Con la entrada en vigor de la nueva Ley de Protección de Datos y Garantía de los Derechos Digitales el pasado 7 de diciembre, se han producido una serie de matizaciones a considerar respecto al RGPD 679/2016. Entre éstas consideraciones, cabe destacar el establecimiento de los supuestos concretos en los que será preciso hacer una designación de DPO (Data Protection Officer) o DPD (Delegado de Protección de Datos), los cuales vienen establecidos en el artículo 34 de la menciona Ley 3/2018 de 6 de diciembre.
Uno de los sectores que se ha visto afectado por este desarrollo normativo ha sido el sector sanitario, ya que el artículo anteriormente mencionado establece la obligación de designar un DPO en: «l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.»
Así pues, podemos entender que en el momento en que exista un centro o consulta donde converja más de un profesional sanitario sería preciso designar un DPO, independientemente de la forma jurídica que el mismo adopte (sociedad civil, mercantil, profesional independiente, etc.). No obstante, lo primero que debemos determinar es qué se entiende por un centro sanitario y cuál se encuentra obligado a mantener las historias clínicas de sus pacientes.
Para dar respuesta la primera cuestión, debemos acudir al Real Decreto 1277/2003, de 10 de octubre, por el que se establecen las bases generales sobre autorización de centros, servicios y establecimientos sanitarios, donde se determina exactamente qué son cada una de estas entidades:
Pero, ¿Quién tiene obligación de conservar la historia clínica?
A este respecto, la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, es muy clara y en su artículo 17 establece que «Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad….«
Por tanto, cuando sea un Centro Sanitario donde haya más de un profesional sanitario, bien sea de carácter general (medicina general o de familia y enfermerías) o de cualquier especialidad médica (clínicas dentales, centros de reconocimientos médicos, etc.), donde exista oferta de las unidades asistenciales determinadas en el Anexo I de la normativa, y donde sea preciso conservar la historia clínica de los pacientes, se deberá nombrar un Delegado de Protección de datos que asesore y apoye cualquier tratamiento de datos que se lleve a cabo por los mismos.
No obstante, tanto desde la UE como desde la AEPD, y en el marco del principio de responsabilidad proactiva, se insta a que los responsables y encargados del tratamiento documenten el análisis interno realizado para determinar si debe nombrarse o no un DPD, a fin de poder demostrar que se han tenido en cuenta debidamente los factores pertinentes como son qué datos sensibles tratan (datos de salud), el número de tratamientos, el alcance geográfico, etc…; teniendo en cuenta que no existirá tal obligación como dice la LOPDGDD para aquellos profesionales de la salud que «ejerzan su actividad a título individual», o en palabras del Comité Europeo de Protección de Datos (CEPD) el tratamiento de datos personales de pacientes llevado a cabo por «un solo médico»:
