El GDRP en el sector de la salud y la asistencia social

Si vives o trabajas en la UE (incluido el Reino Unido), el RGPD te afectará a ti y a tu empleador y entrará en vigor el 25 de mayo de 2018.

Navegación rápida

¿Qué es el GDPR?

El RGPD es la nueva legislación de la UE que sustituirá a la Ley de Protección de Datos el 25 de mayo de 2018. GDPR son las siglas de «Reglamento general de protección de datos». Hay dos razones clave por las que se está introduciendo el GDPR: para que todos los estados miembros de la UE estén sujetos a una regulación común y para actualizar las regulaciones para que reflejen nuestra nueva era digital.

Los diferentes países de la UE han seguido anteriormente diferentes normas y reglamentos en lo que respecta al intercambio de datos y la privacidad, lo que puede resultar bastante confuso cuando los datos se comparten entre personas y empresas de diferentes países. El RGPD se aplicará en los 28 estados miembros de la UE, lo que significa que todos seguirán las mismas reglas.

En el Reino Unido, las empresas han seguido la Ley de Protección de Datos de 1998 para garantizar la seguridad de los datos de las personas. Sin embargo, la tecnología y el intercambio de datos se han desarrollado mucho desde 1998. Esto significa que la regulación actual puede no ser del todo adecuada para las necesidades de los consumidores y los tipos de tecnología que vemos hoy en día. El RGPD sustituirá a la Ley de Protección de Datos para proteger mejor los datos contra las infracciones y los ataques informáticos.

Ejemplos de datos personales

El RGPD se aplica a los «datos personales», es decir, cualquier información relacionada con una persona identificable que pueda identificarse directa o indirectamente, en particular mediante la referencia a un «identificador».

El GDPR se aplica tanto a los datos personales automatizados como a los sistemas de archivo manual en los que los datos personales son accesibles de acuerdo con criterios específicos. Esto podría incluir conjuntos de registros manuales ordenados cronológicamente que contengan datos personales.

Los ejemplos de datos personales incluyen, pero no se limitan a:

  • Nombre
  • Fecha de nacimiento
  • Preferencias personales
  • Datos de dirección o ubicación
  • Género/Sexualidad
  • Número NHS/CHI
  • Ocupación
  • Detalles de contacto

«Procesamiento de datos» es una frase que aparece con regularidad en todo el RGPD. El procesamiento de datos incluye, entre otros, la lectura, el almacenamiento y la introducción de tipos de datos.

Además, los datos personales seudonimizados (por ejemplo, codificados con clave) pueden entrar en el ámbito de aplicación del RGPD, dependiendo de lo difícil que sea atribuir el seudónimo a una persona en particular.

A quién afecta el GDPR

Básicamente, el GDPR afectará a todos en los 28 estados miembros de la UE, desde empresas grandes y pequeñas hasta clientes y consumidores. Esto incluye a TODOS los proveedores de atención que procesan datos de identificación personal.

Qué cambia el GDPR

  1. La magnitud de las multas y el riesgo de reclamaciones privadas de seguimiento en virtud del RGPD significan que el cumplimiento real es imprescindible. El RGPD no es un desafío legal y de cumplimiento; es mucho más amplio que eso y exige que las organizaciones transformen la forma en que recopilan, procesan, almacenan, comparten y borran de forma segura los datos personales. La participación de la alta dirección y la formación del equipo adecuado son la clave para prepararse con éxito para el RGPD.
  2. Las organizaciones deberán mapear la recopilación y el uso actuales de los datos, realizar un análisis de las brechas de su cumplimiento actual con respecto al GDPR y, a continuación, crear e implementar un plan de remediación, priorizando las áreas de alto riesgo.
  3. El GDPR requerirá que los proveedores y clientes revisen las cadenas de suministro y los contratos actuales. Es posible que sea necesario renegociar los contratos para garantizar el cumplimiento del RGPD y, inevitablemente, habrá que revisar las condiciones comerciales en muchos casos, dado el aumento de los costes de cumplimiento y los mayores riesgos de incumplimiento.
  4. Será necesario revisar los acuerdos de seguro y añadir la exposición a la protección cibernética y de datos a las pólizas existentes o adquirirlas como pólizas independientes siempre que sea posible. Los términos de las pólizas requerirán una revisión cuidadosa, ya que existen grandes variaciones entre las formulaciones y es posible que muchas pólizas no sean adecuadas para los tipos de pérdidas que pueden producirse en virtud del GDPR.

