Legal

RGPD: ¿cómo ha afectado al sector sanitario?

Sage

Te contamos en este post cómo afecta el RGPD (Reglamento General de Protección de Datos) al sector sanitario y al mercado Consumer Healthcare.

  • Cualquier empresa que trabaje con datos personales debe tener muy presentes políticas de protección de datos que han de llevar a cabo en relación con conceptos como derechos ARCO o formularios de contacto.
  • Pero cuando hablamos del sector sanitario, el RGPD ha de cumplirse con el mayor rigor, puesto que los datos con los que trabajan son datos sensibles o de categoría especial.

Hoy en día, muchos profesionales del sector sanitario siguen enfrentándose al reto de entender el cambio que ha supuesto el Reglamento de Protección de Datos (RGPD), en vigor desde el pasado 25 de mayo de 2018. De hecho, todos los sectores relacionados con la salud son grandes afectados, sobre todo en cuanto a ciberataques, debido a la sensibilidad y alta exposición de los datos que manejan.

¡Comparte! Así garantiza el sector sanitario la protección de datos de sus pacientes.

Por ello, en las siguientes líneas, te desgranamos cómo ha afectado el RGPD, tanto al sector sanitario como al Consumer Healthcare, y las medidas que deben ponerse en marcha para que ambos cumplan con dicha normativa.

RGPD: ¿cómo ha afectado al sector sanitario?

Sage

Áreas del sector sanitario afectadas por el RGPD

El objetivo del RGPD en el sector sanitario es garantizar la protección de los datos de pacientes, usuarios y trabajadores de sus centros. Pero ¿en qué áreas existen mayores riesgos?

  • Pulseras e-health. Este tipo de dispositivos manejan muchos datos sensibles, como peso, altura o calorías consumidas.
  • Medicina personalizada. La medicina personalizada, así como la preventiva, puede activar diferentes investigaciones clínicas, biomédicas o epidemiológicas a través del recabado de datos.
  • Apps de salud. Son capaces de gestionar todo nuestro historial médico, desde el control de la diabetes hasta el seguimiento de los lunares, desde nuestro dispositivo móvil
  • Servicios de teleconsulta. Este tipo de servicios permite que todo el proceso de atención sanitaria se realice en remoto, desde los procedimientos administrativos hasta el diagnóstico y posterior tratamiento, utilizando para ello sistemas de telecomunicaciones interactivas que incluyen audios y vídeos.
Sage

El RGPD afecta al sector sanitario del mismo modo que al Consumer Healthcare, ya que ambos manejan datos de la misma naturaleza.

Medidas de protección de datos para el sector sanitario

Como ves, en estas áreas se recogen datos sensibles, pudiendo dar lugar, si no se ponen en marcha medidas adecuadas, a una brecha de seguridad.

Por ello, se deben implantar medidas de tratamiento exhaustivas como son:

1. Nombrar a un delegado de protección de datos (DPD)

El artículo 34 del RGPD define de forma muy clara los supuestos en los que una empresa está obligada a designar un DPD. Entre ellos se encuentran “los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes”, excepto los profesionales de la salud que ejerzan su actividad a título individual.

El DPD, en este ámbito, tiene importantes funciones, como la destrucción de historias clínicas, el control de la cesión de datos o la implementación de sistemas de cifrado.

2. Adoptar el modelo de consentimiento para el paciente

El consentimiento del usuario debe ser libre, específico, informado e inequívoco, ya sea mediante una declaración o una clara acción afirmativa, respecto del tratamiento de sus datos.

Sin embargo, cuando hablamos de pacientes, el centro sanitario en cuestión está obligado, para cumplir con el RGPD, a contar con un documento específico: el modelo de consentimiento para el paciente. Este ha de ser firmado por todos los pacientes para prestar su aceptación a que sus datos personales sean tratados y almacenados en los ficheros.

Se exceptúan de dicho consentimiento las situaciones preventivas para la salud pública y aquellas en las que el tratamiento de datos venga exigido por un riesgo inmediato y grave para la salud del enfermo.

3. Realizar inventario de tratamientos

Las organizaciones que manejen datos personales de pacientes y usuarios han de realizar una detección minuciosa de todas las actividades de tratamiento efectuadas, lo que conlleva necesariamente a la revisión de todos los procesos existentes.

4. Llevar a cabo evaluaciones de impacto

El tratamiento de los datos de los pacientes conlleva riesgos cuya materialización generaría un impacto negativo, no solo para las empresas de carácter sanitario (desde el punto de vista legal o crisis de reputación), sino también a los titulares de la misma, es decir, los pacientes y empleados de los centros sanitarios.

Por ello, es imprescindible realizar evaluaciones de impacto, con las siguientes recomendaciones de la Agencia Española de Protección de Datos (AEPD) para llevarlas a cabo:

  • Descripción anticipada y preventiva del tratamiento de datos.
  • Evaluación de su necesidad y proporcionalidad.
  • Identificación y gestión de sus potenciales riesgos para los derechos y libertades de los usuarios.
  • Determinación de las medidas necesarias para reducirlos hasta un nivel de riesgo aceptable.
Sage

Los DPD están obligados a mantener las historias clínicas de los pacientes durante 5 años.

Responsabilidad proactiva y privacidad desde el diseño: principales retos del sector sanitario

El cumplimiento del RGPD en el sector sanitario se basa en dos principios que toda empresa del ámbito de la salud debe alcanzar:

  • Responsabilidad proactiva. Una de las claves para poder garantizar la privacidad es poder demostrarla, por lo que los centros sanitarios han de determinar, de forma responsable, cómo protegen los derechos de las personas a través de la visibilidad y la transparencia.
  • Criterio de privacidad desde el diseño. Deben considerarse los requisitos de privacidad desde las primeras etapas del diseño de productos y servicios. Ese planteamiento desde el origen supone una mejora en la seguridad de los datos personales procesados ahorrando costes.

El RGPD en el sector Consumer Healthcare

El sector Consumer Healthcare se dedica a la comercialización de productos de autoconsumo para la salud y el bienestar de las personas, razón por la que los datos que manejan también son altamente sensibles.

Además, el volumen de dichos datos va en aumento, en una época en la que los usuarios, cada vez más, se preocupan su salud y apariencia (cremas faciales, suplementos vitamínicos, cuidados bucales…).

Y es que, después de los medicamentos OTC (o de venta libre), el cuidado personal es el área que registra más ventas en oficinas de farmacia, incrementando sus ingresos en un 1,1% el pasado 2019, según datos del Health Market reseach.

Por ello, las empresas de este sector, además de tener en cuenta las reglas mencionadas para el sector sanitario, deben poner especial atención a las siguientes medidas para cumplir con la ley.

Formularios de consentimiento

  • En cuanto al consentimiento del usuario, los términos, condiciones y formularios de las aplicaciones y sites relacionados con el mercado Healthcare también han de ser específicos para cada procedimiento, y solo puede utilizarse para los fines establecidos en ellos.
  • Para una protección adecuada, pueden ponerse en marcha medidas de encriptación y disociación, por ejemplo, para el tratamiento de datos en ensayos clínicos o estudios epidemiológicos.

Medidas de diseño de la privacidad

Una forma de reducir drásticamente la posibilidad de que se produzcan brechas de seguridad es implementar medidas de diseño de la privacidad, por ejemplo, a través de herramientas de codificación de datos cuando se procesan fuera del ámbito de control del responsable de los datos (es decir, la propia empresa).

En resumen, todo esto deja claro, una vez más, lo importante que es contar siempre con la tecnología adecuada para tratar los datos de los clientes.