REGLAMENTO EUROPEO
Las clínicas optan por externalizar el delegado de protección de datos
El 25 de mayo el reglamento europeo empieza a ser obligatorio y la nueva figura del responsable específico trae de cabeza al sector.
Soledad Valle. Madrid | 21/05/2018 00:00
Mar España, directora de la Agencia Española de Protección de Datos (AEPD). (DM)
El día D en protección de datos ya está aquí. A partir del próximo 25 de mayo las nuevas obligaciones que introduce la norma europea, el Reglamento General de Protección de Datos, empiezan a ser exigibles y, por tanto, sancionable su incumplimiento.
Entre las novedades está la obligación de que todos los centros sanitarios, hospitales y clínicas,cuenten con un delegado de protección de datos (DPO, en sus siglas en inglés), encargado de que se cumpla la norma europea. Si detecta una fuga de seguridad en los procesos de manejo de la información debe dar conocimiento a la Agencia Española de Protección de Datos (AEPD), el órgano encargado de sancionar estas conductas.
- El reglamento europeo no aclara esta figura en relación a la formación que debe tener"
Las sanciones que introduce el nuevo reglamento han pasado de los 600.000 euros a los 20 millones o un porcentaje sobre la facturación de la compañía. Con esta espada de Damocles pendiente sobre su cabeza, el sector sanitario ha acelerado para cumplir en tiempo y forma con el reglamento, según apunta Alberto Martín San Cristóbal, director general de Alaro Avant, consultora especializada en protección de datos que asesora a la Alianza de la Sanidad Privada Española (ASPE), que con cerca de 600 entidades sanitarias privadas, representa al 75 por ciento de la sanidad privada.
Con este importante muestrario, Martín San Cristóbal afirma que "la solución adoptada por más de la mitad de los hospitales y clínicas es la de externalizar el DPO. Los motivos para ello suelen ser que no cuentan con los perfiles internos necesarios, por el coste de oportunidad de los recursos, y por la incertidumbre sobre si lo estarán haciendo correctamente o no". De este modo, según el experto, las empresas consiguen "liberar parte de sus recursos y derivar también la responsabilidad de este profesional a un tercero".
Con este importante muestrario, Martín San Cristóbal afirma que "la solución adoptada por más de la mitad de los hospitales y clínicas es la de externalizar el DPO. Los motivos para ello suelen ser que no cuentan con los perfiles internos necesarios, por el coste de oportunidad de los recursos, y por la incertidumbre sobre si lo estarán haciendo correctamente o no". De este modo, según el experto, las empresas consiguen "liberar parte de sus recursos y derivar también la responsabilidad de este profesional a un tercero".
La segunda alternativa más utilizada "ha sido la de la asignación de esta nueva figura al antiguo responsable de seguridad de la empresa". Aquí se pone de manifiesto una de las cuestiones más debatidas durante estos meses, que es la de determinar el perfil del DPO. El reglamento europeo no aclara esta figura en relación a la formación que debe tener o, por ejemplo, si tiene que ser una persona en concreto o podría ser un órgano colegiado, como apuntó Pedro Colmenares Soto, subdirector general de la Inspección de Datos de AEPD, en una jornada celebrada en febrero.
La esperanza hasta hace poco era que estas cuestiones fueran aclaradas con la ley orgánica de protección de datos que está en trámite parlamentario (ver información de abajo), pero ya es más que evidente que la norma no va a llegar a tiempo.
Para despejar muchas dudas, la AEPD, con su directora Mar España, ha dado claves para la correcta interpretación del reglamento y, sobre todo, para tranquilizar al sector. Para ello han publicado distintas guías prácticas. No obstante, es de suponer que muchas cuestiones se tendrán que ir aclarando con la práctica.
- La esperanza era que la ley orgánica de protección de datos aclarara parte del reglamento"
"La concienciación del personal es un aspecto esencial para la correcta gestión del reglamento general. Sin ella, por muy buena implantación que se realice, el sistema no funcionará. Si las personas que tratan los datos personales no son capaces de identificar las acciones a realizar o de identificar las incidencias o simplemente no saben cómo proceder ante un ejercicio de derechos, no se cumplirá la ley", afirma Martín San Cristóbal.
Para apoyar esta idea destaca que "el reglamento establece como principio central la responsabilidad proactiva, lo que supone que la empresa es quien debe acreditar el cumplimiento de la norma, así como establecer los medios adecuados, monitorizar la efectividad de las medidas de seguridad y, en definitiva, crear y desarrollar un ciclo de mejora continua que consiga reducir los riesgos derivados de la protección de datos personales".
La ponencia del proyecto de ley está ya lista
En la Comisión de Justicia del Congreso de los Diputados ya se ha creado la ponencia de la ley para el estudio de las enmiendas presentadas al proyecto de ley orgánica de protección de datos. Según información del Congreso, el grupo solo ha tenido una reunión de constitución y es de esperar que empiece a trabajar en las próximas semanas. Tienen mucho que hacer.
Son 369 las enmiendas que tendrán que estudiar y, en relación al ámbito sanitario, cabe destacar el acuerdo de los principales grupos políticos en pedir que se elabore una norma específica sobre el uso de los datos sanitarios, sacándola así del proyecto de ley en trámite.
No hay comentarios:
Publicar un comentario