La Evaluación del Impacto de la Privacidad en el sector e-health | nueva obligación tras la aprobación del Reglamento

Categories Artículos

Por Ana Caballero | abogada en CÓDIGO LEGAL (expertos en e-health). www.codigolegal.com

En aquellas operaciones y tratamientos llevados a cabo con datos de salud referidos a pacientes, se debe llevar a cabo, antes de iniciar el tratamiento, una evaluación del impacto de la privacidad relativa a la protección de datos.

Esta evaluación, que hasta ahora sólo se recomendaba, con la aprobación del Reglamento Europeo de Protección da Datos, cambia a obligatoria.

Esta evaluación permite valorar la probabilidad de los riesgos teniendo en cuenta distintos factores como son: la naturaleza, el ámbito, contexto y fines del tratamiento y los orígenes del riesgo. Debiéndose incluir en particular, las medidas, las garantías y mecanismos previstos para mitigar el riesgo, garantizando la protección de los datos personales y demostrando la “accountability”, conforme el Reglamento.

Si una evaluación del impacto relativa a la protección de datos de salud muestra la existencia de ausencia de garantías, de medidas de seguridad y/o mecanismos destinados a mitigar los riesgos, que el tratamiento entrañaría un alto riesgo para los derechos de los pacientes, y el responsable del tratamiento considera que el riesgo no puede mitigarse por medios razonables en cuanto a tecnología disponible y costes de aplicación, deberá consultarse a la Agencia Española de Protección de Datos antes de iniciar el tratamiento.

La ventaja principal de la realización de una evaluación de impacto en el sector e-health en las etapas iniciales del diseño de un producto, servicio o sistema de información, es que se identifican los posibles riesgos y se pueden corregir anticipadamente, evitando de esta forma, los costes derivados de descubrirlos a posteriori cuando el producto o servicio se está ya utilizando o, lo que es peor, cuando ya se ha producido brecha de seguridad y hay un daño generado a un paciente. En estos casos no solo se incurre en costes económicos como podrían ser las sanciones del la autoridad de control, sino también de imagen para la organización cuya reputación se vería afectada.

Además, la realización de una evaluación de impacto es considerado, por la Agencia Española de Protección de Datos, como un excelente ejercicio de transparencia, dado que permite: planificar las respuestas a posibles impactos en la protección de datos, gestionar las relaciones con terceras partes implicadas en el proyecto, educar a empleados pata estar alerta sobre posibles problemas o incidentes en relación con el tratamiento de datos personales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *