¿Necesitas información de nuestros servicios? Déjanos tus datos y nos pondremos en contacto contigo

¿Cómo proteger nuestros datos de salud?

No hay duda de que la privacidad y la protección de nuestros datos personales es una cuestión de creciente importancia en los últimos tiempos. Esto se debe a los actuales modelos de comunicación y compartición de información, fundamentados en las nuevas tecnologías y la e-canalidad.

Pero… ¿qué son los datos personales? Los datos personales son cualquier información relativa a una persona física que la puede identificar unívocamente; es decir, que no es posible que esa información permita identificar a una persona diferente. Los datos personales son muy variados: desde los más comunes como el nombre y apellidos, el domicilio o la dirección de correo electrónico hasta la dirección IP o datos sobre nuestro estado de salud.

Desde Dedicae, estamos plenamente concienciados con la privacidad y, con motivo del Día Internacional de Protección de Datos Personales, que se celebrará el próximo 28 de enero, queremos dar visibilidad a esta cuestión y aportar una pincelada sobre nuestros derechos y obligaciones con respecto a dicha materia.

La legislación nos protege

Europa es líder en lo que respecta a la protección de datos personales gracias a la aplicación, desde el 25 de mayo de 2018, del Reglamento General de Protección de Datos Personales (RGPD). La aplicación de este Reglamento es obligatoria, principalmente pero no de manera exclusiva, para todos y cada uno de los Estados Miembros de la UE, donde España no es una excepción.

De hecho, España es uno de los países europeos en los que la protección de datos personales ha sido una cuestión de calado desde siempre con la existencia desde 1995 de una legislación específica en materia de protección de datos personales, actualmente derogada por la actual Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

En dichas legislaciones, los datos sobre nuestro estado de salud se consideran datos personales especialmente protegidos. Esto implica que las organizaciones, empresas o administraciones públicas que traten este tipo de datos de cualquier manera (los almacenen, modifiquen, eliminen, etc.) lo han de hacer con un grado máximo de seguridad.

Así, ¿qué obligaciones tienen las organizaciones, empresas o administraciones públicas cuando tratan nuestros datos personales?

  • Cualquier organización, empresa o administración pública que trate nuestros datos personales deberá:
    • Tratar dichos datos de manera lícita, leal y transparente.
    • Usar nuestros datos personales sólo para las finalidades sobre las que hayamos sido informados previamente.
    • Conservar los datos personales que sean estrictamente necesarios para sus actividades, no manteniendo información únicamente “por si acaso”.
    • Garantizar que los datos personales estén siempre actualizados.
    • Conservar los datos personales únicamente durante el tiempo preciso para cumplir con las finalidades para las que fueron recogidos. 
  • Las organizaciones, empresas o administraciones públicas que vayan a tratar nuestros datos personales habrán de informarnos sobre qué van a hacer con dicha información, especialmente, cuándo se habla de datos especialmente protegidos (como son los datos de salud). Algunos aspectos de los que hemos de ser informados son: para qué los van a usar, durante cuánto tiempo lo van a hacer, quién podrá acceder a dichos datos, si se van a compartir con otras empresas u organismos, etc.
  • En algunas ocasiones, para que las organizaciones, empresas o administraciones públicas puedan procesar nuestra información personal, han de solicitarnos nuestro consentimiento. Dicho consentimiento ha de ser:
  • Libre: no hemos de ser coaccionados para otorgarlo.
  • Inequívoco: hemos manifestado nuestro consentimiento con una clara acción afirmativa (firma de un documento, marcado de una casilla, etc.). Esto es una de las principales novedades del RGPD: desde su aplicación, no se admiten formas de consentimiento tácito o por omisión; es decir, asumir que sí cuando no se dice nada.
  • Específico e informado: debemos entender perfectamente qué información consentimos que utilicen, para qué finalidad, quién va a procesar nuestros datos y qué derechos podemos ejercer sobre este tratamiento de datos.
  • Respecto a estos derechos, es importante destacar que podemos ejercer ante la autoridad de control en materia de protección de datos (en España, la Agencia Española de Protección de Datos – AEPD), nuestros derechos de acceso, rectificación, oposición, supresión (“derecho al olvido”), limitación del tratamiento, portabilidad y no ser objeto de decisiones individualizadas. Estos derechos se caracterizan por lo siguiente:
    • Las organizaciones, empresas o administraciones públicas que traten nuestros datos, han de informarnos sobre cómo podemos ejercer estos derechos.
    • Su ejercicio es gratuito.
    • Deben ser respondidos en el plazo de un mes, pudiéndose prorrogar otros dos meses más, teniendo en cuenta la complejidad y número de solicitudes.
    • Podemos ejercitarlos directamente o por medio de nuestro representante legal. 
  • Todo tratamiento de datos personales se ha de realizar de manera segura, garantizando que las empresas, organizaciones o administraciones públicas aplican medidas organizativas y técnicas para tal fin. Algunas de estas medidas son las siguientes:
    • Evitar accesos no autorizados.
    • Realizar copias de seguridad.
    • Garantizar una correcta gestión de incidentes de seguridad.
    • Implementar herramientas contra ciber ataques (phishing, malware, ransomware, etc.).

Para los datos especialmente protegidos, como los de salud, además de estas medidas, existen otras adicionales como la aplicación de técnicas de seudonimización, anonimización o cifrado de datos.  

¿Qué podemos hacer nosotros para proteger nuestros datos personales? 

Algunos consejos:

  • Usar contraseñas robustas en todas nuestras aplicaciones intercalando mayúsculas, minúsculas, números y caracteres especiales. Tienen que ser fáciles de recordar para nosotros y difíciles de adivinar por otros.
  • Evitar usar la misma contraseña para distintas aplicaciones, cuentas, plataformas, etc.
  • Evitar divulgar o compartir nuestras claves e información personal.
  • Prestar especial atención a los emails que recibimos, verificando que los remitentes sean legítimos y el contenido es seguro.
  • Evitar usar equipos públicos o de terceros para acceder a las aplicaciones o sitios webs personales.
  • Revisar la política de privacidad de las organizaciones o empresas con las que compartimos información.
  • Organismos públicos como el Instituto Nacional de Ciberseguridad (INCIBE) o la Agencia Española de Protección de Datos (AEPD) son una excelente fuente de información sobre nuestros derechos y deberes para la protección de nuestra información.

Empresas, organizaciones, administraciones públicas y ciudadanos somos fundamentales y hemos de trabajar juntos para garantizar un correcto y seguro uso de nuestros datos personales.

Irene Sánchez Vaquero
Especialista en Seguridad de la Información y Privacidad y Protección de Datos

Referencias:

Contexto de protección de datos personales:

¿Qué son los datos personales? (europa.eu)

Guía para el Ciudadano sobre protección de datos personales publicada por la AEPD:

Guía para el Ciudadano (aepd.es)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *