¿Se aplica el cumplimiento de la LGPD en los centros sanitarios?

Desde la entrada en vigor de la Ley General de Protección de Datos – LGPD, la protección de los datos personales se ha convertido en un reto mayor para el sector sanitario. Esto significa que la información debe gestionarse con un enfoque más holístico.

Las organizaciones sanitarias deben disponer de procedimientos que puedan ponerse en marcha inmediatamente para abordar el cumplimiento del RGPD. Empezando por ser más precavidos con los datos personales, sabiendo dónde se almacenan y cómo se procesan.

Esto se aplica al sector público y privado: hospitales y clínicas, atención dental, farmacias, residencias de ancianos, laboratorios de diagnóstico, tiendas de productos farmacéuticos y todas las demás empresas u organizaciones que procesan datos relacionados con la salud.

Para evitar cualquier infracción, las organizaciones sanitarias deben aplicar los requisitos de cumplimiento del RGPD, incluida la gestión de contratos, así como políticas, procedimientos, documentación y registros de pacientes, profesionales sanitarios y socios comerciales.

Por lo tanto, los registros de la actividad de tratamiento de datos y los periodos de conservación y supresión también deben ser adecuados con arreglo a la legislación sobre protección de datos.

Cumplimiento de la LGPD: Tratamiento de datos sanitarios en la era digital

Muchos de los sistemas utilizados en el sector sanitario son ahora totalmente digitales. Con la ayuda de la tecnología basada en la nube, los sistemas que contienen datos de los pacientes suelen “compartirse” entre hospitales, farmacias y otras instituciones con el fin de prestar un mejor servicio a los pacientes.

Pero, ¿cómo deben procesarse y compartirse estos datos sensibles sin dejar de cumplir el GDPR?

Teniendo en cuenta que los datos sanitarios se ensamblan sobre información confidencial del paciente, debe garantizarse que se cumplen debidamente los principios de la ley de protección de datos y privacidad antes de procesarlos o compartirlos.

En virtud de la LGPD, su organización tendrá que demostrar que su tratamiento ha cumplido requisitos específicos, que incluyen la aplicación de las salvaguardias adecuadas para garantizar la protección de esta información.

Dada la sensibilidad de la información personal relacionada con la salud, sólo debe ser tratada por profesionales sanitarios autorizados que estén sujetos a la obligación de confidencialidad médica y de los datos.

Las personas deben ser debidamente investigadas y se les deben recordar sus obligaciones de confidencialidad.

Además, es especialmente vital que las organizaciones sanitarias lleven a cabo evaluaciones de impacto sobre la protección de datos y establezcan medidas de seguridad específicas, como procedimientos de autenticación, uso de certificados y firmas digitales y controles de acceso a los datos personales de los pacientes.

En la práctica, mediante el cumplimiento de la LGPD, el paciente y las personas relacionadas con el Hospital y los médicos tendrán los siguientes derechos previstos:

• Tener derecho a la confirmación de la existencia de tratamiento, entendiéndose por tratamiento cualquier operación realizada con datos personales tales como: recogida, elaboración, recepción, utilización, reproducción, transmisión, distribución, elaboración, archivo, modificación, comunicación, cesión, difusión, entre otros;
• Tiene derecho a acceder a sus datos almacenados y a rectificarlos;
• Anonimización (los datos anonimizados se refieren al interesado, que no puede ser identificado);
• Portabilidad;
• Supresión de datos una vez finalizado el tratamiento;
• Información sobre el intercambio de datos;
• Posibilidad de recibir información sobre la falta de consentimiento y sus consecuencias;
• Revocación del consentimiento;

Si el control de acceso no es adecuado, puede dar lugar fácilmente a una violación de datos y, según la ley de protección de datos, a multas y sanciones que pueden poner en peligro la reputación y la salud financiera de cualquier institución sanitaria, independientemente de su tamaño.

¿Cuáles son las multas y sanciones de la LGPD que pueden aplicarse a las instituciones sanitarias?

La LGPD prevé seis sanciones o multas. Lo son:

1. Advertencia. Esta advertencia irá acompañada de un plazo para que la empresa cumpla la legislación. Si no se corrige en el plazo establecido, se impondrá una sanción;
2. Simple multa en la parte superior de la facturación. Esta multa puede alcanzar el 2% del volumen de negocios de la persona jurídica. El límite es de 50 millones de BRL por infracción.
3. Multa diaria. Esta multa también tendrá un límite máximo de 50 millones de BRL;
4. Difusión de la infracción. La infracción se hará pública y el daño a la imagen de la empresa podría ser enorme;
5. Bloqueo de datos personales. Esta sanción administrativa impide a las empresas utilizar los datos personales recogidos hasta que se regularice la situación;
6. Supresión de datos personales. La sexta sanción de la LGPD obliga a la empresa a borrar completamente los datos recogidos en sus servicios, causando un perjuicio a su funcionamiento.

El límite de multas en la LGPD es de 50 millones. Pero algunas de las sanciones pueden ser incluso peores, dependiendo de la organización. Por ejemplo, asumir públicamente la filtración de datos personales de miles de clientes puede hundir incluso a empresas sólidas, minando totalmente la credibilidad de un hospital, por ejemplo.

Medidas que pueden adoptar las organizaciones sanitarias para garantizar el cumplimiento de la normativa y reducir el riesgo de violación de la información personal de los pacientes.

Tras repasar los aspectos más importantes de la Ley General de Protección de Datos en relación con las instituciones sanitarias, repasemos brevemente tres medidas tangibles que las organizaciones médicas deben adoptar para proteger los datos personales que tratan.

1. Garantizar la sensibilización

• Entre los pacientes

Un primer paso crucial para cumplir los requisitos de la ley de protección de datos es que todos los interesados, como los pacientes, deben ser informados de los detalles de los terceros con los que se compartirá su información para cumplir los requisitos de transparencia establecidos por la LGPD.

Además, el acuerdo de intercambio de datos debe definir claramente la finalidad, las bases jurídicas y la información que se va a compartir, junto con los detalles necesarios sobre el tratamiento de los derechos de los interesados y las normas de seguridad compartidas acordadas.

Toda esta información debe comunicarse de forma clara y fácil de entender.

• Entre el personal

Se aconseja la formación periódica del personal en materia de protección de datos para reducir los riesgos de error humano y, por tanto, de violación interna de datos.

Mientras tanto, en la práctica, el personal debe respetar el secreto médico, ya que pueden producirse errores y accidentes. Por lo tanto, concienciar a todos los empleados sobre la importancia de la protección de datos, las salvaguardias que deben aplicarse y qué aspectos problemáticos típicos deben evitarse puede tener un impacto positivo significativo en los esfuerzos de cumplimiento de una institución.

Además, todos los empleados deben saber cómo reconocer una violación de datos, qué medidas se tomarán en caso de incidente de seguridad y qué partes interesadas deben participar en el proceso.

2. Tratar y compartir únicamente los datos personales necesarios para los fines de su trabajo.

También es importante que los datos sanitarios necesarios se procesen mínimamente y se compartan sólo si es necesario.

La divulgación no autorizada puede tener graves repercusiones en la vida de un paciente, por lo que debe garantizarse que el intercambio de datos se realiza sobre la base de cualquiera de los fundamentos jurídicos del tratamiento, con acuerdos adecuados para exigir responsabilidades a la parte pertinente.

Además, estos datos no deben compartirse a menos que, por ejemplo:

• El interesado ha dado su consentimiento explícito;
• Si el propio paciente hace públicos los datos;
• Cuando se trata de una situación de vida o muerte en la que los pacientes no pueden dar su consentimiento y ello redunda en su interés vital;
• Para medicina preventiva o del trabajo;
• Evaluación de su capacidad laboral;
• Para diagnóstico médico
• Para la prestación de asistencia sanitaria o social o tratamiento o la gestión de sistemas y servicios de asistencia sanitaria o social

Tenga en cuenta que, en caso de compartirlos, las instituciones sanitarias deben disponer de salvaguardias que garanticen la seguridad de los datos.

3. Establecer controles de acceso estrictos

Dada la naturaleza compartida de los sistemas basados en la nube que suelen utilizarse en el sector sanitario, es fundamental garantizar que sólo las personas necesarias tengan acceso a los datos de los pacientes.

La aplicación de medidas como la autenticación de dos factores o el inicio de sesión único, así como el uso de firmas y certificados digitales, también pueden ayudar a proporcionar medidas adicionales para la protección de datos cuando se trata de acceder a los archivos de los pacientes.

Cumplimiento del GDPR: una inversión que merece la pena

Con la transformación digital del sector sanitario, también es necesario ajustar la forma en que se procesa la información y se accede a ella. Esto trajo consigo varios aspectos nuevos en relación con la protección de datos, exigiendo a las instituciones sanitarias que hicieran de la privacidad de los datos su máxima prioridad.

Aunque el cumplimiento del RGPD requiere que las organizaciones sanitarias inviertan tiempo y recursos, al fin y al cabo redunda en interés de los pacientes y de la propia organización.

El cumplimiento de la obligación no sólo reducirá la posibilidad de una posible violación de los datos, protegiendo a su organización de una cuantiosa multa y de daños a su reputación, sino que también desempeña un papel importante a la hora de ganarse la confianza de los pacientes y de mejorar la eficacia general del trato que reciben.

Acerca de Eval

EVAL lleva más de 18 años desarrollando proyectos en los sectores financiero, sanitario, educativo e industrial. Desde 2004 ofrecemos soluciones de autenticación, firma electrónica y digital y protección de datos. Actualmente estamos presentes en los principales bancos brasileños, instituciones sanitarias, escuelas y universidades, así como en diferentes industrias.

Con un valor reconocido por el mercado, las soluciones y servicios de EVAL cumplen las normas reglamentarias más exigentes de organizaciones públicas y privadas, como SBIS, ITI, PCI DSS y LGPD. En la práctica, fomentamos la seguridad y el cumplimiento de la normativa en materia de información, el aumento de la eficacia operativa de las empresas y la reducción de costes.

Innova ahora, lidera siempre: descubre las soluciones y servicios de Eval y lleva a tu empresa al siguiente nivel.

Eval, la seguridad es un valor.