RGPD en el SERGAS: materia imprescindible

El Reglamento General de Proteccion de Datos (RGPD, Reglamento UE 2016/679) y la Ley Organica 3/2018 de Proteccion de Datos y garantia de los derechos digitales (LOPDGDD) son materia obligatoria en todas las oposiciones del SERGAS. Para el Auxiliar Administrativo tienen especial relevancia porque maneja datos de salud de pacientes a diario.

Los datos de salud: categoria especial

Los datos de salud son datos de categoria especial (art. 9 RGPD) y requieren proteccion reforzada. Solo pueden tratarse con consentimiento explicito del interesado o cuando sea necesario para fines de atencion sanitaria, salud publica o interes publico.

Los 6 principios del tratamiento (art. 5 RGPD)

  1. Licitud, lealtad y transparencia: el tratamiento debe tener base legal.
  2. Limitacion de la finalidad: los datos solo pueden usarse para el fin para el que se recogieron.
  3. Minimizacion: solo recoger los datos estrictamente necesarios.
  4. Exactitud: los datos deben estar actualizados.
  5. Limitacion del plazo de conservacion: no guardar mas tiempo del necesario.
  6. Integridad y confidencialidad: proteger los datos de accesos no autorizados.

Derechos del ciudadano (ARCO ampliados)

  • Acceso: saber que datos tiene la organizacion sobre uno mismo.
  • Rectificacion: corregir datos inexactos.
  • Supresion ("derecho al olvido"): borrar datos cuando ya no sean necesarios.
  • Oposicion: oponerse al tratamiento en determinadas circunstancias.
  • Limitacion: restringir el tratamiento.
  • Portabilidad: recibir los datos en formato reutilizable.
  • No decision automatizada: que ninguna decision significativa se tome solo por algoritmo.

El Delegado de Proteccion de Datos (DPD/DPO)

El SERGAS esta obligado a designar un DPO por tratar datos de salud a gran escala. El DPO informa, asesora, supervisa y coopera con la AEPD. No puede recibir instrucciones sobre sus funciones de DPO.

Brechas de seguridad

Cuando se produce una violacion de seguridad (acceso no autorizado, perdida o destruccion de datos), el responsable del tratamiento debe notificarlo a la AEPD en un maximo de 72 horas si supone riesgo para los afectados.

Responsable vs. Encargado del tratamiento

  • Responsable: decide el fin y los medios del tratamiento. En el SERGAS, es el propio SERGAS.
  • Encargado: trata datos por cuenta del responsable. Es la empresa externa que presta un servicio al SERGAS.
  • El empleado del SERGAS (Auxiliar Administrativo) actua bajo la responsabilidad del SERGAS: no es responsable ni encargado.

Sanciones (AEPD)

  • Infracciones muy graves: hasta 20 millones EUR o 4% de la facturacion global.
  • Infracciones graves: hasta 10 millones EUR o 2% de la facturacion global.
  • Para las AAPP espanolas: apercibimiento + posible responsabilidad disciplinaria del infractor.