jueves, 12 de abril de 2018

Un recorrido rápido en 6 pasos para aplicar con garantías el nuevo Reglamento Europeo de Protección de Datos [Dentistas Castellón]


1. APERTURA-NUEVA LEY PROTECCION DATOS EN SEIS PASOS

Castellón, 13/04/2018.- La fecha límite es el 25 de mayo de 2018. Ese día entra en vigor el nuevo Reglamento Europeo de Protección de Datos. Entre los principales cambios para el profesional de la odontología propietario de una clínica figuran la incorporación del principio de responsabilidad proactiva; el llamado consentimiento expreso, que deberá autorizar cada paciente; el incremento de sanciones en caso de incumplimiento legal o los nuevos derechos ligados al usuario, como el derecho al olvido, que implica que éste pueda solicitar la eliminación de su rastro en internet. En este artículo detallamos en 6 puntos todo lo que debes saber sobre el nuevo reglamento y los pasos a seguir para adecuarte con garantías al nuevo marco legal.


1. QUÉ ES Y A QUIÉN AFECTA

El nuevo reglamento se aplicará a partir del 25 de mayo de 2018 de manera simultánea, uniforme y automática en toda la Unión Europea y prevalecerá sobre el derecho nacional.
Su cumplimiento incumbe a todos los profesionales, empresas y organismos, públicos y privados, que tratan datos de carácter personal, como es el caso de las clínicas dentales.
La posesión y tratamiento de esos datos por particulares -o sobre todo por las empresas- y la construcción y el mantenimiento de archivos en los que tales datos se contengan (en especial cuando esos archivos son informáticos) tienen una capacidad de afectación de la privacidad de las personas muy superior a la que en el pasado podíamos haber llegado a imaginar. Ahí radica la razón de ser del nuevo reglamento.


2. QUÉ PERMITE EL NUEVO REGLAMENTO

Imprime protección jurídica al tratamiento de datos personales de personas físicas y al tratamiento automatizado o parcialmente automatizado de esos datos, es decir, aquellos informatizados (guardados en archivos informáticos). El reglamento no se aplica a personas fallecidas. Protege información sensible, especialmente en el área sanitaria.


3. IMPORTANTE

La ignorancia de la ley no excusa su cumplimiento. Las sanciones serán igualmente aplicables.


4. NOVEDADES

–Más sanciones y sin advertencias:
Con el nuevo reglamento, las sanciones se disparan, y se aplican de manera directa ante un incumplimiento, sin advertencia previa. En el caso de incumplimiento grave, se impondrán multas de hasta 10 millones de euros o el equivalente al 2% de la facturación anual del ejercicio anterior. En los casos muy graves, la cifra se eleva a los 20 millones de euros o el 4% de la facturación del ejercicio anterior.

Si los datos personales, en este caso del paciente, se obtienen de manera fraudulenta, podría incurrirse en un delito penal.

–Se implanta el principio de responsabilidad proactiva:
Esto supone que el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento es conforme con el reglamento. Es decir, ha de estar preparado para que en el momento en el que reciba una inspección o sea requerido por la Agencia Española de Protección de Datos (AEPD), pueda entregarle de inmediato la documentación requerida y exigida de conformidad con el RGPD.

–Consentimiento expreso:
Ya no se permite el consentimiento tácito, aquel que entiende lo que popularmente se conoce como la 'callada por respuesta' (si el paciente no responde a un requerimiento o aviso, éste se da por aceptado). El reglamento obliga a todas las entidades públicas y privadas a revisar el conjunto de cláusulas y rehacerlas. A partir del 25 de mayo de 2018 es necesario comunicar de una manera nueva, clara y simple con el usuario cualquier cambio en la relación contractual, sobre tratamiento, etc, y contar con su consentimiento expreso. Éste debe ser revocable en cualquier momento.
Las entidades públicas y privadas deben asegurarse de que los datos sólo están siendo empleados para los fines para lo que fueron recabados.

–Es obligatorio comunicar vulneración o fallos de seguridad:
El responsable del tratamiento deberá notificar los fallos de seguridad en el sistema de protección de datos a la AEPD en un plazo de 72 horas. También tendrá que informar a los pacientes. Deberá contar con un sistema efectivo para realizar el reporte a la Agencia o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos.

–Valoración del riesgo:
Hacer una valoración del riesgo de los tratamientos que se realicen, para saber qué medidas aplicar y cómo. En organizaciones de menor tamaño y con tratamientos de poca complejidad el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

–Aparece la figura del delegado de protección de datos (DPO):
Creación de la figura del DPO o delegado de protección de datos, cuya función será la de identificar los riesgos y buscar soluciones para solventarlos. Operará con total independencia y se le facilitarán todas las herramientas que requiera. Este cargo deberá ocuparlo una persona con conocimientos en la materia y debidamente cualificada y certificada.

–Más derechos ciudadanos: derecho al olvido:
Es, básicamente, el derecho de un ciudadano/paciente a pedir que se elimine totalmente su rastro en internet. También aparece el derecho a la portabilidad de datos o a la limitación de su uso.


5. A QUÉ OBLIGA EL NUEVO REGLAMENTO

Implica más obligaciones por parte del profesional propietario de una clínica dental.
–Deberá comunicar a la AEPD previa inscripción, la existencia de ficheros datos personales y cualquier modificación de los mismos.

–Deberá elaborar documentos de seguridad que integren las medidas técnicas y organizativas con las que se cuentan para velar por el blindaje de los datos personales. De obligado cumplimiento para todas las personas que trabajen en la empresa y que tengan acceso a los sistemas de información de la misma.

–Deberán suscribirse contratos de confidencialidad con el personal de la entidad así como con los encargados del tratamiento y el delegado de protección de datos.

–Deberá adecuarse la documentación requerida y los nuevos baremos a todos los medios de comunicación de la empresa: web, contratos, e-mails, etc.

–Deberán implantarse medidas de seguridad y organizativas: por ejemplo, claves de seguridad en los ordenadores o encriptar los documentos.


6. DUDAS

En el caso de pequeñas empresas, ¿es obligatoria la figura del delegado de protección de datos?
Ante el cierto "limbo legal" que existe todavía en torno a esta figura, dado que no se concreta al cien por cien si este cargo es obligatorio o recomendable, desde la asesoría jurídica del Colegio Oficial de Dentistas de Castellón se recomienda optar por medidas de "sobreprotección". Mejor crearla aun sin saber si es obligatoria, que no hacerlo y enfrentarse a una sanción.

¿Puede cada clínica dental autogestionar el nuevo reglamento?
Sí. En la web de la AEPD hay incluso manuales con los pasos a seguir, los cambios y las nuevas obligaciones que impone el reglamento, detallado íntegramente en el mismo portal. Un ejemplo está en la HOJA DE RUTA que mostramos a continuación.

HOJA DE RUTA-001