Ayuda para los profesionales de bonoom

Search

Con bonoom cumple con el RGPD

Entra en vigor la nueva legislación de protección de datos. La normativa europea RGPD que sustituye a partir del 25 de mayo de 2018 la legislación española LOPD. Y, ahora una buena noticia: Si tienes la información de tus pacientes en bonoom no tendrás problemas para cumplir la nueva ley. Nosotros nos adaptamos por ti. Y, recuerda que encontrarás la información sobre nuestras obligaciones y compromiso como encargados de tratamiento de tus datos en nuestras condiciones de uso (punto 4).

La aprobación del Reglamento (UE) 20166/679 supuso la derogación de la directiva 95/46/CE. Al tratarse por primera vez de un Reglamento y no una Directiva, la normativa sobre protección de datos se aplica de forma automática sin necesitar legislaciones internas, aunque pueden aplicarse.

Así, todas los profesionales, empresas y organizaciones que traten datos de carácter personal deben cumplir con la nueva legislación a partir del 25 de mayo de 2018. Los usuarios de bonoom como profesionales de la salud de todo tipo no sólo tratáis datos personales, sino que además tenéis el añadido que al tratarse de datos de salud estos requieren un tratamiento específico, ya que son considerados datos especialmente sensibles.

Para las instituciones y organizaciones que ya cumplimos con la LOPD partimos de una buena base para adaptarnos a la nueva normativa, aunque se tienen que modificar algunos aspectos. Entre los principales cambios que supone la nueva normativa destacan los referentes a los derechos de las personas que ceden sus datos y las obligaciones de las organizaciones que los gestionan. En cuanto al ámbito de aplicación este se aumenta a todas las actividades que tienen lugar en la Unión Europea, por lo que no es necesario que la institución tenga la sede en la UE, sólo hace falta que opere. Además, se facilita a través del sistema de ventanilla única que todos los ciudadanos y los responsables de ficheros traten tengan como interlocutora una misma autoridad de protección de datos estén donde estén en la UE.

Pasamos a esclarecer los puntos clave de la nueva legislación para las consultas de profesionales independientes de la salud:

Principio de responsabilidad proactiva

El principio de responsabilidad proactiva es probablemente la innovación más importante. A través de este principio el RGPD obliga al responsable del tratamiento de los datos a aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que su tratamiento es de acuerdo a la normativa. Es decir se obliga a las empresas a aportar medidas que aseguren de forma razonable que están en condiciones de cumplir con el Reglamento, es decir llevar a cabo medidas preventivas en lugar de reactivas como se venía haciendo hasta ahora.

“El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:
  • Protección de datos desde el diseño
  • Protección de datos por defecto
  • Medidas de seguridad
  • Mantenimiento de un registro de tratamientos
  • Realización de evaluaciones de impacto sobre la protección de datos
  • Nombramiento de un delegado de protección de datos
  • Notificación de violaciones de la seguridad de los datos
  • Promoción de códigos de conducta y esquemas de certificación"

Fuente: Agencia Española de Protección de Datos.

Elegir un proveedor en el cloud que dote a los datos de seguridad, accesibilidad, encriptación, registro de acceso a historias clínicas y cópias de seguridad como el de bonoom es una buena opción para demostrar esta prevención por parte del responsable del tratamiento de los datos.

Enfoque del riesgo

Como el enfoque del riesgo se entiende tener en cuenta el ámbito, el contexto y las finalidades del tratamiento de los datos. Poniendo especial atención en aquellos datos que ponen en riesgo los derechos y las libertades de las personas. Desde el Reglamento se apuesta a modular las acciones de protección de datos en función del riesgo de su tratamiento. Hemos de tener en cuenta que al tratar de datos de salud estos merecen un tratamiento del riesgo elevado ya que se trata de datos especialmente sensibles.

Para hacer una evaluación de los riesgos asociado a cada tratamiento desde organismos oficiales se plantea una batería de preguntas que podemos hacernos. Del tipo: ¿Tratamos con datos sensibles? ¿Se tratan datos de muchas personas? O si de su tratamiento se derivan la elaboración de perfiles. Puedes consultar aquí la lista de preguntas o hacer una consulta a nuestro asesor legal.

