Tras un proceso de más de cuatro años, el pasado 4 de mayo se publicó en el diario oficial de la Unión Europea el nuevo Reglamento General de Protección de Datos (RGPD), llamado a sustituir a la Ley Orgánica de Protección de Datos (LOPD). Esta norma será de aplicación directa en toda la Unión Europea a partir del 25 de mayo de 2018, sin necesidad de traslación a las legislaciones nacionales.
El objetivo del RGPD es conseguir una mejor protección de los datos personales de los europeos, dotándonos de mayor control sobre ellos a partir de una legislación uniforme para todos los países de la Unión. La norma contempla un nuevo régimen sancionador a este tipo de infracciones, con multas mucho más elevadas.
En dos años, las administraciones públicas y las empresas deberán estar preparadas para esta nueva norma, que incluye obligaciones como la documentación y registro obligatorio de tratamientos, la comunicación de las brechas de seguridad a las autoridades en 72 horas, la puesta en funcionamiento de análisis de riesgos, o la implementación de nuevos derechos de los ciudadanos como el de la portabilidad de los datos personales.
En la legislación actual (LOPD), los datos de salud tienen un nivel de protección elevado basado en su categorización como datos de nivel alto, y su tratamiento, de manera general, está sujeto al consentimiento expreso del ciudadano. En el nuevo RGPD se establece una categoría de “datos de carácter personal relacionados con la salud”, en general más restrictiva, que redefine aspectos como la prohibición general del tratamiento, los supuestos en los que se pueden tratar categorías especiales de datos y otras medidas que veremos a continuación.
El consentimiento inequívoco del ciudadano para que sus datos sean tratados permanece y, además, tendrá que ser recabado con anterioridad al tratamiento, cosa que no ocurría con la LOPD.
Aparte de los ya conocidos derechos ARCO: acceso, rectificación, cancelación y oposición de la LOPD, el nuevo RGPD establece el derecho de portabilidad, esto es, el ciudadano tendrá derecho a recibir sus datos personales almacenados en un formato adecuado para que pueda entregárselos a otro responsable del tratamiento. Por ejemplo, si nos movemos en el entorno de la sanidad privada, el nuevo reglamento reconoce el derecho a pedir a un prestador sanitario nuestra historia clínica electrónica para poder facilitársela a otro prestador.
Dos nuevos conceptos que aparecen en el RGPD son la anonimización y la seudonimización como mecanismos de disociación. La anonimización es aquel procedimiento que, aplicado a los datos de carácter personal, los convierte en datos que, de forma absoluta e irreversible, no permiten inferir la persona de la que proceden. Como en la LOPD, estos datos disociados quedan fuera del alcance del RGPD. Por el contrario, la seudonimización es “el tratamiento de datos personales de tal manera que ya no puedan atribuirse a un interesado sin utilizar información adicional, y dicha información adicional debe figurar por separado y estar sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.” La seudonimización no deja los datos fuera del alcance y las medidas de seguridad del RGPD, pero ayuda a los responsables de los ficheros a cumplir con la normativa y, de hecho, el propio RGPD fomenta, junto con la encriptación, este tratamiento de los datos personales.
Respecto a las obligaciones del responsable y del encargado del tratamiento, pasa a ser un elemento clave el principio de accountability (responsabilidad), introducido en la norma principalmente a instancias del Reino Unido por más que, finalmente, no vayan a disfrutarlo. Se trata sobre todo de establecer una “responsabilidad proactiva” basada en la existencia de procedimientos auditados, el establecimiento de políticas de protección de datos y la adhesión a códigos de conducta y certificaciones en materia de protección de datos. Respecto a este último punto, es previsible que el cumplimiento del RGPD pase en el futuro por mecanismos de certificación ante organismos que se creen a tal efecto. Un concepto importante en el RGPD es el de “obligatoriedad de resultado”. No es suficiente con haber cumplido la norma de protección de datos (o, en el futuro, estar certificado), sino que los datos deben efectivamente estar protegidos y no deben producirse brechas de seguridad de esta información si no queremos ser sancionados.
Una figura que cobra aun mayor relevancia que en la norma anterior es la del Data Protection Officer, que será obligatoria en la mayoría de las empresas. Será el responsable del cumplimiento de las obligaciones de protección de datos y sus funciones están descritas en el RGPD.
Respecto a las brechas de seguridad, éstás tendrán que ser obligatoriamente comunicadas al organismo nacional competente en un formato normalizado y en un máximo de 72 horas desde que se tuvo constancia. En determinados supuestos, también será obligatorio informar al interesado de que la brecha de seguridad se ha producido.
Otro mecanismo importante que impone el RGPD son los Privacy Impact Assessments (PIAs) o evaluaciones de impacto. Estas evaluaciones serán en muchas ocasiones obligatorias cuando estén en juego datos sensibles como los de salud.
Por último, el régimen sancionador se endurece y las multas pueden alcanzar los veinte millones de euros o el cuatro por ciento de los ingresos globales de la compañía multada.
En resumen, a partir de ahora probablemente será necesaria una adaptación de la normativa que va a dar mucho trabajo, y también mucho que hablar, en particular a los responsables o encargados de tratamientos de ficheros que incluyan datos de salud de los ciudadanos.
Imagen: Universidad Cooperativa