Hace poco, al presentar un informe de recomendación de medidas de organizativas y técnicas en calidad de Delegado de Protección de Datos (DPO) a una Clínica privada, tuve que enfrentarme a la frase: «a ver si vamos a ser más Papistas que el Papa». No supe bien que responder, pero aproveché para reflexionar sobre el Papismo en el cumplimiento del RGPD.
Si a eso agregamos la pregunta que sigue: Si la Agencia Tributaria, el Cabildo, el Ayuntamiento, la Seguridad social, no lo cumplen ¿por qué lo tengo que cumplir yo? A esto yo solamente puedo responder: Eso díselo a la Agencia Española de Protección e datos en tus alegaciones cuando inicien tu procedimiento sancionador, a ver qué pasa…
La normativa de Protección de Datos establece que se deberán implantar medidas de seguridad para proteger la confidencialidad de acuerdo con el riesgo de las actividades de tratamiento de datos que se llevan a cabo. El enfoque de riesgos resulta clave cuando se tratan datos de salud de pacientes por la sensibilidad que entraña esta información.
Cuando hablamos de riesgo, me refiero fundamentalmente a la probabilidad de que se produzca un daño y al impacto que podría causar este daño en la privacidad de las personas cuyos datos tratamos. Pero es innegable que también existe un riesgo para las organizaciones que actúan como Responsables del Tratamiento (clínicas, hospitales, o empresas de cualquier sector) por las elevadas sanciones que pueden ser impuestas por incumplimientos en esta materia, que por citar una cifra, pueden llegar a los 20 millones de euros. Ello sin hablar del riesgo reputacional, que suele costarle la confianza de sus clientes o pacientes de manera irreversible.
Para recomendar las medidas yo estudio el sector, la naturaleza y volumen de los datos tratados, las diferentes actividades de tratamiento realizadas, la sensibilidad de la información, el daño que podría causar una brecha, y mucho otros factores.
Todo esto lo tengo en cuenta cuando recomiendo las medidas que considero adecuadas para mitigar los riesgos asociados a la confidencialidad, integridad y disponibilidad de la información. También tengo en cuenta, hay que decirlo, la probabilidad de que la empresa sea denunciada y el impacto de una sanción de este calibre podría suponer.
Se trata de recomendaciones que elevan el nivel de cumplimiento, que en muchos casos son bien acogidas, pero en otros, generan cierto rechazo, en especial cuando suponen el empleo de recurso económicos, de tiempo, de personal y de cambio de proceso internos.
Los DPO somos asesores que trabajamos con autonomía en nuestros informes y reportamos a la alta dirección, pero dichos informes no son vinculantes, por así decirlo, es la organización quien decide qué, cuándo y cómo implantará nuestras recomendaciones. La organización puede negarse a acoger las recomendaciones del DPO, aunque deberá razonarlo por escrito, como también puede negarse a cumplir la ley, aunque pagará la sanción por los incumplimientos que procedan.
Nuestra responsabilidad como DPO termina cuando entregamos este informe detectando las amenazas y proponiendo las medidas para mitigar los riesgos identificados. Nosotros NO vamos a estar en la clínica solicitando los consentimientos, ni en el quirófano informado a pacientes sobre la captación de imágenes o vídeos, ni en las salas de consulta recordando que no puede llamarse a los pacientes por su nombre.
El Responsable puede aplicar todo lo que recomendamos, o puede aplicar la mitad, pero mientras más elevado sea el grado de cumplimiento de nuestras recomendaciones, menores serán los riesgos. En consecuencia, cada Responsable llegará hasta donde sus recursos y su cultura de cumplimiento le permita, pero sus empleados y pacientes agradecerán estas medidas de respeto a su privacidad y también lo agradecerá su bolsillo. No obstante, no quepa duda de que el adecuado cumplimiento de la protección de datos tiene una importante recompensa que va más allá de evitar una sanción: la confianza.
Aquellos Responsables del sector sanidad, que sin necesidad de ser más Papistas que el Papa, busquen generar confianza en sus clientes, pacientes y empleados, y deseen ahorrarse sanciones, deberían contar con DPOs que cumplan los requisitos de experiencia y cualificación profesional y que en sus informes busquen cómo bordear la legalidad para contentar a la dirección, sino en como cumplir la norma de la forma más sencilla y segura.
Un buen DPO, aunque muchos no lo entiendan así, es una especie de seguro de responsabilidad que permite a los responsables conciliar el sueño.
