En la RED se han escrito artículos de todo tipo sobre la figura del Delegado de Protección de Datos (DPD), artículos muy variados en extensión y contenido, y no sé si queda algo más que decir al respecto, pero me parece muy didáctico hacernos unas series de preguntas sobre esta figura y su repercusión dentro del ámbito sanitario, ya que es el más sensible, y que tiene esa capacidad para recoger datos que están situados en el nivel más alto de protección. El entramado sanitario es complejo, porque su organización interna es muy diversa. Hemos de tener en cuenta que la Administración Sanitaria se divide en grandes bloques, lo que se conoce como órganos centrales, que vienen a ser las Direcciones Generales, la Secretaria General Técnica y otros órganos, y los órganos territoriales, que básicamente podemos dividirlo en dos grandes bloques, lo que conocemos por Atención Primaria (Centros de Salud) y Atención Especializada (Hospitales Públicos). Someramente expuestas la organización que caracteriza a casi todas las Administraciones Autonómicas, es necesario articular como se va a llevar a cabo la implantación de la figura del DPD. Sera suficiente con nombrar uno para toda una Consejería o se deberán de nombrar varios que a su vez sean coordinados a través de los órganos centrales, la cuestión es que aún no tengo conocimiento de cómo se va a proceder a su implantación. Además, dentro de este ámbito, se manejan dos grandes bloques de datos, los más importantes son los sanitarios/clínicos, pero no hay que olvidar que se manejan otros datos también de suma importancia que son los datos de los trabajadores del sistema que lleva aparejado una protección elevada.
La Agencia Española de Protección de Datos, en su página web (https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php), recoge una sección del Reglamento (UE) 2016/679 del Parlamento Europeo y de Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), en donde existe y abundante documentación sobre la futura aplicación del RGPD.
Pero lo que quiero destacar aquí, es como se debería de aplicar dicho RGPD, en concreto, en la Administración Sanitaria y, sobre todo en los grandes hospitales públicos que existen a lo largo y ancho de nuestro país. Ante todo, me hago las siguientes preguntas a los efectos de dar respuestas rápidas y, que sirvan de orientación para los Gerentes o Directores Gerentes de esos grandes hospitales o Gerencias de Atención Primaria.
La primera pregunta que me hago es, ¿Cuándo se tiene que implementar esta figura en las Administraciones Públicas y, en concreto, en los Hospitales Públicos o Gerencias de Atención Primaria?
La respuesta es sencilla, el Reglamento (UE) 2016/679 del Parlamento Europeo y de Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD) entró en vigor el 25 de mayo de 2016 y será de obligatorio cumplimiento el 25 de mayo de 2018. Por lo tanto, tenemos una fecha cierta.
La siguiente pregunta es, ¿Cómo se va a llevar a cabo la inclusión de la figura del Delegado de Protección de Datos (DPD), en la Administraciones Públicas y, en concreto en los Hospitales Públicos o Gerencias de Atención Primaria?
El RGPD, establece que el responsable y el encargado del tratamiento, en este último caso suelen ser los Directores-Gerentes o Gerentes, designarán un DPD, teniendo en cuenta que la actividad principal de los Hospitales Públicos o Gerencias de Atención Primaria (HP/AP), es el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 RGPD.
(Artículo 9.1. Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.)
Por lo tanto, serán los “Gerentes” que asumiendo bien sus propias competencias o por competencias delegadas de las diferentes Consejerías de Sanidad, establecerán los mecanismos para el nombramiento de esos DPD.
A día de hoy (s.e.u.o.), no conozco que exista en ninguna plantilla orgánica de ninguna Administración Sanitaria Autonómica la figura de DPD, o que exista un plan de recursos humanos que tenga contemplada dicha figura, siendo necesario, por lo evidente, que los tiempos se acortan y, es necesario introducir ciertos cambios para bien certificar aquellos funcionarios o estatutarios que van a dedicar a ser DPD, o bien como permite el RGPD la contratación externa de esa figura.
Y tampoco se sabe cómo se va a integrar dentro del esquema orgánico, de la Administración Sanitaria, pero se puede deducir del RGPD que el DPD dentro de los HP/AP, estarán relacionados con los órganos de dirección con carácter horizontal, destacando que tienen autonomía en su labor profesional.
La siguiente pregunta, que me formulo, es ¿Quién puede ser DPD?
El RGPD, en su artículo 37.5, lo deja claro; “El delegado de protección de datos será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones indicadas en el artículo 39”. Y en el número 6 del mencionado artículo se establece que “El delegado de protección de datos podrá formar parte de la plantilla del responsable o del encargado del tratamiento o desempeñar sus funciones en el marco de un contrato de servicios.”
