La adaptación de las empresas de tecnología sanitaria e e-health al nuevo reglamento europeo de protección de datos

Categories Artículos

Por Ana Caballero | socia del despacho especializado en e-Healt CÓDIGO LEGAL. www.codigolegal.com

Los avances tecnológicos en el sector de la salud, la aparición de nuevos modelos de negocio, y la interpretación de qué es un dato de carácter personal relacionado con la salud, hacen indispensable establecer una aproximación a los nuevos retos legales que las empresas de tecnología sanitaria habrán de cumplir tras la aprobación del Reglamento Europeo de Protección de Datos.

Este Reglamento es uno de los procesos legislativos más importantes de los últimos años. Tendrá efecto directo en todos los estados miembros de la Unión Europea, estableciéndose un periodo de adaptación de dos años para su implantación.

Las novedades más destacables que aplicarán al sector de la tecnología sanitaria y el e-health serán los siguientes:

  • Se eliminaran requisitos administrativos como la notificación de todas las actividades de tratamiento de datos a las entidades supervisoras; si bien, se intensificaran las responsabilidades y obligaciones de rendir cuentas. Lo que implicará, que todas las empresas de tecnología sanitaria que traten datos –aunque sean como encargados-, deberán aplicar los criterios de “ACCOUNTABILITY” exigiéndoles mayor documentación, la aplicación de la privacidad por defecto y la privacidad desde el diseño en sus servicios y productos, la evaluación de los riesgos y el impacto en la privacidad y la aplicación, sin duda alguna, de Códigos de Conducta.
  • Deberá considerarse que la inobservancia generará responsabilidad, por lo que  en términos prácticos el responsable del tratamiento y el encargado, en su caso, están obligados a demostrar que cada operación de tratamiento cumple con lo dispuesto en el Reglamento. Para ello, es necesario aplicar medidas responsables, mecanismos de verificación y dar publicidad a esas medidas.
  • Por otra parte, hay que destacar el nombramiento de un Data Protection Officer (DPO) en todas aquellas empresas que giren alrededor de la industria de la salud, incluyendo proveedores de salud, seguros, productos farmacéuticos, productos sanitarios, empresas de biotecnología así como del sector e-health.

También se amplia la definición de datos relativos a la salud incluyéndose los datos biométricos y la genética de datos. Todos, considerándose sensibles. Y se establece un artículo específico para el tratamiento de datos de salud, prohibiéndose su tratamiento salvo que el mismo sea necesario para fines de medicina preventiva, diagnóstico médico, prestación de asistencia sanitaria o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, por razones de interés público en el ámbito de la salud pública (amenazas transfronterizas para la salud, o para garantizar elevados niveles de calidad, de seguridad de las asistencia sanitaria de los medicamentos, o productos sanitarios).

Una de las áreas a las que mayor importancia se le da en el Reglamento es a la adhesión a Códigos de Conducta para demostrar el cumplimiento.

Por último, indicar que los encargados del tratamiento (que generalmente por el propio modelo de negocio son las empresas de tecnología sanitaria), tienen en este marco, obligaciones y responsabilidades mayores aunque no tan amplias como el responsable salvo en caso de incumplimiento.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *