¿Tienen que designar los hospitales un Delegado de Protección de Datos? ¿Qué requisitos debe reunir el DPO de un hospital? ¿Qué funciones tiene? En este artículo responderemos a estas y otras preguntas sobre el Delegado de Protección de Datos en hospitales.
En este artículo hablamos de:
- ¿Necesitan los hospitales Delegado de Protección de Datos?
- ¿Quién puede ser Delegado de Protección de Datos en un hospital?
- ¿Quién nombra al Delegado de Protección de Datos en un hospital?
- Funciones del Delegado de Protección de Datos en hospitales
- Sanciones por no tener Delegado de Protección de Datos en hospitales
¿Necesitan los hospitales Delegado de Protección de Datos?
Sí, ya sean públicos o privados, los hospitales tienen que designar un Delegado de Protección de Datos obligatorio, puesto que estos centros sanitarios, para realizar y desarrollar su actividad principal, tratan datos personales no solo genéricos, sino también de categorías especiales (relativos a la salud), lo hacen a gran escala y de manera sistemática (es decir, cumplen los requisitos del artículo 37 del RGPD para el nombramiento de un Delegado de Protección de Datos).
Así mismo, el artículo 34 de la LOPDGDD establece que los centros sanitarios con obligación de guardar historias clínicas deben designar un DPO, como es el caso de cualquier centro hospitalario.
Además, el Delegado de Protección de Datos en las Administraciones Públicas también es una de las condiciones que hace obligatorio su nombramiento, por lo que cualquier hospital de titularidad pública debe tener un DPO.
¿Quién puede ser Delegado de Protección de Datos en un hospital?
Puede ser Delegado de Protección de Datos en un hospital, un empleado interno del mismo, siempre que tenga conocimientos y experiencia en materia de protección de datos y Derecho, un profesional o consultoría externa especializados en protección de datos o un empleado del organismo público del que dependa el hospital.
Para evitar posibles conflictos de intereses, el DPO de un hospital no debería ostentar ningún cargo o función que entrañe tratamiento de datos personales, por ello, se recomienda nombrar, en caso de un DPO interno, a un empleado que no tenga otras responsabilidades de las que puedan derivarse esos conflictos de intereses u otras presiones por parte de otros responsables del hospital, o contratar un DPO externo para el hospital.
Requisitos de un DPO para hospitales
El Delegado de Protección de Datos interno o externo de un hospital deberá reunir los siguientes requisitos para poder desempeñar las funciones y obligaciones en protección de datos que establece la normativa para este profesional:
- Conocimientos especializados en Derecho (preferiblemente, con formación universitaria).
- Conocimientos y experiencia en protección de datos.
- Conocimientos sobre nuevas tecnologías y TIC.
- Conocimientos técnico-científicos sobre salud y/o sector sanitario, ya que debe conocer y asesorar sobre los tratamientos de datos personales que se realizan en el desarrollo de esta actividad y los riesgos inherentes a los mismos.
- Independencia y autonomía.
- Capacidad de análisis.
- Ética profesional (ya que la confidencialidad es fundamental en esta actividad).
- Estar dotado con los recursos necesarios para desempeñar sus funciones.
¿Quién nombra al Delegado de Protección de Datos en un hospital?
Vistos los requisitos del Delegado de Protección de Datos, veamos quién debe nombrar al DPO en los hospitales.
Este nombramiento dependerá de la propia estructura organizativa del organismo de salud público al que pertenezca el hospital o del centro privado.
En un hospital público, el nombramiento del Delegado de Protección de Datos puede realizarlo la consejería de sanidad de la Comunidad Autónoma correspondiente o el órgano de dirección o administración del hospital. Así mismo, el DPO de los hospitales públicos puede ser el DPO de la consejería de sanidad, ya que este puede designarse para varios responsables del tratamiento (hospitales).
En los hospitales privados, el nombramiento del Delegado de Protección de Datos puede hacerlo el órgano de dirección o el órgano de administración del centro. Como ocurre en los hospitales públicos, un único DPO podrá ser designado para varios centros.
Así mismo, cabe recordar que, como ocurre en otros sectores, puede nombrarse a una única persona como Delegado de Protección de Datos del hospital, o crear un departamento de protección de datos, es decir, tener un organismo colegiado como DPO.
Con independencia de a quién o cómo se nombre el Delegado de Protección de Datos del hospital, una vez designado, se deberá comunicar su nombramiento a la AEPD (Agencia Española de Protección de Datos) y hacer públicos sus datos de contacto.
Funciones del Delegado de Protección de Datos en hospitales
Las funciones del Delegado de Protección de Datos en hospitales son las mismas que para cualquier otro DPO, siempre atendiendo a las necesidades y particularidades propias de los tratamientos de datos personales relacionados con la salud y con los datos relativos a la salud.
Así, las principales funciones del Delegado de Protección de Datos en hospitales son:
- Informar y asesorar al responsable del tratamiento sobre las obligaciones en materia de protección de datos en un hospital.
- Comprobar el cumplimiento de la normativa de protección de datos, que incluye la asignación de responsabilidades, la concienciación y formación del personal.
- Asesorar en la realización de evaluaciones de impacto en protección de datos.
- Revisar las políticas de adecuación a la normativa del hospital.
- Cooperar con la AEPD.
- Servir como intermediario entre la AEPD y el responsable del tratamiento.
- Atender las consultas y reclamaciones de protección de datos y derechos de los interesados.
Sanciones por no tener Delegado de Protección de Datos en hospitales
Como hemos dicho al comienzo de este artículo, el Delegado de Protección de Datos en hospitales es obligatorio, con independencia de si se trata de hospitales públicos o privados. Esto quiere decir que si el centro hospitalario no tiene DPO, estaría cometiendo una infracción grave de acuerdo a los artículos 83.4 del RGPD y 73 de la LOPDGDD.
Las sanciones que establece la normativa por no tener Delegado de Protección de Datos cuando este es obligatorio son de 40.001 a 300.000 euros en el caso de hospitales privados. Los hospitales públicos, al pertenecer a un organismo público, serán sancionados con apercibimiento por parte de la AEPD.
En definitiva, la figura del Delegado de Protección de Datos en hospitales es obligatoria según la normativa y, por tanto, si tu hospital no cuenta con este perfil profesional, deberías subsanarlo de inmediato y nombrar a un DPO lo antes posible, atendiendo a los requisitos que hemos visto en este artículo y asegurando que el DPO cuenta con la independencia, autonomía y recursos necesarios para desempeñar sus funciones o, más recomendable en cuanto a independencia y ausencia de conflicto de intereses, contratar los servicios de un Delegado de Protección de Datos externo.