Especialistas reunidos sobre protección de datos en el ámbito sanitario en los marcos de España y europeo, han asegurado que la administración y también implantación de proyectos como la historia clínica interoperable, el empleo de los datos personales de la salud en la investigación, el futuro reglamento europeo y la política de transparencia supondrán un cambio "esencial" en la administración de los datos de salud de los ciudadanos, profesionales y la industria. Por si fuera poco, va a ser un "reto" para los responsables de las administraciones sanitarias.
Transmitir una cultura de protección de datos de salud
"Se trata, más bien, de que en la legislación, seamos capaces de comunicar una cultura de protección de datos de salud a nuestros profesionales y a los gestores. Hemos de ser capaces de conjugar el cumplimiento de la ley, el respeto a la confidencialidad, la transparencia, con el ejercicio de la profesión y, sobre todo, con las nuevas tecnologías. Por si fuera poco, el cumplimiento de la Ley de Protección de Datos (LOPD) no puede ser un obstáculo, mas tampoco podemos ampararnos en su desconocimiento", ha remarcado P. Canal.
Ahora bien, los especialistas han recordado que la protección de datos "es un fin, es una herramienta, un instrumento que nos ayuda a lograr valor", y en que la Política de Transparencia impulsada por ámbitos que intervienen en el campo de la salud va a hacer que las relaciones entre industria, profesionales y organizaciones sanitarias den sitio a una "mayor confianza y seguridad".
"La mejor manera de fomentar el cumplimiento por la parte de cada individuo de las obligaciones que tiene al respecto no es siempre y en toda circunstancia la coactiva: el acogimiento va a ser positivo y, por lo tanto, el cumplimento alcanzará el mayor grado posible, si se incorporan procedimientos de cumplimiento operativos y acordes a la realidad de cada organización. Del mismo modo es esencial que las consultoras expertas en protección de datos estén asimismo expertas en la aplicación en el campo sanitario".
La administración y también implantación de proyectos como la historia clínica interoperable, el empleo de los datos personales de la salud en la investigación, el futuro Reglamento Europeo y la Política de Transparencia supondrán un cambio esencial en la administración de los datos de salud de los ciudadanos, profesionales y la industria y supone un reto para los responsables de las administraciones sanitarias, conforme ha dado a conocer C. P. Canal, directiva de Administración del Centro de salud de Guadarrama de la capital de España, en el marco de la Jornada “Nuevos Horizontes” sobre protección de datos en el campo sanitario en los marcos de España y europeo organizada por la Sociedad De España de Directivos de la Salud (SEDISA), en cooperación con Previsión Sanitaria Nacional (PSN), la Fundación Ad Qualitatem y Previsión Sanitaria Servicios y Asesoría (SERCON) y patrocinio del Círculo de Sanidad.
Por su lado, J. Estévez, presidente de SEDISA, apunta que estas jornadas responden a entre las líneas estratégicas de la propia Sociedad, la formación continuada y la profesionalización de los directivos de la salud, en un caso así, en un tema que repercute de manera directa en la calidad de la atención de los pacientes y, por lo tanto, estratégico para todo el sistema. “La conveniente conjugación de la protección de datos con el mejor servicio al ciudadano y la investigación puntera que se efectúa en nuestros centros de salud es un tema que debe ser prioritario para los gestores sanitarios”, arguye.
Para P. Canal, el conocimiento de la Ley es esencial y la propia organización va a deber hacer todo cuanto deba hacer para cumplir la legislación. No obstante, explica, “hay conceptos en la propia legislación de protección de datos, en el futuro reglamento, como la amedrentad, la confidencialidad, la transparencia que son demandas sociales, son conceptos ya empapados en la sociedad”. De esta manera, agrega que no se puede evitar esta demanda social y que se trata, más bien, “de que en la legislación, seamos capaces de comunicar una cultura de protección de datos de salud a nuestros profesionales y a los gestores. Hemos de ser capaces de conjugar el cumplimiento de la ley, el respeto a la confidencialidad, la transparencia, con el ejercicio de la profesión y, sobre todo, con las nuevas tecnologías”. Además de esto, añade P. Canal, el cumplimiento de la Ley de Protección de Datos (LOPD) “no puede ser un obstáculo, mas tampoco podemos ampararnos en su desconocimiento”.
En esta línea, R. B. G., técnico superior de la Administración General de la Comunidad de la capital española, Centro de salud Guadarrama, apunta que la carencia de capacitación y también información no pueden ser un óbice para la implantación de un proyecto en cualquier campo. B. G. agrega que es esencial informar sobre los instrumentos implantados para la consecución del objetivo, trabajar de forma conjunta para progresar su implantación y lograr que todos y cada uno de los profesionales se reúnan en la estrategia, cooperen en su desarrollo y en la consecución del objetivo.
La Propuesta de Reglamento de Protección de Datos presentada por la Comisión Europea al Consejo y al Parlamento Europeo tiene como pretendido objetivo actualizar el marco normativo actual de la UE. Esta armonización, como no podía ser de otro modo, se ha acogido propiciamente por todas y cada una de las partes implicadas. Una actualización de estas peculiaridades debería facilitar a las compañías su expansión a otros mercados europeos, tal como a los usuarios el empleo de los servicios y la adquisición de recursos de otros países europeos con total confianza en su nivel de protección. No obstante, esta “modernización” tiene un doble filo.
