El 25 de maig de 2018 va entrar en vigor el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques respecte al tractament de dades personals i a la lliure circulació d'aquestes dades i pel qual es deroga la Directiva 95/46/CE.
Aquest tipus de reglaments europeus, des de la seva entrada en vigor i aplicació, es converteixen en una norma aplicable directament en tota la Unió, com si d'una norma nacional més es tractàs, i amb la particularitat que les seves disposicions prevalen sobre les normes de dret intern que siguin contràries a ells.
En aquest sentit, qualsevol empresa establerta o amb negocis a la Unió Europea, s'haurà de sotmetre a aquesta normativa.
Què es pretén amb aquest Reglament? D'una banda, facilitar i garantir l'accés dels ciutadans de la Unió Europea a les seves dades, eliminant ambigüitats i dotant-los de més drets. I per l'altre costat, controlar com les organitzacions emmagatzemen, tracten i utilitzen aquestes dades.
Principals canvis que suposa per a les empreses o organitzacions
El RGPD suposarà alguns canvis fonamentals respecte a la normativa precedent:
- Més control a les empreses no europees: totes les empreses que recopilin dades de ciutadans europeus han de complir amb el RGPD, independentment que el processament de les dades es faci dins o fora de la Unió Europea.
- Multes més severes: les organitzacions que vulnerin el RGPD poden ser multades amb fins al 4% de la facturació global anual o 20 milions d'euros.
- Sol·licituds clares i comprensibles: a partir d'ara, les sol·licituds de consentiment per obtenir i tractar les dades personals dels afectats o ciutadans —en cas d'organismes públics—, hauran d'estar redactades en llenguatge clar i comprensible per l'afectat.
- Desapareix l'obligació de declarar els fitxers a l'Agència Espanyola de Protecció de Dades, però hauran de mantenir un registre dels tractaments duits a terme i posar-lo a disposició de les autoritats de control competents en cas de ser requerit.
- Nomenament del delegat de Protecció de Dades (DPD): en el cas dels organismes públics, atès el gran volum de dades que han de tractar dels ciutadans a qui donen servei, és d'obligat compliment el nomenament de la figura d'un DPD, que haurà d'informar i assessorar responsables i encarregats del tractament de dades en matèria reglamentària, supervisar el nivell de compliment del que es disposa al Reglament, i actuar com a punt de contacte amb l'autoritat de control.
- Notificacions de filtracions o bretxes de seguretat: les empreses estaran obligades a notificar les filtracions o bretxes de seguretat que hagin patit en relació amb el seu tractament de dades personals, en un termini màxim de 72 hores després que s'hagi detectat l'incident.
Nous drets. Dret a l'oblit i dret a la portabilitat: els usuaris tindran el dret a sol·licitar a l'empresa o organisme responsable del tractament l'eliminació de les seves dades personals dels fitxers del responsable, que aquest deixi de compartir-los i fins i tot que faci que els tercers amb els quals els han compartit deixin de processar-los. L'usuari també podrà exercir el dret d'accés a les seves dades i sol·licitar una còpia dels mateixos ben estructurats i organitzats, per ser lliurats a una altra empresa o controlador de dades.
Principals reptes del RGPD per al sector sanitari
Atesa l'evolució exponencial de la tecnologia en els últims anys, el marc normatiu anterior — la Directiva 95/46 amb 20 anys d'antiguitat—, ha quedat desfasat i de difícil aplicació.
En un entorn com el sanitari —en el qual es tracten de manera massiva dades de salut, amb finalitats docents i d'investigació, utilitzant dades massives (big data), i en el qual la tecnologia té un paper cada vegada més rellevant— el principal objectiu és millorar la confidencialitat i privacitat de les dades dels pacients, establint controls mes restrictius d'accés a la informació clínica.
En aquest sentit, entre d’altres reptes importants que haurà d'abordar el sector hi ha:
- El principi de responsabilitat activa, que és la necessitat que el responsable del tractament apliqui mesures tècniques i organitzatives apropiades a fi de poder garantir i demostrar que el tractament es fa d’acord amb el Reglament.
- Anàlisi de riscos d'un entorn complex i heterogeni: els organismes sanitaris hauran de valorar els seus riscos i incorporar mecanismes per minimitzar-los, garantint la privacitat des del disseny, i per defecte, des de la concepció dels seus productes i serveis. Això, en un entorn en el qual hi ha centenars d'aplicacions i milers d'actius d'informació, es converteix en un repte important a l'hora d'integrar-lo a l'Esquema Nacional de Seguretat (ENS) i en la metodologia PILAR recomanada pel CCN-CERT.
- Adequar-se a la problemàtica del consentiment, que ha de ser "informat, lliure i atorgat mitjançant manifestació clarament expressa i afirmativa". Això comporta modificar les clàusules actuals de "deure d'informació" —per a les admissions, per exemple— ja que es prohibeix el consentiment tàcit, fins i tot per a tractaments iniciats anteriorment.
- Oferir més informació al ciutadà, el que queda bastant ben resolt amb el plantejament de fer-ho per capes (de menys a més informació).
- Els drets ARC han de ser adequats i incorporar els nous drets. No obstant això, el dret de portabilitat no s'aplica en la sanitat pública.
- Un canvi significatiu, i relacionat amb la responsabilitat activa, comentada anteriorment, és la diligència més gran que es requereix amb els encarregats de tractament, a l'hora de verificar el seu compliment, encara que s'articuli mitjançant les clàusules oportunes.
Adequació per part del Servei de Salut
En el Servei de Salut s'ha treballat en diferents línies per adequar l'organisme als requeriments del RGPD com, entre d'altres, en la identificació dels tractaments, en la realització d'anàlisi de riscos i en l'elaboració d'auditories.
Igualment és important destacar que el Servei de Salut comptarà amb un delegat de Protecció de Dades propi a fi d'assegurar el compliment de les obligacions establertes pel RGPD i de vetllar pels drets dels ciutadans i dels pacients.
Qualsevol comunicació al delegat de Protecció de Dades del Servei de Salut es podrà fer a l'adreça electrònica Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la.. També es pot fer a la de la Comunitat Autònoma de les Illes Balears Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la..
LOPD 2.0
La LOPD 2.0, avantprojecte de la LOPD (Llei Orgànica de Protecció de Dades de Caràcter Personal), es troba pendent d'aprovació en el Congrés de Diputats.
Algunes de les modificacions de l'avantprojecte de llei són:
- L'obtenció del consentiment dels ciutadans per a cada una de les finalitats en les quals es requereixen les seves dades.
- La possibilitat dels hereus d'exercir els drets d'accés, rectificació o supressió de dades, en nom del familiar mort.
L'Agència Espanyola de Protecció de Dades (AEPD) i el RGPD
L'AEPD ha habilitat dins del seu portal un espai dedicat exclusivament al RGPD, on s'inclou el text íntegre del Reglament, així com un conjunt d'informes, presentacions i documentació que vos animam a visitar i revisar si desitjau aprofundir i anar coneixent els avenços sobre la matèria.
Es pot accedir a la informació a través del següent enllaç:
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php