Amb l'entrada en vigor, fa ja un any, del Reglament (UE) 2016 / 679 del Parlament Europeu i del Consell, de 27 d'abril de 2016, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals ia la lliure circulació d'aquestes dades (RGPD) i sis mesos de la Llei Orgànica 3 / 2018, de 5 de desembre, de Protecció de dades Personals i Garanties dels Drets Digitals (LOPDGDD), s'introduïa la figura del Delegat de Protecció de Dades o "DPD" (DPO, en les seves sigles en anglès, Data Protection Officer), Com aquella persona física o jurídica, intern o extern, que actua en el Responsable [1] o en l'Encarregat del Tractament [2], per protegir les dades personals sent aquest designat atenent les seves qualitats professionals i als seus coneixements especialitzats del Dret i la pràctica en matèria de protecció de dades ia la seva capacitat per a exercir les funcions establertes en el RGPD, que posteriorment indicarem.

És necessari un Delegat de Protecció de Dades en l'àmbit sanitari?

Centrant-nos en aquest àmbit sanitari, tant públic com privat, aquesta nova figura només serà obligatòria si es tracta de (i) Autoritats i organismes públics; (Ii) Responsables o encarregats que tinguin entre les seves activitats principals les operacions de tractament que requereixin una observació habitual i sistemàtica d'interessats a gran escala; (Iii) Responsables o encarregats que tinguin entre les seves activitats principals el tractament a gran escala de dades sensibles. Entre d'altres, les dades sensibles són els referits a dades de salut, sent aquests tractats habitualment en els centres sanitaris, tant públics, com privats.

Reprenent novament la pregunta que ens fèiem, sobre la necessitat o no de comptar en el nostre Centre Sanitari amb un delegat de Protecció de Dades:

La resposta no és altra que l'obligació d'adaptar-se a la normativa europea que ja existeix en aquest sentit, però també la de protegir les dades dels pacients, especialment si es refereixen a dades de salut, genètics i biomètrics.

Per tant, si tractem en el nostre Centre Sanitari dades de salut, haurem de comptar amb un Delegat de Protecció de Dades. Però pel fet de tractar dades de salut hem de comptar sempre amb un DPD? No, hi ha una excepció respecte de qui han de comptar amb aquesta figura i, prenent com a referència el Considerant 91 del RGPD, "el tractament de dades personals no ha de considerar-se a gran escala si ho fa, respecte de les dades personals dels pacients, un sol metge, un altre professional de la salut ... ", els consultoris mèdics unipersonals no han de comptar amb Delegat de Protecció de Dades. Aquesta posició ha quedat reforçada per l'article 34.1 l) de la LOPDGDD, que estableix que "S'exceptuen els professionals de la salut que, tot i estar legalment obligats al manteniment de les històries clíniques dels pacients, exerceixin la seva activitat a títol individual ".

Seguint amb els supòsits en què, si és necessari comptar amb un DPD, l'actual LOPDGDD, confirma el criteri establert en l'article 37 del RGPD, establint que han de tenir un DPD, «Els centres sanitaris legalment obligats al manteniment de les històries clíniques dels pacients«.

Per tant, tenint clar que els centres sanitaris que no actuïn a títol individual i que tractin dades de salut han de tenir un Delegat de Protecció de Dades, ara explicarem quina posició ha de tenir aquest professional dins de l'organització del Centre Sanitari.

El Centre Sanitari garantirà que el Delegat de Protecció de Dades participi de forma adequada i en temps oportú en totes les qüestions relatives a la protecció de dades personals. Així mateix, han de recolzar al Delegat de Protecció de Dades en l'exercici de les seves funcions, facilitant els recursos necessaris per a l'acompliment de les mateixa i l'accés a les dades personals ia les operacions de tractament.

Per la seva banda el Delegat de Protecció de Dades, Ha de ser independent, no havent de rebre cap instrucció pel que fa a l'exercici d'aquestes funcions. Tampoc serà destituït ni sancionat pel Centre Sanitari per exercir les seves funcions, rendint comptes directament al més alt nivell jeràrquic.

El Delegat de Protecció de Dades haurà de mantenir el secret o la confidencialitat pel que fa a l'exercici de les seves funcions i podrà exercir altres funcions i comeses, sempre que no donin lloc a conflicte d'interessos.

Però quines són les funcions del DPD?

Aquestes funcions es recullen en l'article 39 del RGPD, sent bàsicament les següents:

  1. Informar i assessorar el Centre Sanitari i als empleats que s'ocupin del tractament de les obligacions en matèria de protecció de dades;
  2. Supervisar el compliment del que disposa el RGPD, i de les polítiques del Centre Sanitari en matèria de protecció de dades personals, incloent l'assignació de responsabilitats, la conscienciació i formació del personal que participa en les operacions de tractament, i les auditories corresponents;
  3. Oferir l'assessorament que se li demani sobre l'avaluació d'impacte relativa a la protecció de dades i supervisar la seva aplicació;
  4. Cooperar amb l'autoritat de control, això amb l'Agència Espanyola de Protecció de Dades o l'Agència Catalana de Protecció de Dades, si és el cas;
  5. Actuar com a punt de contacte de l'autoritat de control per qüestions relatives al tractament, inclosa la consulta prèvia, i realitzar consultes, si escau, sobre qualsevol altre assumpte.

Per tant, queda clar que els centres sanitaris, hospitals, consultoris, policlínicas, consultes mèdiques tant públics com privats, han de comptar en els seus equips de gestió, amb professionals capacitats per ocupar el lloc de Delegat de Protecció de Dades. Aquests professionals, han de ser designats atenent les seves qualitats professionals i als seus coneixements especialitzats del Dret i de la pràctica en matèria de protecció de dades, pel que no és recomanable entendre, que n'hi ha prou amb designar una persona dins de l'organització, i que aquesta figuri com Delegat de Protecció de Dades, Sense tenir els coneixements jurídics, tècnics i pràctics necessaris sobre la matèria, ja que l'aplicació d'aquesta normativa cada vegada és més complexa. Així mateix, la LOPDGDD considera que una infracció greu "L'incompliment de l'obligació de designar un delegat de protecció de dades quan sigui exigible el seu nomenament d'acord amb l'article 37 del Reglament (UE) 2016 / 679 i l'article 34 d'aquesta Llei orgànica".

Finalment, indicar que els delegats de Protecció de Dades, som una figura que venim a ajudar, aclarir i formar, sobre el dret a la protecció de dades de les persones, actuant com a nexe entre l'autoritat competent i el Centre Sanitari i vetllant pel compliment de les polítiques i bones pràctiques desenvolupades pels centres sanitaris. Confiï en un professional per a exercir aquesta tasca.


[1] «Responsable del tractament» o «responsable»: la persona física o jurídica, autoritat pública, servei o un altre organisme que, sol o juntament amb altres, determini els fins i mitjans del tractament; si el Dret de la Unió o dels Estats membres determina els fins i mitjans del tractament, el responsable del tractament o els criteris específics per al seu nomenament podrà establir-los el Dret de la Unió o dels estats membres;

[2] «Encarregat del tractament» o «encarregat»: la persona física o jurídica, autoritat pública, servei o un altre organisme que tracti dades personals per compte del responsable del tractament;


Sobre l'autor:

dpo

José Manuel Rodriguez

DiG Advocats

Linkedin