Entradas

Ponencia salud

Clínica San Vicente y Letradox Abogados. Protección de Datos

/en /por

CLÍNICA SAN VICENTE Y LETRADOX ABOGADOS. PROTECCIÓN DE DATOS

Letradox Abogados realizó una ponencia sobre protección de datos el pasado jueves 28 de marzo. La ponencia tuvo lugar en la Clínica San Vicente. En la que profesionales del mundo de la salud tuvieron la oportunidad de conocer las últimas novedades en materia de protección de datos y, en concreto, en su profesión. Todo ello de la mano de las letradas del despacho, Mercedes de Parada y Marián Rojo.

Las abogadas arrojaron luz sobre la normativa europea de protección de datos y su aplicación en el sector sanitario. Repasaron las particularidades del sector sanitario y su normativa específica. Los antecedentes de la normativa actual. El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPD).

Por otro lado, se abordaron cuestiones como la responsabilidad proactiva del sector sanitario. La figura del Delegado de Protección de Datos. Los derechos de los pacientes. Y el tratamiento de datos para la investigación en salud.

También hicieron referencia y pusieron ejemplos concretos, con casos prácticos y noticias relacionadas con la materia.

Durante la primera parte de la ponencia, Marián Rojo ilustró a los asistentes sobre la normativa española y europea en protección de datos. Y su aplicación concreta en el sector sanitario.

La letrada explicó las diferencias entre los datos que manejan los centros médicos, datos básicos, datos de salud y otra serie de datos. Y aporto definiciones necesarias sobre estos datos de salud o datos sanitarios. Considerándolos como los relativos al estado de salud del interesado que dan información sobre su estado de salud físico y mental pasado, presente y futuro. Tal y como viene reflejado en el Considerando 53 del RGPD.

Son datos dotados de una especial protección, como puede observarse en el artículo 9 RGPD.

En materia de salud pública, Marián Rojo hizo referencia al Considerando 54 RGPD. El cual define la salud pública como todos los elementos relacionados con la salud. Concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad. Los determinantes que influyen en dicho estado de salud. Las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria. La puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria. Y las causas de mortalidad.

Brevemente, la abogada de Letradox hizo también un repaso de la normativa que precedió a la actual legislación. Para aplicar un enfoque que permitiera mostrar la evolución en la normativa.

Esto le permitió explicar la actual legislación con mayor claridad. Y así procedió a hablar del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016. Reglamento ya mencionado en este artículo. Y también habló de la Ley Orgánica 3/2018 de Protección de Datos y garantía de los derechos digitales..

Rojo explicó las características de esta nueva normativa. El refuerzo del consentimiento respecto al tratamiento de los datos del paciente, que debe ser libre, informado, específico e inequívoco. Un consentimiento que ha de ser expreso o que haya una clara acción positiva por el interesado. Dicho consentimiento debe ser demostrable.

Los datos médicos tienen un prohibición expresa de tratamiento salvo que haya un consentimiento explícito del paciente (art. 9 RGPD). También hay una serie de excepciones recogidas en el citado artículo que permiten el tratamiento de datos del paciente.

Y en cuanto al consentimiento informado. Existe una obligación por parte del profesional médico de informar de forma concisa, inteligible, clara y sencilla.

En España. La LOPDGDD permite el tratamiento de estos datos si son amparados por una norma con rango de ley. Que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad (art. 9.2 LOPDGDD). A este respecto, es importante mencionar que dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada. O la ejecución de un contrato de seguro del que el afectado sea parte. Y actualmente no ha sido publicada ninguna norma.

En cuanto a responsabilidad proactiva. Marián Rojo mostró en qué consistía este tipo de responsabilidad. Cumplir y demostrar que se ha cumplido con el tratamiento y protección de los datos. Así como la forma en que afecta y obliga al sector sanitario. Y qué medidas están relacionadas con la responsabilidad proactiva: la Evaluación de Impacto y el Delegado de Protección de Datos.

La Evaluación de Impacto consiste en un análisis de los riesgos derivados del tratamiento y medidas para paliarlos. En esta Evaluación deben tenerse en cuenta todos los aspectos del tratamiento de datos. Los datos que se tratan, la forma de obtenerse, la finalidad, etc. El análisis se lleva a cabo analizando los riesgos en función de la probabilidad y gravedad. Llegando a proponerse soluciones.

El Delegado de Protección de Datos se encarga del tratamiento de datos especialmente protegidos a gran escala. Lo que está relacionado con el ámbito de la salud. El artículo 34.1 l) LOPDGDD obliga a tener un Delegado de Protección de Datos a los centros sanitarios obligados legalmente al mantenimiento de las historias clínicas de los pacientes. Salvo aquellos profesionales obligados que ejerzan su actividad a título individual.

Para ser Delegado es necesario tener una independencia jerárquica dentro de la empresa. Es posible que sea una persona interna o externa de la empresa. Puede ser certificado o no. Y debe tener una serie de conocimientos y experiencia en la materia. Sus funciones principales son el asesoramiento en la materia. La formación de trabajadores. O crear protocolos de actuación, entre otras.

Durante la segunda parte de la ponencia. Mercedes de Parada informó al personal sanitario de la Clínica San Vicente sobre los derechos de los pacientes. En materia de protección de datos, por supuesto.

Hizo referencia al Considerando 63 RGPD. “Los interesados deben tener derecho a acceder a los datos personales recogidos que le conciernan y a ejercer dicho derecho con facilidad y a intervalos razonables, con el fin de conocer y verificar la licitud del tratamiento”.

Los pacientes tienen los tradicionales derechos ARCO: Acceso, Rectificación, Cancelación y Oposición. Pero también existen una serie de derechos nuevos. Como el derecho a la portabilidad del dato y el derecho a la limitación en el tratamiento de datos. O el derecho al olvido.

Acudiendo a la Ley reguladora de la Autonomía del Paciente. Citó artículos básicos de la norma. Como el articulo 4, relativo al derecho a la información asistencial. El artículo 7, sobre el derecho a la intimidad. El artículo 14, de la definición y archivo de la historia clínica. O los artículos 17 y 18, de la conservación de la documentación clínica y de los derechos de acceso a la historia, respectivamente.

También habló del tratamiento de datos para a investigación de la salud. Y explicó cómo el interesad o su representante legal pueden otorgar el consentimiento para el tratamiento de los datos. Con fines de investigación médica (art. 2 LOPDGDD). Siendo necesario un informe previo y favorable del comité de ética de la investigación.

La ponencia terminó con una serie de ejemplos prácticos comentados por las abogadas. En las que el personal sanitario pudo observar la relevancia actual de la materia. También cómo hasta el momento distintos centros médicos habían incumplido la normativa de protección de datos. Los profesionales médicos de la Clínica San Vicente se fueron satisfechos y contentos por la experiencia Letradox.

Estos incumplimientos pueden acarrear consecuencias graves. Sobretodo para aquellos que en el día a día trabajan con datos. En Letradox Abogados prevenimos estos incumplimientos y solucionamos los ya cometidos. Como despacho especializado en protección de datos, ofrecemos nuestros servicios para resolver cualquier problema sobre protección de datos.

TODO SOBRE PROTECCIÓN DE DATOS. POR LETRADOX ABOGADOS.

/en /por

TODO SOBRE PROTECCION DE DATOS POR LETRADOX ABOGADOS.

Desde que el pasado 25 de mayo de 2018 entrase en vigor la nueva normativa de Protección de Datos hemos sufrido grandes cambios.

No hay más que ver la cantidad de artículos que desde aquí hemos dedicado a ello. Conscientes de la densidad de información, recogemos en este post todas las claves de manera sucinta. Enlazando para mayor desarrollo a otros escritos sobre los diferentes puntos.

Así pues, esta es toda la información que necesitará sobre protección de datos. Todas las novedades y necesidades que trajo el Reglamento Europeo sobre la materia.

Diariamente estamos facilitando nuestros datos de carácter personal para realizar actividades cotidianas. Y sobre todo, con las nuevas tecnologías el volumen y rapidez con el que se captan tratan estos datos es ingente. 

  • DEFINICIONES DE DATO DE CARÁCTER PERSONAL.

En primer lugar, Según el art 3.a de la LOPD. Es cualquier información concerniente a personas físicas identificadas o identificables.

De otro lado, Según el art. 5.1.f. del RDLOPD. Es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Las novedades que incluye este RDLOPD entre otras es: incluir en su ámbito de aplicación a fallecidos, personas de contacto y empresarios individuales. La regla general de aplicación es a todo tratamiento automatizado o manual de estos datos si existe fichero.

(definición de fichero. Fichero: Todo conjunto organizado de datos de carácter personal, que permita el acceso a los datos con arreglo a criterios determinados, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.)

OTRAS DEFINICIONES DESTACABLES, COMO POR EJEMPLO, RESPONSABLE, ENCARGADO… LES ACONSEJAMOS QUE VISITEN ESTE LINK A NUESTRO POST. 

  • PRINCIPIOS LOPD.

Calidad. en esencia, Los datos inexactos o incompletos deben ser cancelados y sustituidos de oficio. Además los datos deben ser recogidos para finalidades determinadas, explícitas y legítimas. así mismo, los datos recogidos no pueden usarse para finalidades incompatibles.

Por otro lado, Información. El afectado debe ser informado de manera expresa, precisa e inequívoca de lo recogido en el art. 5.1.

“ A) existencia de un fichero. B) finalidad de la recogida. C) destinatarios de la información. D) carácter obligatorio o facultativo de las preguntas. E) consecuencias de la obtención. F)posibilidad de ejercicio de derechos. G) identidad del responsable o su representante. H) dirección del responsable o su representante.”

Así mismo, cuando el dato se recaba de un tercero se informa por el responsable en los tres meses siguientes.:

  • origen de los datos.
  • Identidad del responsable del tratamiento.
  • Extremos a,d y e del art. 5.1.

Para publicidad o prospección comercial cuando los datos sean recogidos de fuentes accesibles al público. Se debe incluir el origen de los datos, identidad del responsable del tratamiento y los derechos que le asisten

Consentimiento. Debe existir una manifestación de la voluntad libre, inequívoca, específica e informada. Tanto para el tratamiento de datos como para la cesión.  Si son datos especialmente protegidos requieren consentimiento por escrito. El consentimiento, además puede ser revocado. Y cuando no sea necesario el consentimiento puede oponerse al tratamiento por motivos fundados y legítimos. (ejemplos de este último caso es por ejemplo datos de fuentes accesibles al Público).

Finalmente, están los principios de Seguridad de los Datos (art.9). El Deber de secreto (art.10). Y el Acceso a datos por cuenta de terceros (art. 12).

  • DERECHOS COMO INTERESADO.

En primer lugar, tener en cuenta que están recogidos en los artículos del 13 al 19 de la LOPD. Los más relevantes los denominamos derechos ARCO. Y son el de Acceso, el derecho de Rectificación, el de Cancelación y el de Oposición. Estos son los derechos sobre los que le podremos asesorar y ayudar a ejercer. Así mismo, estos tienen especialidades reguladas en el RDLOPD.

Sobre estos derechos hacíamos mención en el siguiente post: aquí.  Estaremos completamente a su disposición para esclarecer dudas.

  • ANÁLISIS DE LOS RIESGOS EN PROTECCIÓN DE DATOS.

Llamamos Gestión de riesgos al conjunto de actividades y tareas que permiten controlar la incertidumbre relativa a una amenaza. A través de una secuencia de actividades que incluyen la identificación y evaluación del riesgo.

Por lo tanto, podemos dividirlo en tres etapas. Identificación, evaluación y tratamiento de los riesgos. La evaluación de riesgos es la valoración del impacto de la exposición a la amenaza. La exposición a los riesgos en la protección de datos se produce desde el mismo momento en que se inician los tratamientos.

El responsable (figura que ahora definiremos) debe aplicar unas medidas técnicas y organizativas apropiadas para la protección. 

– pseudonimización, cifrado de datos personales

– Confidencialidad, integridad, disponibilidad, resiliencia permanente de sistemas de tratamiento

– Proceso de verificación, evaluación y valoración regulares de la eficacia.

En primer lugar, será capital la definición la actividad del tratamiento para ver qué medidas emplear.

Sobre todas estas cuestiones enunciadas y de suma importancia, sin duda, le redirigiros a un completo artículo. Vistas las pinceladas más relevantes sobre el asunto desarrollamos todo aquí.

  • NOVEDADES PRINCIPALES DEL REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS.

primero, partiendo del modelo de privacidad y la figura del DPO el reglamento incluye.:

Forma de obtención del consentimiento

Nuevos derechos para los interesados (derecho al olvido, portabilidad, limitación).

Necesidad de notificar las violaciones de privacidad a la AGPD en un plazo de 90 días

La obtención del consentimiento la hemos tratado someramente en los principios antes citados. Y es muy curioso y relevante el nuevo derecho al olvido. Un derecho que materializa nuestro deseo de querer “desaparecer”. De hacer desaparecer nuestros datos de determinados lugares y tratamientos.

Por otra parte, ¿Cómo adaptar mi empresa al Reglamento Europeo de Protección de Datos?. De manera muy sencilla los principales puntos, al margen de un asesoramiento más individualizado y profundo, son.:

– Cambia el modelo de gestión de la protección de datos

– Privacidad desde el diseño y por defecto

– No basta con cumplir la normativa, hay que poder demostrarlo, por lo que todo tiene que estar muy bien documentado.

– Importante contar con asesoramiento jurídico experto.

Más datos aquí.

Finalmente, en este punto, quizá lo que más interese saber sean las medidas de seguridad del nuevo Reglamento. Habrá de saber que no existe un catálogo de medidas. Se exige como hemos enunciado el análisis de riesgos y evaluaciones de impacto. Sin embargo, aunque no se recojan todas las medidas de seguridad sí hay medidas obligatorias. Algunas son.: Registrar actividades de tratamiento, deber de información, informar sobre brechas de seguridad, la citada evaluación de impacto y contar con un Delegado de Protección de Datos.

Sobre cómo empezar a implementar las medidas de seguridad dentro de una empresa recogemos el siguiente texto de nuestro blog. Link.

Para concluir daremos la definición de la tan citada figura del Delegado de Protección de Datos. 

En primer lugar. Siempre habrá que tener un DPD en los supuestos del art. 37.1 RGPD. Y en todo caso en 16 supuestos recogidos entre los que citamos.: Los colegios profesionales y sus consejos generales. Centros docentes. Entidades de que presten servicios de comunicaciones electrónicas. también, prestadores de servicios de la sociedad de la información. Establecimientos financieros de crédito. Así mismo, entidades aseguradoras y reasegurados. Distribuidores y comercializadores de energía eléctrica y distribuidores de gas. Centros sanitarios…

el Delegado de Protección de Datos se encargará de garantizar el cumplimiento de normativa de protección de datos en empresa.sería ideal que este contase con conocimientos en derecho. Lo que sí será necesario es que cuente con formación en protección de datos. el art. 39 del RGPD recoge sus funciones. Además, representa a la empresa ante la Agencia Española de Protección de Datos. Y establece protocolos de actuación respecto al cumplimiento de estas normas.

Es muy relevante el paso dado por la Agencia Española de Protección de Datos. Ésta ha desarrollado un modelo de certificación para los delegados. 

Para más información: post.

Así pues, Como han podido comprobar es ingente la cantidad de información sobre el tema. Hemos buscado la mejor manera de condensarla y explicarla de manera clara y sucinta. No obstante, les invitamos a que contacten con Letradox Abogados con cualquier consulta. Contamos con grandes profesionales especialistas en esta materia. 

Letradox Abogados

C/ Jorge Juan 141, 3ºA. Madrid

TLF: 645 958 948 / 91 298 00 61

Correo: info@letradox.es

DELEGADO DE PROTECCIÓN DE DATOS EN EMPRESAS.

/en /por

Puntos clave sobre el delegado de protección de datos en una empresa.

¿ De qué se encarga el delgado de protección de datos?. Se encarga de garantizar el cumplimiento de normativa de protección de datos en la empresa. Lo ideal es contar con un delegado de protección de datos adecuadamente formado. Será necesario que cuente con conocimientos en derecho y principalmente sobre protección de datos.

Las funciones del delegado de protección de datos (DPO) vienen recogidas en el art. 39 del RGPD. Entre las obligaciones destacan las de informar, asesorar y supervisar el cumplimiento de RGPD. Además, representa a la empresa ante la Agencia Española de Protección de Datos. Y establece protocolos de actuación respecto al cumplimiento de estas normas.

Aunque no es necesario que sea jurista sí que posea conocimientos sobre derecho.

Es muy relevante el paso dado por la Agencia Española de Protección de Datos. Ésta ha desarrollado un modelo de certificación para los delegados. 

Esto atribuye una referencia de cualificación profesional a tener en cuenta para su contratación.

Otro punto relevante que una empresa debería buscar es la independencia del trabajo del DPO. De modo que sería mejor un profesional externo. Desde nuestro punto de vista. No obstante, se podrá optar por un delegado de protección de datos interno.

Aunque no todas las empresas están obligadas a tener un delegado de protección de datos, de nuevo se recomienda. Obligadas estarían aquellas cuya actividad principal se relacione con tratamiento masivo de datos. Aquellas que traten datos especialmente protegidos a gran escala. Y aconsejable en todo caso que trate datos personales sensibles. en nuestro video recogemos algunas de las empresas donde es obligatorio o muy recomendable.

Para más información disponemos de un video explicativo. En el siguiente link.

letradox abogados le ofrece un asesoramiento íntegro sobre la materia. Así mismo un trato con profesionales expertos en la materia.

necesidad de un delegado

Delegado de Protección de Datos en la Nueva Ley

/en /por

Delegado de Protección de Datos en la Nueva Ley.

En la nueva Ley orgánica de protección de datos se establece que entidades deben designar un delegado de protección de datos.

Delegado de protección de datos

(Art. 34) 

  • Siempre deberá designarse un DPD en los supuestos del art. 37.1 RGPD
  • Y en todo caso: 
  1. Los colegios profesionales y sus consejos generales.
  2. Los centros docentes que ofrezcan enseñanzas en cualquiera de los niveles establecidos en la legislación reguladora del derecho a la educación. Así como las Universidades públicas y privadas.
  3. Las entidades que exploten redes y presten servicios de comunicaciones electrónicas conforme a lo dispuesto en su legislación específica. Cuando traten habitual y sistemáticamente datos personales a gran escala.
  4. Los prestadores de servicios de la sociedad de la información. Cuando elaboren a gran escala perfiles de los usuarios del servicio.
  5. Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio. De ordenación, supervisión y solvencia de entidades de crédito.
  6. Los establecimientos financieros de crédito.
  7. Las entidades aseguradoras y reaseguradoras.
  8. Las empresas de servicios de inversión, reguladas por la legislación del Mercado de Valores.
  9. Los distribuidores y comercializadores de energía eléctrica y los distribuidores y comercializadores de gas natural.
  10. Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude. Incluyendo a los responsables de los ficheros regulados por la legislación de prevención del blanqueo de capitales y de la financiación del terrorismo.
  11. Las entidades que desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados. Cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
  12. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Excepción: médicos individuales
  13. Las entidades que tengan como uno de sus objetos la emisión de Informes comerciales que puedan referirse a personas físicas.
  14. Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos. Conforme a la normativa de regulación del juego.
  15. Las empresas de seguridad privada.
  16. Las federaciones deportivas cuando traten datos de menores de edad.
  • Puede designarse un DPD de forma voluntaria cuando así lo determine el responsable
  • Lista actualizada de DPD por las autoridades de control
  • Accesible por medios telemáticos
  • Puede ser de dedicación completa o a tiempo parcial

Cualificación del Delegado de Protección de Datos

(Art. 35)

  • Mecanismos voluntarios de certificación
  • Se tendrán especialmente en cuenta las titulaciones que acrediten conocimientos en derecho y en la práctica de la materia de protección de datos

Posición del DPD

(Art. 36) 

  • Interlocutor del responsable o encargado ante la autoridad de control
  • Podrá inspeccionar los procedimientos relacionados con el objeto de la presente ley orgánica. Y emitir recomendaciones en el ámbito de sus competencias.
  • Si es persona física trabajador del responsable o encargado. No podrá ser removido ni sancionado por desempeñar sus funciones
  • Excepción: que incurra en dolo o culpa grave
  • Se garantiza la independencia dentro de la organización, debiendo evitarse cualquier conflicto de intereses
  • Tendrá acceso a los datos personales y procesos de tratamiento. No pudiendo oponer a este acceso el responsable o el encargado del tratamiento la existencia de cualquier deber de confidencialidad o secreto
  • Cuando el delegado de protección de datos aprecie la existencia de una vulneración relevante en materia de protección de datos lo documentará. Y lo comunicará inmediatamente a los órganos de administración y dirección del responsable o el encargado del tratamiento

Intervención del delegado de protección de datos en caso de reclamación ante las autoridades de protección de datos.

(Art. 37)

  • El afectado podrá dirigirse al DPD antes de reclamar a la autoridad de control correspondiente
  • Responderá en el plazo máximo de dos meses
  • Cuando el afectado presente una reclamación ante la autoridad de control. Ésta podrá remitirla al DPD para que dé una respuesta
  • Plazo de un mes
  • Si no obtiene respuesta en plazo, la autoridad de control continuará con el procedimiento

Letradox Abogados

C/ Jorge Juan 141, 3ºA. Madrid

TLF: 645 958 948 / 91 298 00 61

También en el Correo: info@letradox.es