Con la entrada en vigor, hace ya un año, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y seis meses de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantías de los Derechos Digitales (LOPDGDD), se introducía la figura del Delegado de Protección de Datos o “DPD” (DPO, en sus siglas en inglés, Data Protection Officer), como aquella persona física o jurídica, interno o externo, que actúa en el Responsable[1] o en el Encargado del Tratamiento[2], para proteger los datos personales siendo éste designado atendiendo a sus cualidades profesionales y a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones establecidas en el RGPD, que posteriormente indicaremos.

¿Es necesario un Delegado de Protección de Datos en el ámbito sanitario?

Centrándonos en dicho ámbito sanitario, tanto público como privado, esta nueva figura solo será obligatoria si se trata de (i) Autoridades y organismos públicos; (ii) Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala; (iii) Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles. Entre otros, los datos sensibles son los referidos a datos de salud, siendo estos tratados habitualmente en los centros sanitarios, tanto públicos, como privados.

Retomando nuevamente la pregunta que nos hacíamos, sobre la necesidad o no de contar en nuestro Centro Sanitario con un Delegado de Protección de Datos:

La respuesta no es otra que la obligación de adaptarse a la normativa europea que ya existe en este sentido, pero también la de proteger los datos de los pacientes, especialmente si se refieren a datos de salud, genéticos y biométricos.

Por lo tanto, si tratamos en nuestro Centro Sanitario datos de salud, deberemos contar con un Delegado de Protección de Datos. Pero ¿por el hecho de tratar datos de salud debemos contar siempre con un DPD? No, existe una excepción respecto de quiénes deben contar con esta figura y, tomando como referencia el Considerando 91 del RGPD, “el tratamiento de datos personales no debe considerarse a gran escala si lo realiza, respecto de datos personales de pacientes, un solo médico, otro profesional de la salud…”, los consultorios médicos unipersonales no deben contar con Delegado de Protección de Datos. Esta posición ha quedado reforzada por el artículo 34.1 l) de la LOPDGDD, que establece que “Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual”.

Siguiendo con los supuestos en los que, si es necesario contar con un DPD, la actual LOPDGDD, confirma el criterio establecido en el artículo 37 del RGPD, estableciendo que deberán contar con un DPD, «Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes «.

Por lo tanto, teniendo claro que los Centros Sanitarios que no actúen a título individual y que traten datos de salud deben contar con un Delegado de Protección de Datos, ahora explicaremos qué posición debe tener este profesional dentro de la organización del Centro Sanitario.

El Centro Sanitario garantizará que el Delegado de Protección de Datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales. Asimismo, deben respaldar al Delegado de Protección de Datos en el desempeño de sus funciones, facilitando los recursos necesarios para el desempeño de las misma y el acceso a los datos personales y a las operaciones de tratamiento.

Por su parte el Delegado de Protección de Datos, debe ser independiente, no debiendo recibir ninguna instrucción en lo que respecta al desempeño de dichas funciones. Tampoco será destituido ni sancionado por el Centro Sanitario por desempeñar sus funciones, rindiendo cuentas directamente al más alto nivel jerárquico.

El Delegado de Protección de Datos deberá mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones y podrá desempeñar otras funciones y cometidos, siempre que no den lugar a conflicto de intereses.

¿Pero cuáles son las funciones del DPD?

Estas funciones se recogen en el artículo 39 del RGPD, siendo básicamente las siguientes:

  1. Informar y asesorar al Centro Sanitario y a los empleados que se ocupen del tratamiento de las obligaciones en materia de protección de datos;
  2. Supervisar el cumplimiento de lo dispuesto en el RGPD, y de las políticas del Centro Sanitario en materia de protección de datos personales, incluyendo la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
  3. Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación;
  4. Cooperar con la autoridad de control, esto con la Agencia Española de Protección de Datos o la Agencia Catalana de Protección de Datos, en su caso;
  5. Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa, y realizar consultas, en su caso, sobre cualquier otro asunto.

Por lo tanto, queda claro que los Centros Sanitarios, Hospitales, consultorios, policlínicas, consultas medicas tanto públicos como privados, deben contar en sus equipos de gestión, con profesionales capacitados para desempeñar el puesto de Delegado de Protección de Datos. Estos profesionales, deben ser designados atendiendo a sus cualidades profesionales y a sus conocimientos especializados del Derecho y de la práctica en materia de protección de datos, por lo que no es recomendable entender, que basta con designar a una persona dentro de la organización, y que ésta figure como Delegado de Protección de Datos, sin tener los conocimientos jurídicos, técnicos y prácticos necesarios sobre la materia, puesto que la aplicación de dicha normativa cada vez es más compleja. Asimismo, la LOPDGDD considera que una infracción grave “El incumplimiento de la obligación de designar un delegado de protección de datos cuando sea exigible su nombramiento de acuerdo con el artículo 37 del Reglamento (UE) 2016/679 y el artículo 34 de esta ley orgánica”.

Finalmente, indicar que los Delegados de Protección de Datos, somos una figura que venimos a ayudar, esclarecer y formar, sobre el derecho a la protección de datos de las personas, actuando como nexo entre la autoridad competente y el Centro Sanitario y velando por el cumplimiento de las políticas y buenas prácticas desarrolladas por los Centros Sanitarios. Confíe en un profesional para desempeñar esta tarea.


[1] «responsable del tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros;

[2] «encargado del tratamiento» o «encargado»: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;


Sobre el autor:

dpo

José Manuel Rodriguez

DiG Abogados

Linkedin