La jornada de ‘Protección de Datos en instituciones de salud’ organizada recientemente en Madrid por la Alianza de la Sanidad Privada Española (ASPE), la Fundación Global Salud y la consultora Alaro Avant reunió a más de un centenar de asistentes en modalidad presencial y telemática.
El secretario general de ASPE, Luis Mendicuti, agradeció la presencia de expertos del ámbito privado y público para analizar el estado actual de la gestión de la protección de datos en el sector sanitario ya que, “como confirma el éxito de inscripciones y asistencia a la jornada, la protección de datos tiene un alto interés para el sector profesional”.
La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, abrió el turno de intervenciones abordando las ‘Claves para cumplir la normativa en instituciones de salud’. Según señaló, la AEPD ha elaborado más de 80 guías y herramientas para poder acompañar a todos los sectores, en especial al educativo y sanitario, que ha definido como “esenciales”. En este sentido aseguró que “a la Agencia no le interesa sancionar, sino que se cumpla el reglamento desde la prevención y siguiendo el principio de la proactividad”, de ahí que sea fundamental “saber escuchar, saber lo que pasa en un hospital, para que nos podáis hacer llegar cuáles son los problemas que estáis teniendo en la práctica y que esas guías sean realmente útiles”, añadió.
Tras enumerar algunas de las principales casuísticas como los accesos ilícitos a la historia clínica de los pacientes y pese a que se pueda considerar que el Reglamento es “muy farragoso”, España se ha mostrado contundente al recordar que “tenemos que ser conscientes de lo que implica la difusión indebida de determinados datos personales”.
A continuación, Mar España reafirmó el compromiso de la AEPD por ayudar en la investigación biomédica, poniendo de ejemplo el impulso de la Disposición Adicional 17ª que modifica la Ley General de Sanidad para facilitar el tratamiento de datos de historia clínica para fines de investigación sanitaria. Por último, ha agradecido a ASPE la organización de estas jornadas, así como las reuniones constantes con el sector sanitario.
Brechas de seguridad, desde su detección hasta la resolución
Por su parte, Alberto Martín, director general de la consultora especializada en protección de datos Alaro Avant, recordó que desde que RGPD está vigente “nos hemos ocupado de cumplir la ley a grandes rasgos y ahora nos tenemos que centrar en afinar” ya que “los datos con los que jugamos en el ámbito sanitario pueden tener consecuencias muy serias”. En torno a ello realizó una completa exposición sobre la gestión de las ‘Brechas de seguridad y protección de datos’, qué consecuencias puede tener y cómo monitorizar una incidencia de este tipo mediante la notificación a la AEPD, a través de la figura obligada del DPD que toda empresa debe tener. Del mismo modo aconsejó no dudar en comunicar siempre cualquier brecha de seguridad a la autoridad correspondiente para su mejor gestión y resolución eficaz.
La importante labor del DPO en las entidades
Los delegados de protección de datos Laura Gordo (Grupo Vithas), Patricia Muleiro (Clínica Universidad de Navarra) y Sergi Juvé (Laboratorio Echevarne) debatieron sobre la importancia de la figura profesional del Delegado de Protección de Datos (DPD) en las instituciones en una mesa redonda moderada por Paula Vallejo, directora de Calidad, Seguridad y Experiencia del cliente Viamed.
Tal como explicó Sergi Juvé, la figura del delegado de protección de datos o DPD “se creó en 2016 y su labor es velar por el cumplimiento de la normativa de protección de datos dentro de las organizaciones”. Además de asesorar y supervisar, “el valor que puede aportar a la organización es guiar en todos los nuevos tratamientos de datos para que se haga de forma correcta y minimizar así el riesgo de sufrir una multa para la entidad”, añadió.
En la misma línea, Laura Gordo apuntó que la salud es “un sector 24/7 por lo que la seguridad tiene que ser permanente. Se trata de velar por los derechos y libertades de los ciudadanos con datos muy delicados”.
Al respecto del reto planteado por la moderadora de cómo convencer que el DPO es un aliado dentro de las organizaciones, Patricia Muleiro indicó que “es imprescindible incidir en la formación interna y lograr que el DPO sea una figura muy cercana en la entidad, en contacto con todos los departamentos para transmitirles que somos una ayuda y el notificar un problema también es una oportunidad de mejora”.
Formación básica en ciberseguridad
Para concluir, el ingeniero de telecomunicaciones Rubén Mora, CSO/CISO en Seidor, expuso aspectos clave para mejorar la ciberseguridad en las organizaciones. Mora alertó de que “constantemente estamos recibiendo ataques que están poniendo en riesgo nuestros datos y en consecuencia nuestro negocio” y ha puesto el acento en la formación en conceptos básicos de ciberseguridad dentro de las entidades y en la importancia de estar al día en certificaciones en lo que respecta al alojamiento técnico de datos personales.