Por lo tanto, el DPD, deberá de ser licenciado en Derecho con conocimientos en la materia, pero no solo a nivel nacional sino también de la Unión Europea, ya que, desde la UE, es previsible que emanen directrices y se ha de tener en cuenta la jurisprudencia que se dicte del Tribunal de Justicia de la Unión Europea (TJUE).
Pero para ser DPD, además es requisito necesario contar con la certificación de profesionalidad, que ya ha publicado la AEPD en su página web, teniendo por objeto certificar bajo condiciones de acreditación la competencia de los DPD, que se deberá de emitir por entidades de certificación habilitadas a tal fin. (Para mayor información consultar la página web de la AEPD). Una vez acreditado el DPD, el responsable o el encargado del tratamiento publicarán los datos de contacto del delegado de protección de datos y los comunicarán a la autoridad de control (articulo 37.7).
Siguiendo con la pregunta anterior, la que viene a continuación es ¿Qué funciones va a desarrollar un DPD?
Las funciones están bien definidas en el artículo 39 y, son en todo caso funciones mínimas, que eso no impide que se puedan desarrollar otras dentro de su ámbito de competencia:
a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;
b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;
c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;
d) cooperar con la autoridad de control;
e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.
La siguiente pregunta, es ¿Dónde se encuentra ubicado dentro de la Administración Sanitaria?,
o como establece el RGPD, ¿Cuál es su posición dentro del organigrama de la Administración Publica y, en concreto, dentro de la Sanitaria? Dicho posicionamiento se recoge de forma expresas en el artículo 38, del cual destacamos lo siguiente;
1. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos participe de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales.
(Garantizar implica que la Administración debe de poner todos los medios necesarios para que el DPD, pueda cumplir con las funciones que se recoge en el RGPD y, cualquier otra que este directamente implicada en su objeto de actuación, como por ejemplo los datos de los recursos humanos).
2. El responsable y el encargado del tratamiento respaldarán al delegado de protección de datos en el desempeño de las funciones mencionadas en el artículo 39, facilitando los recursos necesarios para el desempeño de dichas funciones y el acceso a los datos personales y a las operaciones de tratamiento, y para el mantenimiento de sus conocimientos especializados.
(La Administración debe de poner a disposición del DPD, los medios necesarios tanto materiales como humanos para poder desarrollar las funciones encomendadas en su ámbito de actuación ya sea atención primaria o en los hospitales públicos).
3. El responsable y el encargado del tratamiento garantizarán que el delegado de protección de datos no reciba ninguna instrucción en lo que respecta al desempeño de dichas funciones. No será destituido ni sancionado por el responsable o el encargado por desempeñar sus funciones. El delegado de protección de datos rendirá cuentas directamente al más alto nivel jerárquico del responsable o encargado.
(El DPD tendrá autonomía en su actuación y rendirá cuentas al máximo nivel jerárquico con el cual debe de tener acceso directo y cooperar con él, a los efectos de tomar cuantas medidas se consideren necesarias para desarrollar sus funciones y, en su caso tomar medidas para prevenir y corregir disfuncionalidades o brechas de seguridad, implicando a otros responsables como los delegados de seguridad o servicio de seguridad de la información).
4. Los interesados podrán ponerse en contacto con el delegado de protección de datos por lo que respecta a todas las cuestiones relativas al tratamiento de sus datos personales y al ejercicio de sus derechos al amparo del presente Reglamento.
(Los usuarios de los servicios sanitarios tendrán acceso directo al DPD, que deberá la Administración poner en conocimiento su ubicación así como las formas de acceder a él de forma directa).
5. El delegado de protección de datos estará obligado a mantener el secreto o la confidencialidad en lo que respecta al desempeño de sus funciones, de conformidad con el Derecho de la Unión o de los Estados miembros.
(Una cuestión evidente es la confidencialidad en los datos tratados por el DPD y, el tratamiento que se lleva a cabo de ellos).
6. El delegado de protección de datos podrá desempeñar otras funciones y cometidos. El responsable o encargado del tratamiento garantizará que dichas funciones y cometidos no den lugar a conflicto de intereses.
(El DPD, podrá siempre que sus funciones no se vean comprometidas por la información que maneje realizar otras actividades o funciones dentro de la Administración Sanitaria, un ejemplo que se me ocurre es dar cursos de formación).
Indudablemente habrá que estar a que lo que se legisle por el Estado, estando en anteproyecto la nueva Ley Orgánica de Protección de Datos, así como su futuro desarrollo reglamentario, que dará lugar a muchas novedades y adecuación del actual sistema para acomodarlo al RGPD.
No hay comentarios.