Sí, el Reglamento General de Protección de Datos (RGPD) es un importante cambio normativo de la Unión Europea que entró en vigor en mayo de 2016, pero empezará a ser aplicable el 25 de mayo de 2018. Se espera además una nueva Ley Orgánica de Protección de Datos (LOPD), cuyo proyecto ya ha sido aprobado.
La novedad más importante del RGPD es que nuestros pacientes o usuarios han de dar su consentimiento inequívoco y explícito (y revocable de forma sencilla en cualquier momento) para el tratamiento de sus datos personales y solamente para las cuestiones para las que nos permitan ese tratamiento.
El RGPD mantiene con algunos cambios los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición) para los interesados, y establece dos nuevos: al olvido, vinculado a la presencia de nuestros datos en Internet, y a la portabilidad de los datos, que supone que facilitemos al interesado copia de sus datos personales en un formato estructurado, de uso común y lectura mecánica. Debemos facilitar de forma gratuita el ejercicio de los derechos, salvo en casos de solicitudes infundadas o excesivas.
Se establece la comunicación de fallos, de manera que si se produce una violación de la seguridad de los datos personales (denominado incidente o brecha de seguridad), informaremos a la Agencia Española de Protección de Datos (AEPD) sin dilación y a ser posible dentro de las 72 horas siguientes al momento en el que tengamos conocimiento de este siniestro. El RGPD considera como incidente “la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. En ese último supuesto (por ejemplo, un hacker ha accedido a los datos personales de clientes) debemos informar del fallo también a los afectados si existiera algún riesgo para sus derechos.
Por último el RGPD establece la figura del delegado de protección de datos (DPD) con la que deben contar las empresas que realizan el tratamiento a gran escala de datos de salud (entre otros), lo que parece excluir de tal obligación a las ortopedias usuales, pero solamente tras la oportuna evaluación de riesgos podremos establecer si necesitamos contar con dicho delegado. Sus principales funciones son la información y asesoramiento, la supervisión del cumplimiento normativo de protección de datos y la cooperación con la AEPD, gozando de autonomía en su trabajo.