G-BM07SPXBH5

LEGAL VERITAS ®

EMPRESA DE PROTECCION DE DATOS

Cumplimiento del RGPD en IA: guía de tratamiento de datos en clínicas de salud

Cumplimiento del RGPD en IA: guía de tratamiento de datos en clínicas de salud

General ·

Utilizar la IA en salud y cumplir el RGPD requiere una guía para clínicas elaborada por expertos en privacidad. A continuación, repasamos los elementos claves de las obligaciones exigidas a todo centro sanitario:

  • Los riesgos y beneficios de utilizar la IA en el ámbito de la salud.
  • Los tipos de datos que contiene una historia clínica.
  • Por qué es necesario contar con un DPD en un centro sanitario.
  • La obligatoriedad de realizar una evaluación de impacto.
Contenidos ocultar
1 ¿Cuáles son los beneficios de utilizar la IA en salud?
1.1 ¿Qué retos surgen al implementar la IA en salud?
1.2 ¿Qué debo hacer para implementar la IA en salud y cumplir el RGPD con una guía para clínicas?
2 ¿Qué tipo de datos se tratan en la historia clínica de un paciente?
2.1 ¿A qué categoría de datos pertenecen los datos de salud?
2.2 ¿Qué señala la Ley de Autonomía del Paciente sobre los datos de salud?
2.3 Medidas para introducir la IA en salud y cumplir el RGPD con una guía para clínicas
3 ¿Es obligatorio contar con un DPD en los centros sanitarios?
3.1 ¿En qué casos debe tener un DPD un centro sanitario?
3.2 ¿Qué responsabilidades tiene un DPD en el uso de la IA en salud?
3.3 ¿Qué se debe hacer cuando se nombra a un DPD?
4 ¿Por qué es necesario realizar una Evaluación de Impacto en centros de salud?
4.1 ¿Cuáles son los beneficios de una evaluación de impacto en centros sanitarios?
5 ¿Necesita asesoramiento en protección de datos?
6 Preguntas Frecuentes (FAQ)
7 Fuentes y recursos

Autora:

Laura Castilla Jiménez, abogada

¿Cuáles son los beneficios de utilizar la IA en salud?

La IA ha aparecido como una herramienta que ha llegado para quedarse en un gran número de ámbitos. Por eso, su uso en la medicina se está convirtiendo en una realidad más.

De acuerdo con la Comisión Europea, implementar la IA en los hospitales puede tener un impacto muy positivo en reducción de costes, especialmente en lo relativo a:

  • El diagnóstico de pacientes.
  • La reducción de tareas administrativas.
  • Prevención sanitaria.
  • Planes personalizados de tratamiento del paciente.

¿Qué retos surgen al implementar la IA en salud?

Su implantación, sin embargo, también enfrenta un gran número de retos. No solo es necesario establecer garantías de calidad y seguridad, sino también generar confianza en la sociedad. Para ello, es fundamental hacerlo de la mano de expertos en privacidad como Legal Veritas.

¿Qué debo hacer para implementar la IA en salud y cumplir el RGPD con una guía para clínicas?

Una implementación adecuada en términos de privacidad es fundamental. Es por ello por lo que el uso de la IA en salud y cumplir el RGPD exige una guía para clínicas adecuada al tipo de centro. Los puntos esenciales que deben seguirse de manera general son:

  • Tratar adecuadamente la información de la historia clínica de acuerdo con su categoría de datos.
  • Contar con un DPD.
  • Realizar una evaluación de impacto por expertos en privacidad. ¡Contacta con nosotros!

Respuesta corta: Define la finalidad clínica, usa base jurídica adecuada (Art. 6 RGPD) y la excepción de datos de salud (Art. 9.2.h), nombra DPD, haz una EIPD (Art. 35), firma contratos de encargado (Art. 28), aplica medidas del Art. 32, prepara protocolo de brechas (Arts. 33–34) y revisa transferencias (DPF/SCC).

¿Qué tipo de datos se tratan en la historia clínica de un paciente?