Derechos de las personas

Según el GDPR, las personas tendrán más derechos, incluidos los siguientes:

  1. El derecho a estar informado— debe informar a las personas por qué está procesando los datos y proporcionar un aviso de privacidad para informar a las personas y garantizar la transparencia sobre cómo utiliza los datos personales.
  2. El derecho de acceso— debe confirmar que sus datos se están procesando y dar acceso a su información personal.
  3. El derecho de rectificación— debe permitir que se modifique la información de las personas si la información es inexacta o está incompleta.
  4. El derecho al olvido— el derecho a borrar también se conoce como «derecho al olvido». Este derecho permite a una persona solicitar la eliminación o eliminación de datos personales cuando no haya una razón imperiosa para continuar con su procesamiento.

Responsabilidad

El GDPR exige que «el controlador sea responsable del cumplimiento de los principios y pueda demostrar».

Los datos que procese deben ser:

  1. Obtenidos de forma legal, justa y transparente
  2. Para un propósito específico y legítimo
  3. Adecuado, pertinente y necesario de acuerdo con el propósito declarado
  4. Procesados y guardados de forma segura de manera adecuada para el tipo de datos que se almacenan
  5. Preciso y actualizado, solo se conserva durante el tiempo que sea necesario

Responsabilidad

Tanto los controladores de datos como los procesadores de datos pueden ser considerados responsables, por lo que tendrá que:

  1. Siga medidas de gobernanza exhaustivas pero proporcionadas
  2. Utilice las herramientas de buenas prácticas descritas por la Oficina del Comisionado de Información (ICO), como las evaluaciones del impacto en la privacidad
  3. Minimice el riesgo de infracciones

GDPR contiene los siguientes principios y exige que los datos personales sean:

  1. Procesado de manera legal, justa y transparente en relación con las personasRecopilado para fines específicos, explícitos y legítimos y no se procesará más de una manera que sea incompatible con esos fines. El procesamiento posterior con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos no se considerará incompatible con los fines iniciales.
  2. Adecuado, pertinente y limitado a lo necesario en relación con los fines para los que se procesan.
  3. Precisos y, cuando sea necesario, actualizados. Deben tomarse todas las medidas razonables para garantizar que los datos personales que sean inexactos, teniendo en cuenta los fines para los que se procesan, se borren o rectifiquen sin demora.
  4. Conservado en una forma que permita la identificación de los interesados durante no más tiempo del necesario para los fines para los que se procesan los datos personales. Los datos personales pueden almacenarse durante períodos más largos en la medida en que los datos personales se procesen únicamente con fines de archivo de interés público, con fines de investigación científica o histórica o con fines estadísticos, siempre que se implementen las medidas técnicas y organizativas apropiadas exigidas por el GDPR para salvaguardar los derechos y libertades de las personas.
  5. Procesados de manera que se garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, la destrucción o el daño accidentales, utilizando las medidas técnicas u organizativas adecuadas

Cómo demostrar el cumplimiento

La nota de orientación de la Oficina del Comisionado de Información establece que usted debe:

  1. Implementar las medidas técnicas y organizativas apropiadas que aseguren y demuestren que usted cumple. Esto puede incluir políticas internas de protección de datos, como la formación del personal, las auditorías internas y las actividades de procesamiento, y las revisiones de las políticas internas de recursos humanos.
  2. Mantener la documentación relevante sobre las actividades de procesamiento.

Deberá asegurarse de que la información personal:

  1. Procesado de manera justa, legal y transparente
  2. Recopilado para fines específicos y limitados
  3. Adecuado, pertinente y limitado a lo necesario
  4. Preciso y actualizado
  5. Conservado en una forma que permita la identificación durante el tiempo que sea necesario y no más
  6. Procesado de manera que se garantice la seguridad adecuada

Hay sanciones importantes para quienes no cumplan, incluida una multa de hasta 20 millones de euros o el 4% del beneficio total de la empresa. Cualquier violación de datos también debe denunciarse a las autoridades pertinentes en un plazo de 72 horas y, si existe un riesgo para el interesado (es decir, las personas a las que se refieren los datos), también tendrás que informar a tus clientes.

Obtener la certificación GDPR

Puedes obtener la certificación GDPR, pero no es necesario. El cumplimiento del RGPD se autocertifica. El RGPD reconoce expresamente las «certificaciones externas» como mecanismos aceptables para demostrar el cumplimiento; sin embargo, no exige ninguna.

Dónde se almacenan los datos del RGPD

Como proveedor de atención, es probable que tenga datos almacenados en muchos medios diferentes.

Para cumplir con el RGPD, debe tener un motivo documentado para almacenar datos personales y una explicación de por qué se almacenan en cada formato. Debes tener en cuenta dónde se guardan tus datos:

Registros en papel
Debe asegurarse de que todos sus registros en papel estén documentados y contabilizados, incluidos, entre otros, los planes de atención, los registros diarios, los gráficos, la información del personal y los detalles de contacto de terceros.

Unidades de disco duro y memorias USB estándar o cifradas por software
Según el estándar GDPR o incluso las unidades USB cifradas por software no cumplirán con las normas.

Una unidad USB normal almacena todos los datos que almacenas en ella, sin eliminar nada hasta que sea absolutamente necesario. Los archivos no se borran realmente cuando presionas para borrar un archivo o vacías la papelera, ni siquiera cuando formateas rápidamente una unidad USB normal; en algunos casos, es posible que todos los datos sigan siendo recuperables. Esto deja en la unidad USB estándar no solo rastros de lo que se ha almacenado en ella, sino que, en muchos casos, copias completas. Una unidad USB cifrada por software tampoco es compatible, ya que el cifrado a menudo se puede eliminar.

Las memorias USB y los discos duros cifrados por hardware sí cumplen con los requisitos, ya que hay procesadores criptográficos integrados en los dispositivos.

Impresión desde un sistema informático
Si imprime registros o planes de atención desde una plataforma digital, tendrá dos copias. Ambas copias deberán estar documentadas y proporcionar pruebas sobre cómo se procesan.

La nube
Almacenar sus documentos en un proveedor de almacenamiento en la nube o en un sistema de cuidado digital como StoriiCare que utilice el almacenamiento en la nube es una buena manera de cumplir con el GDPR. Consulta con tu proveedor de servicios en la nube para ver su documentación sobre el cumplimiento del RGPD.

Preparándose para el GDPR

Recomendamos obtener asesoramiento legal independiente para respaldar sus preparativos, pero un buen punto de partida, si aún no lo ha hecho, sería:

  1. Haga preguntas a sus proveedores de software para obtener pruebas de cumplimiento del RGPD
  2. Documente qué datos tiene sobre quién y por qué
  3. Comprenda y defina por qué almacena estos datos
  4. Evaluaciones completas de impacto en la privacidad de los datos (DPIA): las plantillas se pueden encontrar en línea - Los clientes de StoriiCare recibirán DPIA
  5. Definir una política de escalación y notificación
  6. Defina su política de privacidad
  7. Defina su estrategia digital
  8. Designar a una persona responsable de la protección de datos (oficial de datos)
  9. Identifique los posibles riesgos de violación de datos y cómo mitigarlos
  10. Educar y capacitar al personal sobre la protección y el manejo de datos. Aumente el conocimiento general del RGPD en su organización. Si aún no has empezado, ¡empieza ahora!

Clientes de StoriiCare y GDPR

StoriiCare le ofrece una ruta más rápida y sencilla para cumplir con el GDPR.

StoriiCare cumple con todos los requisitos de procesamiento de datos del RGPD. Junto con empresas como Adobe, AirBnB y Netflix, utilizamos Amazon Web Services (AWS), el mayor proveedor de nube del planeta, para alojar los datos de nuestros clientes. Proporcionaremos a todos nuestros clientes nuestra documentación sobre el RGPD, que podrá utilizar junto con su propia documentación para demostrar el cumplimiento.

El uso de StoriiCare le brinda la tranquilidad y el conocimiento de que su información está segura y se puede acceder rápidamente cuando la necesita, pero solo pueden acceder a ella las personas autorizadas.

Como empresa, seguirás siendo responsable de garantizar tu propio cumplimiento, pero si tus datos son gestionados por un tercero, como StoriiCare, puedes pedirle al tercero que documente cómo gestiona el cumplimiento del RGPD.

Cómo obtener ayuda con el RGPD

  1. La ICO- Su responsable de protección de datos asignado
  2. Consultores independientes sobre el RGPD
  3. Asesoramiento legal
  4. Seguro de negocios- ¡Háganos una pregunta!- https://aws.amazon.com/compliance/gdpr-center/- https://ico.org.uk/media/1624219/preparing-for-the-gdpr-12-steps.pdf

Para consultas de prensa, póngase en contacto con
Póngase en contacto con nosotros para cualquier información
Póngase en contacto con nosotros
stori care image
Ver una demostración

Solicita tu demo personalizada

De inmediato

Solicita una demostración
Póngase en contacto con nosotros
Páginas principales
Empresa
Contactar
Oficinas
AWS Marketplace Logo - StoriiCarePRSB Partner - StoriiCareAWS Partner Healthcare Competency - StoriiCare
Derechos de autor © 2025 Storii Global, Inc. Todos los derechos reservados.