¿Tienen que designar un Delegado de Protección de Datos los hospitales? ¿Y en otros centros sanitarios? ¿Qué funciones tiene un DPO en sanidad? En este artículo respondemos a estas y otras preguntas sobre el Delegado de Protección de Datos en hospitales y otros centros sanitarios.
En este artículo hablamos de:
- ¿Es obligatorio designar un DPO en un centro sanitario?
- ¿Quién puede ser Delegado de Protección de Datos en un hospital?
- Requisitos de un DPO en sanidad
- ¿Quién nombra al Delegado de Protección de Datos en un hospital?
- Funciones del Delegado de Protección de Datos en el sector de la sanidad
- Sanciones por no tener Delegado de Protección de Datos para el hospital
¿Es obligatorio designar un DPO en un centro sanitario?
El Delegado de Protección de Datos es obligatorio en los siguientes centros sanitarios (sean de carácter privado o público):
- Hospitales
- Centros de salud
- Consultas médicas
- Centros de atención primaria
- Consultorios de atención primaria
- Centros sanitarios polivalentes
- Centros especializados
- Clínicas dentales
- Centros de reproducción asistida
- Centros de interrupción voluntaria del embarazo
- Centros de cirugía mayor ambulatoria
- Centros de diálisis
- Centros de diagnóstico
- Centros móviles de asistencia sanitaria
- Centros de transfusión
- Bancos de tejidos
- Centros de reconocimiento
- Centros de salud mental
- Servicios sanitarios integrados en una organización no sanitaria (por ejemplo, una prisión, una residencia de mayores, una empresa, etc.).
La obligación de designar un Delegado de Protección de Datos en estos centros sanitarios está recogida en el artículo 37 del RGPD, ya que para realizar y desarrollar su actividad principal tratan datos personales de categorías especiales (relativos a la salud), lo hacen a gran escala y de manera sistemática.
Así mismo, el artículo 34 de la LOPDGDD establece que los centros sanitarios con obligación de guardar historias clínicas deben designar un DPO, como es el caso de los centros citados.
Además, el Delegado de Protección de Datos en las Administraciones Públicas también es una de las condiciones que hace obligatorio su nombramiento, por lo que cualquier hospital o centro de salud de titularidad pública debe tener un DPO.
¿Quién puede ser Delegado de Protección de Datos en un hospital?
Puede ser DPO en un hospital:
- Un empleado interno del mismo, siempre que tenga conocimientos y experiencia en materia de protección de datos y Derecho.
- Un profesional o consultoría externa especializados en protección de datos.
- Un empleado del organismo público del que dependa el hospital.
Para evitar posibles conflictos de intereses, el DPO de un hospital no debería ostentar ningún cargo o función que entrañe tratamiento de datos personales, por ello, se recomienda nombrar, en caso de un DPO interno, a un empleado que no tenga otras responsabilidades de las que puedan derivarse esos conflictos de intereses u otras presiones por parte de otros responsables del hospital, o contratar un DPO externo para el hospital.
Requisitos de un DPO en sanidad
Un DPO en sanidad debe reunir los siguientes requisitos para poder desempeñar las funciones y obligaciones en protección de datos que establece la normativa para este profesional, ya sea un Delegado de Protección de Datos interno o externo:
- Conocimientos especializados en Derecho (preferiblemente, con formación universitaria).
- Conocimientos y experiencia en protección de datos.
- Conocimientos sobre nuevas tecnologías y TIC.
- Conocimientos técnico-científicos sobre salud y/o sector sanitario, ya que debe conocer y asesorar sobre los tratamientos de datos personales que se realizan en el desarrollo de esta actividad y los riesgos inherentes a los mismos.
- Independencia y autonomía.
- Capacidad de análisis.
- Ética profesional (ya que la confidencialidad es fundamental en esta actividad).
- Estar dotado con los recursos necesarios para desempeñar sus funciones.
¿Quién nombra al Delegado de Protección de Datos en un hospital?
Vistos los requisitos del Delegado de Protección de Datos, veamos quién debe nombrar al DPO en los hospitales.
Este nombramiento dependerá de la propia estructura organizativa del organismo de salud público al que pertenezca el hospital o del centro privado.
En un hospital público, el nombramiento del Delegado de Protección de Datos puede realizarlo la consejería de sanidad de la Comunidad Autónoma correspondiente o el órgano de dirección o administración del hospital. Así mismo, el DPO de los hospitales públicos puede ser el DPO de la consejería de sanidad, ya que este puede designarse para varios responsables del tratamiento (hospitales).
En los hospitales privados, el nombramiento del Delegado de Protección de Datos puede hacerlo el órgano de dirección o el órgano de administración del centro. Como ocurre en los hospitales públicos, un único DPO podrá ser designado para varios centros.
Así mismo, cabe recordar que, como ocurre en otros sectores, puede nombrarse a una única persona como Delegado de Protección de Datos del hospital, o crear un departamento de protección de datos, es decir, tener un organismo colegiado como DPO.
Con independencia de a quién o cómo se nombre al DPO del hospital, una vez designado, se deberá comunicar su nombramiento a la AEPD (Agencia Española de Protección de Datos) y hacer públicos sus datos de contacto.
Funciones del Delegado de Protección de Datos en el sector de la sanidad
Las funciones del Delegado de Protección de Datos en sanidad son las mismas que para cualquier otro DPO, siempre atendiendo a las necesidades y particularidades propias de los tratamientos de datos personales relacionados con la salud y con los datos relativos a la salud.
Así, las principales funciones de un DPO en sanidad son:
- Informar y asesorar al responsable del tratamiento sobre las obligaciones en materia de protección de datos en hospital y otros centros sanitarios.
- Comprobar el cumplimiento de la normativa de protección de datos, que incluye la asignación de responsabilidades, la concienciación y formación del personal.
- Asesorar en la realización de evaluaciones de impacto en protección de datos.
- Revisar las políticas de adecuación a la normativa del hospital o centro sanitario.
- Cooperar con la AEPD.
- Servir como intermediario entre la AEPD y el responsable del tratamiento.
- Atender las consultas y reclamaciones de protección de datos y derechos de los interesados.
Sanciones por no tener Delegado de Protección de Datos para el hospital
Como hemos dicho al comienzo de este artículo, el Delegado de Protección de Datos en hospitales es obligatorio, con independencia de si se trata de hospitales públicos o privados. Esto quiere decir que si el centro hospitalario no tiene DPO, estaría cometiendo una infracción grave de acuerdo a los artículos 83.4 del RGPD y 73 de la LOPDGDD.
Las sanciones que establece la normativa por no tener Delegado de Protección de Datos cuando este es obligatorio son de 40.001 a 300.000 euros en el caso de hospitales privados. Los hospitales públicos, al pertenecer a un organismo público, serán sancionados con apercibimiento por parte de la AEPD.
En definitiva, la figura del Delegado de Protección de Datos en hospitales y otros centros sanitarios es obligatoria según la normativa y, por tanto, si tu hospital no cuenta con este perfil profesional, deberías subsanarlo de inmediato y nombrar a un DPO lo antes posible, atendiendo a los requisitos que hemos visto en este artículo y asegurando que el DPO cuenta con la independencia, autonomía y recursos necesarios para desempeñar sus funciones o, más recomendable en cuanto a independencia y ausencia de conflicto de intereses, contratar los servicios de un Delegado de Protección de Datos externo.