La historia clínica de un paciente contiene una amplia cantidad de información. Algunos de los datos que se pueden conocer a través de ella son:

  • Los datos identificativos del paciente: nombre, apellidos, nacionalidad, DNI o sexo, entre otros.
  • Las exploraciones físicas y complementarias que solicite el personal sanitario.
  • Los informes de urgencia.
  • Los tratamientos, recetas, medicamentos, alergias y cuidados indicados al paciente.
  • Las intervenciones quirúrgicas, informes de anestesia y patologías.
  • La evaluación general del paciente.

¿A qué categoría de datos pertenecen los datos de salud?

El Reglamento General de Protección de Datos (RGPD) incluye este tipo de información en su artículo 9, referido a las categorías especiales de datos o datos sensibles. Estos pueden, por su naturaleza, causar un impacto relevante en una persona o causar algún tipo de discriminación.

En la regulación de los datos sensibles, además del RGPD, en España también se aplica la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDGDD) y la Ley de Autonomía del Paciente.

¿Qué señala la Ley de Autonomía del Paciente sobre los datos de salud?

La Ley de Autonomía del Paciente, en su artículo 7 recoge el derecho a la intimidad, íntimamente relacionado con el derecho fundamental a la protección de datos.

De este modo, de acuerdo con el artículo 7 de la Ley de Autonomía del Paciente, hay dos elementos claves generales que debemos tener en cuenta con respecto a la privacidad:

  • Respetar el carácter confidencial de los datos relativos a la salud y a que nadie acceda a ellos sin previa autorización amparada por la Ley.
  • Adoptar medidas adecuadas para garantizar este derecho, así como las normas y protocolos que garanticen un acceso legal a la historia clínica.

Medidas para introducir la IA en salud y cumplir el RGPD con una guía para clínicas

Respetar la confidencialidad de los datos en clínicas sanitarias y establecer normas y protocolos para asegurar dicho derecho supone la adecuación de medidas efectivas.

Por ejemplo, en muchos centros sanitarios se está llamando a los pacientes a través de un código aleatorio visible en la pantalla de la sala de espera. Dicho código únicamente lo conoce el paciente, de modo que se evita que el resto de personas presentes puedan identificarlo.

Con la generación aleatoria de números y letras, se evita indicar el nombre y apellido del paciente y la especialidad a la que acude. De este modo, se impide que se asocie la identificación personal del paciente (nombre y apellidos o DNI) con una posible dolencia, lo cual, sería un dato sensible.

¿Es obligatorio contar con un DPD en los centros sanitarios?

Para implementar la IA en salud y cumplir con el RGPD, en nuestra guía para clínicas, destacamos la figura del Delegado de Protección de Datos (DPD) como esencial.

Un DPD es un experto independiente que supervisa que en una determinada organización se cumpla la normativa sobre protección de datos. Además, tiene otras funciones como:

  • Asesorar al centro de salud en materia de privacidad.
  • Realizar evaluaciones de impacto con el objetivo de implementar medidas de seguridad.
  • Valorar las solicitudes de los interesados y gestionar sus derechos de protección de datos.
  • Servir de intermediario entre la organización, los interesados y la Agencia Española de Protección de Datos.

¿En qué casos debe tener un DPD un centro sanitario?

Dado que los centros sanitarios tratan datos sensibles, están obligados a tener un DPD, de acuerdo con el artículo 37 del RGPD. Si bien, del mismo se deduce una importante excepción, la de profesionales que realicen su actividad a título individual.

No obstante, el hecho de que no se requiera un DPD no implica que no se deban tomar medidas de privacidad, puesto que, como hemos mencionado, se estarán tratando datos sensibles. Implementar medidas de privacidad requiere acudir a manos expertas como Legal Veritas.

¿Qué responsabilidades tiene un DPD en el uso de la IA en salud?

