“El sanitario es un sector 24/7 que requiere seguridad y protección de datos de forma permanente”

“El sanitario es un sector 24/7 que requiere seguridad y protección de datos de forma permanente”

ASPE reúne a expertos del sector público y privado en la Jornada ‘Protección de Datos en instituciones de salud’

  • Luis Mendicuti, secretario general de ASPE, ha destacado que “los 160 inscritos en esta cita confirman el alto interés que la protección de datos tiene para el sector profesional”.  
  • Mar España Martí, directora de la Agencia Española de Protección de Datos, ha agradecido al sector sanitario su implicación y ha hecho hincapié en “la prevención y proactividad” necesarias para favorecer aspectos como la investigación y la protección del paciente.
  • Expertos de Grupo Vithas, Clínica Universidad de Navarra, Laboratorio Echevarne y Viamed concluyen que la figura del delegado de Protección de Datos es clave para minimizar el riesgo de incidencias de seguridad.
  • Alaro Avant señala las serias consecuencias de la gestión de datos en este sector y que “es necesario afinar mucho más” y Seidor que “constantemente estamos recibiendo ataques de seguridad en este ámbito”.

La jornada de ‘Protección de Datos en instituciones de salud’ organizada este jueves en Madrid por la Alianza de la Sanidad Privada Española (ASPE), la Fundación Global Salud y la consultora Alaro Avant ha reunido a más de un centenar de asistentes en modalidad presencial y telemática.

El secretario general de ASPE, Luis Mendicuti, ha agradecido la presencia de expertos del ámbito privado y público para analizar el estado actual de la gestión de la protección de datos en el sector sanitario ya que, “como confirma el éxito de inscripciones y asistencia a la jornada, la protección de datos tiene un alto interés para el sector profesional”.  

La directora de la Agencia Española de Protección de Datos (AEPD), Mar España, ha abierto el turno de intervenciones al abordar las ‘Claves para cumplir la normativa en instituciones de salud’. Según ha señalado, la AEPD ha elaborado más de 80 guías y herramientas para poder acompañar a todos los sectores, en especial al educativo y sanitario, que ha definido como “esenciales”. En este sentido ha asegurado que “a la Agencia no le interesa sancionar, sino que se cumpla el reglamento desde la prevención y siguiendo el principio de la proactividad”, de ahí que sea fundamental “saber escuchar, saber lo que pasa en un hospital, para que nos podáis hacer llegar cuáles son los problemas que estáis teniendo en la práctica y que esas guías sean realmente útiles”, ha añadido. 

Tras enumerar algunas de las principales casuísticas como los accesos ilícitos a la historia clínica de los pacientes y pese a que se pueda considerar que el Reglamento es “muy farragoso”, España se ha mostrado contundente al recordar que “tenemos que ser conscientes de lo que implica la difusión indebida de determinados datos personales”.  

A continuación, Mar España ha reafirmado el compromiso de la AEPD por ayudar en la investigación biomédica, poniendo de ejemplo el impulso de la Disposición Adicional 17ª que modifica la Ley General de Sanidad para facilitar el tratamiento de datos de historia clínica para fines de investigación sanitaria. Por último, ha agradecido a ASPE la organización de estas jornadas, así como las reuniones constantes con el sector sanitario. 

 

Brechas de seguridad, desde su detección hasta la resolución

Por su parte, Alberto Martín, director general de la consultora especializada en protección de datos Alaro Avant, ha recordado que desde que RGPD está vigente “nos hemos ocupado de cumplir la ley a grandes rasgos y ahora nos tenemos que centrar en afinar” ya que “los datos con los que jugamos en el ámbito sanitario pueden tener consecuencias muy serias”. En torno a ello ha realizado una completa exposición sobre la gestión de las ‘Brechas de seguridad y protección de datos’, qué consecuencias puede tener y cómo monitorizar una incidencia de este tipo mediante la notificación a la AEPD, a través de la figura obligada del DPD que toda empresa debe tener. Del mismo modo ha aconsejado no dudar en comunicar siempre cualquier brecha de seguridad a la autoridad correspondiente para su mejor gestión y resolución eficaz.

 

La importante labor del DPO en las entidades

Los delegados de protección de datos Laura Gordo (Grupo Vithas), Patricia Muleiro (Clínica Universidad de Navarra) y Sergi Juvé (Laboratorio Echevarne) han debatido sobre la importancia de la figura profesional del Delegado de Protección de Datos (DPD) en las instituciones en una mesa redonda moderada por Paula Vallejo, directora de Calidad, Seguridad y Experiencia del cliente Viamed.

Tal como ha explicado Sergi Juvé, la figura del delegado de protección de datos o DPD “se creó en 2016 y su labor es velar por el cumplimiento de la normativa de protección de datos dentro de las organizaciones”. Además de asesorar y supervisar, “el valor que puede aportar a la organización es guiar en todos los nuevos tratamientos de datos para que se haga de forma correcta y minimizar así el riesgo de sufrir una multa para la entidad”, ha añadido. 

En la misma línea, Laura Gordo ha apuntado que la salud es “un sector 24/7 por lo que la seguridad tiene que ser permanente. Se trata de velar por los derechos y libertades de los ciudadanos con datos muy delicados”, ha apuntado.

Al respecto del reto planteado por la moderadora de cómo convencer que el DPO es un aliado dentro de las organizaciones, Patricia Muleiro ha indicado que “es imprescindible incidir en la formación interna y lograr que el DPO sea una figura muy cercana en la entidad, en contacto con todos los departamentos para transmitirles que somos una ayuda y el notificar un problema también es una oportunidad de mejora”.

Formación básica en ciberseguridad

Para concluir, el ingeniero de telecomunicaciones Rubén Mora, CSO/CISO en Seidor, ha expuesto aspectos clave para mejorar la ciberseguridad en las organizaciones. Mora ha alertado de que “constantemente estamos recibiendo ataques que están poniendo en riesgo nuestros datos y en consecuencia nuestro negocio” y ha puesto el acento en la formación en conceptos básicos de ciberseguridad dentro de las entidades y en la importancia de estar al día en certificaciones en lo que respecta al alojamiento técnico de datos personales.