La Sociedad Europea de Radiología (ESR) explicó algunas cuestiones sobre el Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE), que se aplica desde el pasado 25 de mayo de 2018, en el sector de la salud.
En este sentido, ha resaltado que los radiólogos y departamentos de radiología deben estar preparados para cumplir con las normas para la protección de datos de imagen.
El texto define excepciones específicas para los datos relativos a la sanidad para proteger los derechos de los pacientes y la confidencialidad de los datos personales, imágenes digitales para fines de investigación y para la salud pública.
Las obligaciones específicas que los proveedores de servicios de salud (incluidos radiólogos y departamentos de radiología) deben tener en cuenta para el Reglamento, incluyen tanto medidas para el acceso a los datos de los pacientes como normas para el procesamiento de dichos datos.
Además, las autoridades sanitarias han definido sanciones (multas) que serán aplicadas a organizaciones del sector público y privado cuando incumplan las normas establecidas en el GDPR.
El GDPR fue adoptado por el Parlamento Europeo en abril del año 2016 y se aplica en toda la UE desde el pasado 25 de mayo de 2018 con el objetivo de aplicar normas comunes para la protección de datos de los ciudadanos en todos los Estados miembros.
Entre los elementos clave del Reglamento figuran:
- Necesidad de un consentimiento claro y afirmativo por parte del interesado
- Destrucción de datos en el caso de no ser necesarios para el propósito inicial o por la retirada del consentimiento del interesado
- Derecho a rectificación de datos personales
- Derecho a transferir datos personales a otro proveedor de servicios
- Derecho del sujeto a ser informado cuando sus datos hayan sido hackeados
La protección de datos personales es de especial importancia en el sector de la salud y el requisito básico de confidencialidad de la información diagnóstica y terapéutica requiere también una atención especial en el entorno digital.
La violación de datos personales significaría una brecha en la seguridad, que podría conllevar destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales ya almacenados o procesados. En este caso, hay que comunicar la infracción de datos personales a la persona afectada y notificarse en un plazo de 72 horas a la autoridad de supervisión.
Las instituciones más grandes, definidas en la legislación, deben designar a un oficial de protección de datos.
Todos los hospitales y organizaciones sanitarias deben estar preparados para cumplir con los requisitos del nuevo GDPR. Entre ellos la destrucción confidencial de información en el sector sanitario.