1830 - ¿Qué medidas proactivas deben aplicarse para el tratamiento de datos personales sanitarios?

Las medidas proactivas (esto es, medidas que deben iniciarse por el simple hecho de tratar datos personales) que deben aplicarse en el ámbito sanitario con las siguientes:

• Mantener un registro de actividades de tratamiento.
• Designar un DPD (Delegado de Protección de Datos) por parte del responsable de tratamiento.

De acuerdo con lo establecido en el apartado primero del artículo 31 de la LOPDGDD, los responsables y encargados del tratamiento o, en su caso, sus representantes deberán mantener el registro de actividades de tratamiento referido en el artículo 30 del RGPD, salvo que sea de aplicación la excepción establecida en su apartado 5, es decir:

«Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10».

Por otro lado, cuando el responsable o el encargado del tratamiento hubieran designado un DPD deberán comunicarle cualquier adición, modificación o exclusión en el contenido del registro.

A TENER EN CUENTA. Los sujetos enumerados en el apartado primero del artículo 77 de la LOPDGDD harán público un inventario de sus actividades de tratamiento accesible por medios electrónicos en el que constará la información dispuesta en el artículo 30 del RGPD y su base legal (artículo 31.2 de la LOPDGDD).

CUESTIONES

1. ¿Qué sujetos relaciona el apartado primero del artículo 77 de la LOPDGDD?

El art. 77 de la LOPDGDD hace referencia a los siguientes sujetos:

- Los órganos constitucionales o con relevancia constitucional y las instituciones de las CCAA análogas a los mismos.

- Los órganos jurisdiccionales.

- La AGE, las Administraciones de las CCAA y las entidades que integran la Administración local.

- Los organismos públicos y entidades de derecho público vinculadas o dependientes de las AAPP.

- Las autoridades administrativas independientes.

- El Banco de España.

- Las corporaciones de derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.

- Las fundaciones del sector público.

- Las universidades públicas.

- Los consorcios.

- Los grupos parlamentarios de las Cortes Generales y las asambleas legislativas autonómicas, así como los grupos políticos de las corporaciones locales.

2. ¿Qué información deberá contener el RAT?

Cada responsable y, en su caso, su representante llevarán un RAT realizado bajo su responsabilidad, este deberá reunir la siguiente información (art. 30.1 del RGPD):

- El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del DPD.

- Los fines del tratamiento.

- Una descripción de las categorías de interesados y de las categorías de datos personales.

- Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales (incluidos los destinatarios en terceros países u organizaciones internacionales).

- De haber, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49, apartado 1, párrafo segundo, del RGPD, la documentación de garantías adecuadas.

- Plazos establecidos para la supresión de las diferentes categorías de datos (cuando sea posible).

- Una descripción general de las medidas técnicas y organizativas de seguridad del apartado primero del artículo 32 del RGPD (cuando sea posible).

Asimismo, cada encargado, y el representante del encargado (en su caso), llevará un registro de todas las categorías de actividades de tratamiento realizadas por cuenta de un responsable que comprenda (art. 30.2 del RGPD):

- El nombre y los datos de contacto del encargado/s y de cada responsable por cuenta del cual actúe el encargado, y, en su caso, del representante del responsable o del encargado, y del DPD.

- Las categorías de tratamientos realizados por cuenta de cada responsable.

- Las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias del párrafo segundo del apartado primero del artículo 49 del RGPD, la documentación de garantías adecuadas (en su caso).

- Una descripción general de las medidas técnicas y organizativas de seguridad indicadas en el apartado primero del artículo 30 del RGPD (cuando sea posible).

Por último, los anteriores registros constarán por escrito, inclusive en formato electrónico. 

3. ¿En qué casos se deberá designar un delegado de protección de datos?

Los responsables y encargados del tratamiento deberán designar un DPD en los casos establecidos en el apartado primero del artículo 37 del RGPD y, en todo caso, entre otras entidades, cuando se trate de centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

No obstante, se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual [artículo 34.1. l) de la LOPDGDD].