Por una parte, recoge la realidad que vivimos, regulando los elementos propios del ambiente digital. Mas por otro, le aplica un riguroso régimen normativo, que puede tener un impacto dañino para la industria digital, su avance y la aptitud de sus modelos de negocio. Nos hallamos en una situación en la que el beneficio que puede suponer la actualización de la normativa puede ser superado por el costo de no localizar el conveniente equilibrio entre el derecho a la protección de datos y la promoción de la innovación, competitividad y mercado único digital.
Se apuntan ciertos aspectos que se recogen en el reglamento y que pueden suponer una traba para la innovación:
a) Definición de datos personales: del Reglamento parece desprenderse que todos los identificadores únicos digitales y los datos de localización serán considerados datos personales y por tanto, se amplía el ámbito de aplicación material del Reglamento. Al respecto actualmente existe el debate sobre si deben considerarse como datos personales si la identificación no es posible por el responsable del tratamiento, pero si por un tercero. Necesidad de trabajar más en el concepto de datos pseudónimos.
b) Legitimación para el tratamiento de datos – El Reglamento establece que el consentimiento debe ser una manifestación “libre, específica, informada y explícita”. Aunque no hay duda de que el consentimiento explícito se justifica en numerosas situaciones, y especialmente cuando tratan datos sensibles, la extensión a casi todos los tratamientos de datos genera un efecto negativo y esta rigidez no se traduce en una mayor garantía para el ciudadano. Lo importante, en la mayoría de las ocasiones, es que éste pueda tener toda la información, y oponerse al tratamiento, lo que se traducirá en un mayor conocimiento sobre el sentido y alcance de su acción.
Además, la excepción “interés legítimo del responsable” para el tratamiento de datos también se reduce en el borrador de la Comisión, por lo que se limitaría de forma drástica las posibilidades de las empresas de tratar los datos de forma lícita. El Parlamento sin embargo, ha incluido esta posibilidad esta posición y se espera que el Consejo vaya en la misma línea.
c) Restricción en la generación de perfiles - El Reglamento introduce la necesidad de recabar el consentimiento para llevar a cabo actividades de creación de perfiles que produzcan efectos jurídicos o afecten significativamente al interesado. La creación de perfiles es una actividad que se lleva a cabo en casi cualquier empresa y que les permite adoptar decisiones en función de determinadas variables sin que esto tenga un efecto negativo sobre la persona. Teniendo en cuenta la definición más estricta de consentimiento, puede resultar difícil obtenerlo.
El Parlamento ha introducido algo más de margen, estableciendo que la elaboración de perfiles basada únicamente en el tratamiento de datos pseudónimos no afecta de modo significativo a los intereses, derechos o libertades del interesado. Esto permitiría ciertas actividades de creación de perfiles, algo positivo, teniendo en cuenta que la segmentación permite a las empresas ser más eficaces analizando posibles mejoras que redundan en innovación y desarrollo. Habrá que ver en qué términos se pronuncia el Consejo al respecto.
d) El Reglamento inicialmente estaba destinado a reducir la carga administrativa, por ejemplo, eliminando la necesidad de notificación previa de las operaciones de tratamiento de datos en una serie de casos o designado una sola Autoridad de Protección de Datos como el responsable para las empresas que operan en muchos Estados miembros ("one-stop-shop"). Sin embargo, se han incluido algunas obligaciones, como la necesidad de notificar a la Autoridad de Protección de Datos y los interesados afectados las violaciones de datos; hacer evaluaciones de impacto de análisis de riesgos para tratamiento de datos especialmente delicados; y proporcionar a las Autoridades de protección de datos esas con copias de las evaluaciones de impacto de protección de datos a petición.
Nadie discute la necesidad de adaptar las normas a la era digital y los beneficios de algunos de sus principios. El Reglamento es, además de una realidad próxima, un necesario sustituto de una Directiva que fue publicada de forma coetánea a la popularización de internet.
Pero los aspectos anteriormente mencionados, debieran ser revisados para que el Reglamento de protección de datos sea uno de los cimientos del mercado único digital europeo. Y para que la propuesta suponga una verdadera modernización del marco normativo, éste debería tener en cuenta que uno de los pilares de la economía digital es el tratamiento de la información. Con las barreras que establece actualmente el Reglamento es posible que las empresas europeas no puedan seguir innovando.
Por otro lado, los consumidores europeos tienen actualmente acceso a una amplia gama de servicios educativos, científicos, informativos y de entretenimiento que se pagan en su totalidad o en parte por la publicidad. Y todos estos avances se encuentran amenazados a medio plazo por propuestas que no están teniendo en cuenta este aspecto.
Sería necesario aplicar la fórmula coste- beneficio, para ver si las actuales medidas van a redundar en una mayor protección, y apostar por la confianza digital y la transparencia en un entorno en el que la idea de consentimiento explícito está caduca y un consentimiento informado y granular se postula como una solución lógica.
De esa manera el usuario tiene una mayor capacidad de decisión. Y es que multitud de empresas han adoptado numerosas políticas para asegurar la protección de la privacidad de sus usuarios y cumplir con los más altos estándares de la legislación en materia de protección de datos.
No obstante, es necesario conocer las actitudes de los ciudadanos en la protección de su información y cuál es su preocupación y conocimiento acerca de sus derechos y herramientas para protegerla con el fin de adaptar esta nueva norma a la realidad, no sólo tecnológica, si no sociológica.