Por otro lado, con la entrada en vigor del Reglamento de IA europeo, se esperan nuevas responsabilidades de la figura del DPD. En el ámbito de la salud podemos destacar las siguientes:

  • Evaluación de riesgos de la utilización de los sistemas de IA en los centros clínicos.
  • Toma de medidas contra la desviación del uso de los datos de salud de acuerdo con la política de privacidad.
  • Garantías de seguridad del uso de los datos de los pacientes por los sistemas de IA conforme a la normativa vigente de protección de datos.
  • Realización de evaluaciones de impacto tanto en el ámbito de protección de datos en salud, como en el del uso de los mismos por parte de los sistemas de IA.

¿Qué se debe hacer cuando se nombra a un DPD?

Una vez que se nombra un DPD en un centro clínico se deben llevar a cabo varias acciones fundamentales:

  • Elegir a un profesional con conocimientos muy elevados en la materia, ética profesional y capacidad de análisis.
  • Hacer públicos sus datos de contacto.
  • Comunicarle el nombramiento a la AEPD.

¿Por qué es necesario realizar una Evaluación de Impacto en centros de salud?

Debido al carácter de la información que se trata y a los riesgos del uso de la IA, las evaluaciones de impacto son fundamentales. Así lo recoge el RGPD, que regula su obligatoriedad si el tratamiento de los datos supone un alto riesgo para los derechos de los interesados.

¿Cuáles son los beneficios de una evaluación de impacto en centros sanitarios?

En la implementación de la IA en salud cumpliendo con el RGPD, nuestra guía para clínicas destaca las siguientes razones por las que una evaluación de impacto, además de ser obligatoria, puede ser beneficiosa:

  • Reducción de los riesgos del uso de la IA en salud y demostración por parte del centro sanitario de haber tomado las medidas necesarias para la protección de la información clínica de sus pacientes.
  • Identificación de manera preventiva de los riesgos asociados al uso de la IA en el centro sanitario, así como los riesgos del tratamiento de dicha información. Por ejemplo, los accesos no autorizados o la elaboración de perfiles automatizados.
  • Se reducirán los riesgos de que se produzcan brechas de seguridad y se tomarán medidas para mitigarlas previamente.
  • El centro sanitario generará una mayor confianza en los pacientes, contribuyendo a la reputación de la organización.
  • Cumplimiento de la normativa de protección de datos y elusión de posibles sanciones.

¿Necesita asesoramiento en protección de datos?

¿Estás pensando en implementar la IA en tu centro de salud? En Legal Veritas respondemos todas tus dudas y te guiamos hacia una correcta implantación.

Somos expertos consultores legales y proveedores de servicios en materia de protección de datos. Por eso, estamos altamente capacitados para guiarte en el proceso y realizar evaluaciones de impacto de acuerdo con las necesidades de tu negocio.

La información contenida en este artículo está redactara con un propósito informativo, sin constituir un asesoramiento personalizado sobre privacidad. Cada caso debe evaluarse de manera individual, por lo que si necesitas orientación específica para tu centro de salud, te recomendamos que contactes con nosotros.

Contacta con nosotros

Preguntas Frecuentes (FAQ)

¿Qué son los datos sensibles en el RGPD?

Los datos sensibles son categorías especiales de datos que se recogen en el RGPD y que, debido a que pueden tener un impacto en los derechos fundamentales y libertades de las personas, requieren un mayor grado de protección.

¿Qué es una evaluación de impacto?

Las Evaluaciones de Impacto son procesos en los que se evalúan los riesgos del tratamiento de datos personales. De este modo, su realización es una garantía de seguridad y protección de los datos sensibles en los centros clínicos.

¿Qué funciones tiene un DPD?

Un DPD, de acuerdo con el artículo 39 del RGPD, debe informar y asesorar sobre las obligaciones del RGPD al responsable o encargado del tratamiento, así como a los empleados que traten datos personales. También, supervisa el cumplimiento de la normativa de protección de datos, asesora acerca de las evaluaciones de impacto y coopera con la autoridad de control (AEPD).

¿Es seguro utilizar la IA en protección de datos?

El uso de la IA conlleva riesgos importantes para la privacidad de tus datos, por lo que si vas a utilizar herramientas de este tipo, se deben implementar medidas de seguridad y de control suficientes.

Fuentes y recursos

Entradas Relacionadas

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *