Unión de Mutuas, en colaboración con el Colegio de Graduados Sociales de Barcelona, ha celebrado una jornada sobre el nuevo Reglamento General de Protección de Datos, que entró en vigor en mayo de 2016, y que será de obligado cumplimento en toda la Unión Europea, dos años después, el 25 de mayo de 2018.
El encuentro, al que ha asistido un grupo numeroso de profesionales del derecho y directores de asesorías jurídicas, ha tenido por objeto facilitar la comprensión del nuevo marco normativo, y acercar el conocimiento de los aspectos legales fundamentales que se derivan del nuevo reglamento europeo, que tiene por objetivo dar más control a los ciudadanos sobre su información privada en el actual entorno digital y globalizado.
Durante su intervención, la responsable de control y seguridad de Sistemas de Información de Unión de Mutuas, Pilar Jiménez, ha manifestado que el objetivo de estos dos años de periodo transitorio es facilitar la aplicación práctica y directa del nuevo Reglamento en todas las empresas y organismos públicos de los 28 Estados miembros de la UE, ya que “el nuevo Reglamento supone un cambio en el modelo de cumplimento de la normativa y exige un compromiso más activo por parte de las organizaciones y entidades, que deben de ponerse a trabajar para adaptar sus protocolos y estructuras a la nueva regulación”.
Aunque el Reglamento aún no está en vigor, las empresas deben ir preparando e implantando algunas medidas previstas, siempre que “éstas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España”.
Pilar Jiménez ha destacado que el nuevo Reglamento es una normativa fundamental, de carácter transversal, que afecta a todos los ámbitos y que va a cambiar la forma de actuar de todos los Estados miembros. “Una normativa única para toda la Unión Europea, que prevalecerá sobre la normativa española, y que fortalecerá los derechos de los ciudadanos y reforzará la confianza y la seguridad jurídica”.
Como principales novedades del Reglamento Europeo, Jiménez ha hecho referencia al nuevo tratamiento del consentimiento del titular de los datos, que “da fin al consentimiento tácito, lo que obliga a las empresas a revisar la forma en la que lo obtienen y lo registran puesto que el consentimiento deberá de ser siempre explícito, claro y afirmativo”.
También ha enumerado las medidas de responsabilidad proactiva que el Reglamento prevé, y las empresas deben de adoptar, como es la protección de datos desde el diseño, la protección de datos por defecto, el mantenimiento de un registro de tratamientos, el nombramiento de un delegado de protección de datos, la realización de evaluaciones de impacto sobre la protección de datos, y la promoción de códigos de conducta y esquemas de certificación.
Además la Responsable de control y seguridad de Sistemas de Información de Unión de Mutuas ha destacado que, la mutua, como entidad que gestiona datos de salud, siempre ha velado por el cumplimento de la ley de Protección de datos, LOPD, y que la voluntad de la mutua siempre ha sido la de dar un paso más en cuanto a asegurar la información de la que la entidad es depositaria, ya que “la realidad digital y el entorno tecnológico en el que nos movemos ha traído un potencial muy grande para atentar contra la seguridad de los usuarios y de su información”.
Jiménez ha expuesto la experiencia de Unión de Mutuas en el camino recorrido hasta conseguir, el pasado mes de junio, tras exhaustivas auditorías, la certificación de su sistema de gestión de la seguridad de la información de acuerdo con la norma UNE-ISO 27001. Un sistema que “nos permite gestionar la seguridad de la información y la protección de datos, de manera eficaz, garantizando la confidencialidad, la integridad, la disponibilidad y la legalidad”.
En este sentido, ha hecho referencia al Plan de tratamiento del riesgo con el que cuenta la mutua, integrado por una serie de acciones para alcanzar un riesgo mínimo, conocido y aceptado por la organización, junto con el establecimiento de unos controles e indicadores de la buena gestión de la seguridad de la información.
Asimismo, la mutua ha creado la Comisión de Seguridad, con el objetivo de salvaguardar el cumplimiento de la protección de datos y cuyo cometido es revisar y aprobar las políticas de seguridad, la revisión del análisis de riesgos, el control de los cambios y la revisión y monitorización de los incidentes de seguridad, entre otros.
Para la Responsable de seguridad de Sistemas de Información, la consecución del certificado del sistema de seguridad de la información, manifiesta “la vocación por la excelencia y la mejora continua de nuestros procesos, garantizando el mejor servicio, la máxima calidad y seguridad de todos los sistemas de información que dan soporte a la entidad mediante la implantación de controles que identifican, previenen eliminan o reducen los riesgos y amenazas”.
Por su parte el abogado y técnico en Sistemas de Gestión de Unión de Mutas, Pedro Agut comentó los aspectos prácticos de diversos informes y resoluciones de la Agencia Estatal de Protección de Datos en cuestiones relacionadas con el sector Mutual, tales como el derecho de cancelación de historia clínica por paciente, el acceso de personal administrativo a datos de salud de pacientes, y la cesión de datos de salud entre Mutuas, Seguridad Social y centros concertados.