciones de 300.001€ a 601.000€):

  • Comunicar o ceder los datos sanitarios fuera de los casos para en los que se ha permitido y/o consentido.
  • No haber permitido o atendido el derecho del usuario de acceder, rectificar, cancelar u oponerse a sus datos sanitarios
  • No haber atendido el deber legal de notificación sobre los ficheros

Si tu negocio opera dentro del sector sanitario es muy importante asegurarte de que cumples con todos los aspectos legales en materia de protección de datos. Esto es de especial importancia si te estás planteando la implementación o el desarrollo de software en tu organización o en tu actividad profesional.

CTA-Contacto-3

¿Cómo cumplir con las leyes de protección de datos en el sector sanitario?

Para cumplir con las leyes de protección de datos en el sector sanitario debes respetar una serie de principios legales, detallados a continuación:

1.Calidad de los datos sanitarios

Solamente pueden recogerse la información de los usuarios que sean necesarios para su finalidad médica o sanitaria. Es decir, todos aquellos datos que son estériles, excesivos o innecesarios no pueden ser tratados.

2. Información y consentimiento de los datos sanitarios

El paciente deberá ser informado sobre la existencia de un fichero en el que se recogen sus datos sanitarios, así como la finalidad con la que se recoge la información, el destinatario y el responsable del fichero, así como la posibilidad de rectificar y cancelar dicha información. Además, será imprescindible pedir su consentimiento para tratar sus datos sanitarios.

3. Seguridad de los datos sanitarios

Existe la obligación de garantizar la seguridad de todos los datos sanitarios del usuario, disponiendo de un “documento de seguridad”. En este documento se establecen los protocolos que sigue la organización o el autónomo en cuanto a medidas que garantizan la seguridad de la información que se transmite y se almacena.

El responsable último del tratamiento de los datos sanitarios (que no tiene porqué ser el propietario) es el profesional autónomo o el centro sanitario.

En el caso de que exista una brecha de seguridad que pueda llegar a exponer los datos de los usuarios, existe la obligación de notificar tanto a la Agencia Española de Protección de Datos así como a los propios usuarios sobre el incidente. Esta notificación deberá realizarse en un periodo de tiempo máximo de 72h desde el momento que se tuvo constancia de la brecha de seguridad.

4. Confidencialidad de los datos sanitarios

Cualquier persona, incluyendo todos los empleados de la organización, que puedan tener acceso a los datos sanitarios de los usuarios deberá mantener una estricta confidencialidad sobre la información. Este deber suele ser incluido en los contratos laborales de los empleados.

5. Cesión o comunicación de los datos sanitarios

En el caso de que los datos sanitarios recogidos vayan a ser comunicados o utilizados por terceros, el usuario deberá ser informado y prestar su consentimiento. Además, dichos datos solo podrán ser trasladados a terceras partes para fines directamente relacionados con el proceso sanitario. Estas terceras partes deberán cumplir siempre con las mismas medidas de seguridad que las que cumple el responsable primero del tratamiento de los datos sanitarios.

desarrollar-app-salud-cta

6. Acceso, rectificación, supresión, limitación, portabilidad y oposición de los datos sanitarios

Los usuarios tienen derecho a solicitar una copia de su historial clínico. En el caso de que en esta historia clínica consten valoraciones personales o datos de terceras partes, esta información deberá suprimirse.

Los usuarios tienen derecho a solicitar que se rectifiquen datos erróneos o incompletos. Cuando esta información sea relativa a datos de salud, deberá ser el profesional sanitario quien decida si los datos tienen que ser rectificados o no. Del mismo modo, cuando un usuario ejerza su derecho sobre la supresión de su historial clínico, será el profesional sanitario quien decida si procede, dado que determinada información puede tener que conservarse por varios motivos. Algunos de estos motivos pueden ser que se requieran para fines de diagnóstico médico, medicina preventiva, evaluación de capacidades del profesional, prevención de amenazas contra la seguridad pública, mejora de la calidad de la asistencia sanitaria, etc.

7. Designación de un Delegado de Protección de Datos (DPD/DPO):

Las organizaciones que dispongan de información relacionada con el historial clínico de sus usuarios deberán designar un Delegado de Protección de Datos (DPD, DPO). Este delegado puede ser interno (siempre y cuando tenga conocimientos suficientes sobre la protección de datos), así como externo. En todos los casos deberá de disponer de todos los recursos que sean necesarios para desempeñar sus funciones según la ley. Solo en el caso de los profesionales sanitarios que ejercen de manera individual y en el ámbito privado, la designación del DPO será voluntaria.

8. Inscripción de los ficheros en la Agencia Española de Protección de Datos

Cuando se crea un fichero con información sanitaria de los usuarios, es de obligado cumplimiento la notificación de la existencia del fichero a la Agencia Española de Protección de Datos. De igual modo, las modificaciones y cancelaciones del fichero deberán ser igualmente notificadas. Es importante mencionar que lo que notificamos no es el contenido del fichero, sino la existencia del mismo.

En GooApps contamos con una experiencia muy ámplia en el desarrollo de Apps de Salud, con lo que conocemos de primera mano cómo hacer aplicaciones que cumplen con las certificaciones médicas y las leyes de protección de datos, desde la etapa de definición del problema hasta un producto que esté preparado para ser lanzado en el mercado. ¿Tienes una idea sobre una app de salud que te gustaría desarrollar y requieres de un equipo especializado que te acompañe en el proceso de desarrollo?

Contáctanos, ¡Estaremos encantados de ayudarte! Contacta con nuestro representante de ventas para LATAM directamente AQUÍ o a su correo miguel@gooapps.net

Noticia relacionada

Cómo desarrollar una App de Salud: Guía Completa

TEMAS:

No te pierdas una noticia, suscribete gratis para recibir DiarioSalud en tu correo, siguenos enFacebook, Instagram, Twitter, Linkedln, telegram y Youtube.

Luis Espinosa

Doctor graduado en medicina interna, con una especialidad en células madres con aplicaciones en infecciones, articulista y maestro de medicina.
Facebook Instagram Twitter Linkedin Telegram

NOTICIAS RECIENTES

Más Leidas

FDA
vacunas-a-medicos-dominicanos
JarabeOMS
actividadeseptiembre
X-Congreso-Internacional-de-salud-digital (1)
transplanteriñon

NOTICIAS RECIENTES

AGENDA DE SALUD

Categorias:

Siguenos

Facebook Instagram Twitter Youtube Linkedin Telegram

Subscribete

DIARIOSALUD.COM ®
2024

Todos los derechos reservados

Scroll to Top

Buscar