Datos especiales

Lo que conocíamos como datos especialmente protegidos, más datos genéticos y datos biométricos configuran lo que se denomina datos especiales. Los datos de pacientes se incluyen en esta categoría, por lo que requieren un tratamiento especial. Además requieren el consentimiento expreso y explícito del paciente.

Esto supone que deben estar en un lugar seguro que se presenten encriptados y se realicen copias de seguridad periódicas, así como un registro de acceso a la historia clínica del paciente. Almacenar estos datos en el cloud de bonoom es una buena opción para cumplir sin preocupaciones estos requisitos.

Fallos seguridad

Resolver y notificar violaciones de seguridad a las autoridades en un máximo de 72 horas y a las personas afectadas. Así, el reglamento garantiza el derecho a los interesados a ser informados rápidamente de las violaciones de seguridad que comporten un riesgo alto para sus derechos y libertades.

Consentimiento

El consentimiento es una de las bases fundamentales para poder tratar datos personales. A diferencia de la LOPD con la nueva legislación el interesado debe mostrar su consentimiento de modo expreso y explícito. En concreto pide que sea libre, informado, específico e inequívoco. Por este motivo se requiere de una declaración inequívoca o una acción afirmativa clara por parte de los interesados. Por ejemplo no serán válidas casillas pre-marcadas en un formulario, consentimientos tácitos o la inacción. En concreto se tendrá que informar de forma clara y sencilla al paciente de los datos del centro médico así como la finalidad de la recogida de los datos.

“Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.”

”Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.”

Fuente: Agencia Española de Protección de Datos.

Desde la ficha de pacientes de bonoom podrás descargarte el documento con el consentimiento y una vez firmado podrás escanearlo y guardarlo en la carpeta del paciente.

Es importante tener en cuenta que debes de tener este consentimiento de todos tus pacientes. Es decir, tanto de tus nuevos pacientes como de tus pacientes actuales.

Derechos usuarios

El reglamento introduce nuevas herramientas de control de datos para los ciudadanos. Como el derecho al olvido, como un derecho vinculado al derecho a la supresión de los datos, su limitación en el tratamiento y el derecho a la portabilidad de los datos. Se entiende este último como una forma avanzada del derecho al acceso a los datos, ya que ahora el interesado podrá recibir los datos en un formato estructurado, de uso común u de lectura mecánica. Estos derechos mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros. Con bonoom podrá dar respuesta a las peticiones de sus pacientes en este sentido con con facilidad.

Sanciones

El reglamento preve sanciones que pueden llegar hasta los 20 millones de euros o un 4% de la facturación anual. Esto supone un incremento importante respecto la LOPD donde la sanción máxima era de 600.000 euros .

Inscripción y notificación de ficheros

A partir del 25 de mayo a no tendrás que crear ficheros y notificarlos a la Agencia Española de Protección de Datos o autoridad de control de protección de datos.

Si quieres saber más o hacer un análisis de impacto de tu consulta o revisar tu política de privacidad ponte en contacto con nuestra asesoría legal especializada en protección de datos MicroLab · Protección de datos .

Y, si quieres ampliar la información de forma clara y concisa sobre el uso y el acceso de datos en tu consulta no te pierdas el decálogo de protección de datos para el personal sanitario y administrativo de la AEPD. También té puede interesar la Guía para el cumplimiento del deber de informar que han elaborado conjuntamente las Agencia Española de Protección de Datos las autoridades catalana y vasca, Autoritat Catalana de Protecció de Dades y la Datuak Babesteko Euskal Bulegoa.

En resumen, si usas bonoom para la gestión de los datos de tus pacientes no tienes que preocuparte. El cumplimiento de la RGPD que entra en vigor el 25 de mayo de 2018 forma parte de las muchas actualizaciones y novedades que encuentras en bonoom sin necesidad de qué hagas nada para disfrutarlas. En definitiva, para que tu puedas dedicarte plenamente a tus pacientes, nosotros trabajamos para facilitarte la gestión de tu consulta.

¿Te ha sido útil este artículo?

Gracias por tus comentarios

¿Cómo podemos mejorar esta página?