Hace algunos meses comentábamos lo importante que era la adaptación por parte de las Administraciones del Reglamento Europeo de Protección de Datos. Y lo comentábamos en relación con la modificación del consentimiento informado del paciente, sujeto de investigación, respecto al uso primario de los datos obtenidos con la investigación y también los segundos usos que permitirá el máximo aprovechamiento de los datos.

El pasado 30 de julio se publicó el Real Decreto-Ley 5/2018 de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos. Es un Real decreto-ley que adecua nuestro ordenamiento al Reglamento Europeo (UE 2016/679) en aquellos aspectos que no admiten demora, sin menoscabo de necesidad de una nueva legislación orgánica de protección de datos que procure la plena adaptación de la normativa española de lo establecido por la Unión Europea a través del Reglamento citado.

Debemos recordar que el Reglamento Europeo 2016/679 es plenamente aplicable en España desde el pasado 25 de mayo.

Este Real decreto-ley recoge en su articulado el ámbito y personal competente para el ejercicio de la actividad de investigación de la Agencia Española de Protección de Datos (AEPD), otorgándole un papel más activo en el cumplimiento de la norma y aplicación de sanciones. También recoge el régimen sancionador y el procedimiento a realizar en caso de vulneración de la normativa de protección de datos. A este respecto, el Reglamento Europeo (UE 2016/679) indica que el tratamiento de datos solo será lícito en las condiciones que recoge el artículo 6, entre las que destacamos la condición de que el interesado de su consentimiento para el tratamiento de sus datos personales o que el tratamiento de los datos sea necesario para proteger sus intereses vitales. En cualquier caso, el responsable de los datos deberá poder demostrar que obtuvo el consentimiento del interesado para el tratamiento de sus datos respetando a su vez que éste puede retirar su consentimiento en cualquier momento.

Trasladado al mundo sanitario desde ARGES entendemos que deberán darse los pasos adecuados que garanticen la protección de datos personales de pacientes y usuarios. Baste recordar el informe de la AEPD que analizó el tratamiento de la información personal en centros sanitarios, concretamente hospitales públicos. Este informe destacó algunas carencias que sin duda deberán resolverse para el adecuado cumplimiento normativo, entre ellas y con carácter general, la no verificación de la identidad de los pacientes, mas allá de la tarjeta sanitaria que no identifica al paciente, con riesgo de suplantaciones, la falta de mecanismos de borrado, cancelación o bloqueo de datos, falta de información verbal y/o escrita sobre los derechos de protección de datos a los pacientes o la ausencia de normas internas para el tratamiento de datos personales confidenciales que incluyan entre otros definición de los perfiles profesionales con acceso a los datos e identificación de los usuarios que ha tenido tal acceso.

¿Conoces cómo está tu hospital en materia de protección de datos? ¿Se están adaptando los procesos de identificación y utilización de datos personales a la nueva normativa? Desde ARGES te animamos a que compartas con nosotros qué pasos se están dando y cuáles son las dificultades que se pueden presentar en los hospitales para la adaptación normativa.