El Reglamento General de Proteccion de Datos (RGPD), Reglamento (UE) 2016/679, entro en aplicacion el 25 de mayo de 2018 y supuso un cambio radical en la forma de tratar los datos personales en toda Europa. En el ambito sanitario, donde se manejan constantemente datos de salud de los pacientes, su conocimiento resulta imprescindible para cualquier profesional del SERGAS, incluidos los celadores. En las oposiciones de sanidad, las preguntas sobre proteccion de datos son cada vez mas frecuentes.
Principios fundamentales del RGPD
El RGPD establece una serie de principios que deben regir todo tratamiento de datos personales. Estos principios se recogen en el articulo 5 del Reglamento y son los siguientes:
- Licitud, lealtad y transparencia: los datos deben tratarse de manera licita, leal y transparente para el interesado. El paciente debe saber que datos se recogen y para que.
- Limitacion de la finalidad: los datos se recogen con fines determinados, explicitos y legitimos, y no pueden tratarse posteriormente de forma incompatible con dichos fines.
- Minimizacion de datos: solo se recogen los datos que sean adecuados, pertinentes y limitados a lo necesario para la finalidad perseguida.
- Exactitud: los datos deben ser exactos y estar actualizados. Los datos inexactos deben suprimirse o rectificarse sin demora.
- Limitacion del plazo de conservacion: los datos se mantienen solo durante el tiempo necesario para cumplir la finalidad del tratamiento.
- Integridad y confidencialidad: los datos se tratan garantizando su seguridad, incluyendo proteccion contra el tratamiento no autorizado o ilicito, la perdida, destruccion o dano accidental.
- Responsabilidad proactiva (accountability): el responsable del tratamiento es capaz de demostrar el cumplimiento de todos los principios anteriores.
Datos de salud: categoria especial (articulo 9)
El articulo 9 del RGPD prohíbe con caracter general el tratamiento de categorias especiales de datos, entre las que se encuentran los datos relativos a la salud. Se consideran datos de salud aquellos datos personales relativos a la salud fisica o mental de una persona, incluida la prestacion de servicios de atencion sanitaria, que revelen informacion sobre su estado de salud.
Esta prohibicion general tiene varias excepciones relevantes en el ambito sanitario:
- Consentimiento explicito del interesado para fines especificos.
- Tratamiento necesario para fines de medicina preventiva, diagnostico medico, prestacion de asistencia sanitaria o tratamiento medico.
- Tratamiento necesario por razones de interes publico en el ambito de la salud publica, como la proteccion frente a amenazas transfronterizas graves para la salud.
- Tratamiento necesario para la gestion de sistemas y servicios de asistencia sanitaria.
En la practica hospitalaria diaria, el celador accede a datos de salud de los pacientes (nombre, ubicacion, patologia, etc.). El RGPD exige que este acceso se limite a lo estrictamente necesario para el desempeno de sus funciones y que se mantenga en todo momento el deber de confidencialidad.
El Delegado de Proteccion de Datos (DPD)
El RGPD introduce la figura del Delegado de Proteccion de Datos (DPD o DPO) en su articulo 37. Su designacion es obligatoria en los siguientes casos:
- Cuando el tratamiento lo lleve a cabo una autoridad u organismo publico (como el SERGAS).
- Cuando las actividades principales consistan en operaciones que requieran una observacion habitual y sistematica de interesados a gran escala.
- Cuando las actividades principales consistan en el tratamiento a gran escala de categorias especiales de datos (como los datos de salud).
En el ambito del SERGAS, la designacion de un DPD es obligatoria por tratarse de un organismo publico que trata datos de salud a gran escala. El DPD se encarga de supervisar el cumplimiento del RGPD, asesorar al responsable del tratamiento, cooperar con la autoridad de control (AEPD) y atender las consultas de los interesados.
Notificacion de brechas de seguridad: 72 horas
Uno de los aspectos mas preguntados en examenes de oposiciones es la obligacion de notificar las brechas de seguridad. El articulo 33 del RGPD establece que cuando se produzca una violacion de seguridad que afecte a datos personales, el responsable del tratamiento debera notificarla a la autoridad de control competente (en Espana, la Agencia Espanola de Proteccion de Datos - AEPD) en un plazo maximo de 72 horas desde que tenga conocimiento de la brecha.
Si la brecha supone un alto riesgo para los derechos y libertades de las personas afectadas, tambien debera comunicarse directamente a los interesados. En un hospital, un ejemplo seria la filtracion de historias clinicas o el acceso no autorizado a datos de pacientes.
Derechos ARCO-POL (derechos del interesado)
El RGPD amplia los antiguos derechos ARCO (Acceso, Rectificacion, Cancelacion y Oposicion) con nuevos derechos, conformando lo que se conoce como derechos ARCO-POL:
| Derecho | Articulo RGPD | Descripcion |
|---|---|---|
| Acceso | Art. 15 | Conocer si se tratan tus datos y acceder a ellos |
| Rectificacion | Art. 16 | Corregir datos inexactos o completar datos incompletos |
| Supresion (olvido) | Art. 17 | Solicitar la eliminacion de datos cuando ya no sean necesarios |
| Portabilidad | Art. 20 | Recibir los datos en formato estructurado y transmitirlos a otro responsable |
| Oposicion | Art. 21 | Oponerse al tratamiento de datos en determinadas circunstancias |
| Limitacion | Art. 18 | Solicitar la limitacion del tratamiento en ciertos supuestos |
El celador y la proteccion de datos en el hospital
Aunque el celador no es responsable del tratamiento de datos, si accede a informacion protegida en su trabajo diario. Las obligaciones principales del celador en materia de proteccion de datos son:
- Deber de secreto y confidencialidad: no revelar datos de los pacientes a personas no autorizadas, ni siquiera a familiares sin el consentimiento del paciente.
- Acceso limitado: acceder unicamente a los datos que sean necesarios para el desempeno de sus funciones (por ejemplo, nombre y ubicacion del paciente para su traslado).
- No consultar historias clinicas: el celador no debe acceder al contenido de las historias clinicas por curiosidad ni por ningun motivo ajeno a su funcion.
- Comunicar incidencias: si detecta un posible acceso no autorizado o una brecha de seguridad, debe comunicarlo inmediatamente a su superior.
Preguntas frecuentes en el examen
En las oposiciones del SERGAS, las preguntas mas habituales sobre el RGPD son:
- "El plazo para notificar una brecha de seguridad a la autoridad de control es de..." (Respuesta: 72 horas)
- "Los datos de salud son una categoria especial de datos regulada en el articulo..." (Respuesta: 9 del RGPD)
- "El Delegado de Proteccion de Datos es obligatorio cuando..." (Respuesta: el tratamiento lo realiza un organismo publico)
- "El principio por el que solo se recogen los datos necesarios se denomina..." (Respuesta: minimizacion de datos)
Practica con tests sobre el RGPD
En OpoSERGAS tienes preguntas tipo test sobre proteccion de datos, RGPD y LOPDGDD aplicados al ambito sanitario. Con explicaciones detalladas.
Registrarse gratis