Estimado cliente:
Nos ponemos en contacto con ud. para comentarle algunas consideraciones importantes acerca de las renovaciones de las autorizaciones de funcionamiento de las clínicas por parte de las autoridades sanitarias en relación con la normativa actual de protección de datos (LOPDGDD y RGPD).
Hasta el pasado año, las solicitudes de documentación por parte de los inspectores tenían mayor uniformidad (la mayor parte de las veces no entraban a valorar cuestiones concretas sobre la normativa actual de Protección de Datos, sino, sencillamente, a solicitar informes de auditoría o certificados de adecuación a la normativa), pero en los últimos meses hemos observado un cambio de tendencia, con una mayor disparidad de criterios, desde inspecciones en las que se solicitaba copia de la inscripción de los ficheros en la Agencia Española de Protección de Datos, cosa que ya no existe desde hace algo más de 3 años, hasta la designación de Delegado de Protección de Datos.
En las últimas semanas venimos detectando la exigencia de nuevos requisitos más acordes con la normativa actual y uno de los puntos más importantes es precisamente la designación del DPD.
Lo cierto es que la actual legislación en materia de protección de datos tiene diversos aspectos sujetos a interpretación, debido entre otras cuestiones a la introducción del principio de responsabilidad proactiva, pero también por la heterogeneidad cultural, idiomática y normativa de los distintos países que la componen.
Así, en cuanto a la designación del Delegado de Protección de Datos (DPD), el RGPD dice que será obligatoria cuando “las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales”.
En el caso de la mayor parte de las clínicas y profesionales sanitarios de nuestro tejido empresarial no sería el caso, pues la gran mayoría no trata datos a gran escala, pero la legislación española (LOPDGDD), va más allá a la hora de especificar qué centros sanitarios estarían obligados y dice expresamente:
“Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.”
El problema puede surgir en ocasiones a la hora de definir cuando estamos ante un profesional de la salud que ejerce su actividad a título individual, pues, si nos acogemos a la definición que establece el estatuto del trabajo autónomo, aquellos que organicen su actividad como empresarios individuales aún teniendo personal contratado, podríamos interpretar que no tendrían la obligación de designar un DPD.
Desde nuestro punto de vista, cuando hablamos de ejercer la actividad a título individual, ya que nos referimos al ámbito de protección de datos, deberíamos tomar en mayor consideración la LOPDGDD y el RGPD, con lo cual, hablaríamos de tratar datos personales de salud por parte de un solo profesional sanitario; por el contrario, si se da el caso de que haya más profesionales sanitarios en el centro, sean contratados o colaboradores autónomos, que trabajen bajo la organización de dicho centro, debe designarse un DPD.
La no designación de un DPD cuando sea obligatorio, está contemplado por la LOPDGDD como una infracción grave, pero, de igual forma, está contemplado como atenuante en el supuesto de cualquier otra infracción, el hecho de designar un DPD de forma voluntaria por parte del Responsable del Tratamiento cuando no sea obligatorio, con lo cual, nuestro consejo es siempre designar un DPD aún no siendo un sujeto obligado y más en el caso de profesionales sanitarios, dado el tipo de información sensible que tratan.