El Senado ha aprobado el proyecto de la nueva Ley Orgánica de Protección de Datos Personales en internet y garantía de los derechos digitales, que regula el uso de datos personales de ciudadanos y que implica cambios jurídicos en el tratamiento de datos de los pacientes.
Ricardo De Lorenzo y Aparici, socio director de De Lorenzo Abogados, detalla a Redacción Médica las principales novedades que trae consigo dicha ley que abarca, tanto el articulado del Reglamento Europeo, como nuevos derechos y obligaciones.
«A falta de su publicación en el Boletín Oficial del Estado y su entrada en vigor, por fin se van clarificando los preceptos inherentes a la actualización normativa en materia de protección de datos, que llevamos «sufriendo» durante no poco tiempo, tanto para las Organizaciones, responsables de los tratamientos de datos, como para los propios pacientes, titulares de esos datos personales», explica.
Delegado de Protección de datos
En materia sanitaria una de las principales novedades es la obligación de designar un Delegado de Protección de Datos. Esta persona, que puede ser interna o externa a la organización, deberá de velar obligatoriamente por el mantenimiento de las historias clínicas de los pacientes. Esta medida afecta a organizaciones como los colegios y consejos profesionales, centros docentes, o los centros sanitarios. La norma exime a los profesionales de la salud que actué a título individual. Es decir, en clínicas privadas donde solo haya un médico al frente. Estos delegados deben de tener conocimientos fundamentados en el derecho.
Los colegios y consejos profesionales deberán de contar con un delegado de protección de datos
Otro principio a tener en cuenta en esta ley es el del tratamiento de categorías especiales de datos, en la disposición adicional decimoséptima que introduce una serie de previsiones encaminadas a garantizar el adecuado desarrollo de la investigación en materia de salud, y en particular la biomédica, ponderando los indudables beneficios que la misma aporta a la sociedad con las debidas garantías del derecho fundamental a la protección de datos.
Sanciones
En los casos en los que esta ley sea incumplida, la misma recoge un nuevo régimen sancionador. A este se encuentran sujetos los responsables y encargados del tratamiento, los representantes de los mismos, no establecidos en el territorio de la Unión europea, las entidades de certificación y las entidades acreditadas para supervisar los códigos de conducta.
Se establecen el tipo de infracciones, que podrán ser consideradas muy graves (tratar datos ilícitamente, o tratarlos para una finalidad totalmente distinta a la informada en el momento de su obtención), graves (tratar datos de menores de edad sin el consentimiento de sus padres o tutores o contratar un proveedor de servicios que no ofrezca garantías de cumplimiento de la nueva normativa en protección de datos) o leves (no atender solicitudes de derechos o la notificación incompleta, tardía o defectuosa de una violación de seguridad).
Dichas infracciones llevan aparejadas sanciones económicas que podrán graduarse en función de, por ejemplo si la organización tiene contratado un Delegado de Protección de Datos o de sometimiento por parte del infractor a mecanismos de resolución alternativa de conflictos.
Respecto de las sanciones, pueden llegar a ser multas administrativas de hasta los diez o veinte millones de euros como máximo o de una cuantía equivalente al 2 por ciento o 4 por ciento como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tal y como señala el Reglamento Europeo.
De igual forma quedan fijados finalmente los plazos de prescripción de las infracciones y sanciones, cuestión ésta que se adelantó por vía de Real Decreto Legislativo