¿Cómo cumplir la protección de datos en el sector sanitario?

La sanidad granadina asume los retos que supone la implementación, cada vez mayor, de la inteligencia artificial en el ámbito médico y sanitario. No en vano, la Junta de Andalucía ya ha confirmado la creación del Centro de Inteligencia Artificial de Granada, que estará ubicado precisamente en el Parque Tecnológico de la Salud (PTS), centro que ya ha acogido la Jornada Ágora Telefónica ‘Inteligencia Artificial (IA) en salud’, promovida por la Universidad de Granada y que contó con la participación de Telefónica.

No cabe duda que la inteligencia artificial ofrece numerosos beneficios operativos, pero no es menos cierto que su uso todavía genera cierta desconfianza debido a que resulta difícil saber hasta dónde alcanzan los riesgos. Entre las principales preocupaciones se encuentra el impacto que podría tener el uso de las inteligencias artificiales en el tratamiento de los datos personales, más aún en un sector donde se maneja información médica, que está catalogada como especialmente protegida en el Reglamento General de Protección de Datos (RGPD).

Antes el nuevo escenario que se presenta, hemos hablado con Grupo Atico34, una de las mejores empresas de protección de datos a nivel nacional, quienes nos han facilitado la información para la redacción de este contenido en el que repasamos los principales puntos a tener en cuenta en lo referente a la protección de datos en el sector sanitario.

Regulación en el uso de la inteligencia artificial

Cabe decir que está a punto de entrar en vigor la próxima Ley de Inteligencia Artificial, que viene a regular el uso que se realiza de esta tecnología, poniendo especial énfasis en la protección de los derechos y libertades de los individuos. Se trata de una ley que, a buen seguro, estará sometida a un gran número de actualizaciones y modificaciones, pero hay algunos puntos que conviene tratar.

En primer lugar, el proyecto de Ley deja claro que uno de sus grandes objetivos es aumentar la transparencia en el uso de sistemas o modelos de inteligencia artificial. Será necesario informar acerca de los modelos empleados, los contenidos con los que la inteligencia artificial ha sido entrenada, etcétera.

Uno de los grandes caballos de batalla en este sentido estará enfocado a combatir la recopilación de datos poco ética, el aumento de los sesgos, las ultrafalsificaciones y la desinformación o la protección frente a las amenazas para la ciberseguridad.

Asimismo, hospitales y centros de atención primaria están incluidos dentro de las entidades que operan infraestructuras críticas y de alto riesgo, por lo que deberán implementar las medidas técnicas y organizativas necesarias para asegurar la seguridad e integridad de la información médica.

Responsable del tratamiento en centros sanitarios

El responsable del tratamiento de datos personales en centros sanitarios será el centro público o privado encargado de brindar el servicio al paciente. El médico, como profesional, será responsable del tratamiento cuando ejerza de manera individual, por ejemplo en una consulta privada.

Designación de un Delegado de Protección de Datos

El artículo 34 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) señala a los centros sanitarios entre las entidades obligadas a contar con un Delegado de Protección de Datos o DPO.

Esta obligación alude al hecho de que los centros sanitarios manejan un elevado volumen de datos especialmente protegidos, como es el caso del historial clínico, por lo que tiene una serie de obligaciones extra marcadas por normativa.

Registro de actividades de tratamiento y obligación de informar

Es obligatorio que los centros sanitarios informen a sus pacientes acerca de sus actividades de tratamiento, lo cual incluye la identidad del responsable del tratamiento, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las medidas de seguridad adoptadas.

Confidencialidad de pacientes y empleados

Los centros sanitarios han de cumplir con el deber de secreto, es decir, se debe mantener la confidencialidad de la información médica antes, durante y después del tratamiento proporcionado al cliente. Los propios centros médicos deben implementar las medidas de seguridad necesarias para garantizar la seguridad de los datos.

Consentimiento

En este sentido, hay que diferenciar entre el consentimiento informado del paciente del que habla la Ley de Autonomía del Paciente, relativo al tratamiento que se le va a proporcionar, y el consentimiento RGPD.

En este sentido, el consentimiento expreso que marca el RGPD no será necesario siempre y cuando exista un consentimiento informado, esto es, el conocimiento y aceptación por parte del paciente del tratamiento que se le va a aplicar o de los procedimientos a realizar.

Plazo de conservación del historial clínico

El historial clínico deberá ser mantenido, con carácter general por un plazo de 5 años. No obstante, este plazo puede variar en función de la Comunidad Autónoma.

Esto significa que, cuando a un paciente le dan el alta, sus datos no pueden ser eliminados, pero sí deben ser bloqueados para que no puedan ser utilizados con ningún otro fin.

Derechos del paciente

Tanto los centros médicos como los profesionales sanitarios que ejerzan a título individual deben informar al paciente sobre las vías para ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Evaluación de impacto

Al tratar datos especialmente protegidos, los hospitales y centros de salud están obligados a realizar un análisis de riesgos y una evaluación de impacto, en la que se determinarán las medidas necesarias para garantizar la protección de los datos médicos frente a posibles amenazas.

Avisar de las brechas de seguridad

Es obligatorio avisar sobre cualquier brecha de actividad que se produzca que pueda poner en riesgo los datos personales del paciente. En concreto, será necesario avisar tanto a la Agencia Española de Protección de Datos (AEPD) como a los interesados en un plazo máximo de 72 horas desde que se produjo el incidente.

Textos legales web

Podría parecer un asunto menor pero, al igual que el resto de entidades que, de alguna manera, forman parte de la sociedad de la información, los centros sanitarios también deben cumplir con este requisito y mostrar su Política de Privacidad, Política de Cookies y Aviso legal en un lugar diferenciado y visible de su web.

En definitiva, son muchos retos los que tiene que enfrentar el sector sanitario, y todavía son mayores los que están por venir con el desarrollo imparable de la inteligencia artificial. Más que nunca se hace necesaria la ayuda de una consulta especializada en protección de datos como Grupo Atico34, a quien agradecemos la información para la elaboración de este contenido.