- La inteligencia artificial plantea nuevos retos para la protección de datos médicos.
- La Ley de Inteligencia Artificial busca aumentar la transparencia y proteger los derechos individuales.
- Centros sanitarios deben implementar medidas técnicas y organizativas para proteger la información médica.
- Obligaciones clave incluyen designar un DPO, registrar actividades de tratamiento y asegurar la confidencialidad.
La sanidad asume los retos que supone la implementación creciente de la inteligencia artificial (IA) en el ámbito médico y sanitario. La Junta de Andalucía ha confirmado la creación del Centro de Inteligencia Artificial de Granada en el Parque Tecnológico de la Salud (PTS), que ya ha acogido la Jornada Ágora Telefónica ‘Inteligencia Artificial (IA) en salud’, promovida por la Universidad de Granada con la participación de Telefónica.
La inteligencia artificial ofrece numerosos beneficios operativos, pero su uso genera desconfianza debido a los riesgos asociados. Una preocupación principal es el impacto en el tratamiento de datos personales, especialmente los datos médicos, que están especialmente protegidos bajo el Reglamento General de Protección de Datos (RGPD).
Regulación en el uso de la inteligencia artificial
La próxima Ley de Inteligencia Artificial, que está a punto de entrar en vigor, regulará el uso de esta tecnología, con énfasis en la protección de derechos y libertades individuales. La ley busca aumentar la transparencia en el uso de IA, informando sobre los modelos empleados y el contenido con el que han sido entrenados.
Principales puntos de la ley incluyen:
- Combatir la recopilación de datos poco ética.
- Aumentar la transparencia y reducir los sesgos.
- Proteger contra amenazas a la ciberseguridad.
- Implementar medidas técnicas y organizativas en hospitales y centros de atención primaria.
Responsable del tratamiento en centros sanitarios
El responsable del tratamiento de datos personales en centros sanitarios es el propio centro, ya sea público o privado. En consultas privadas, el médico será el responsable del tratamiento.
Designación de un Delegado de Protección de Datos
El artículo 34 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) obliga a los centros sanitarios a contar con un Delegado de Protección de Datos (DPO), debido al manejo de datos especialmente protegidos como el historial clínico.
Registro de actividades de tratamiento y obligación de informar
Los centros sanitarios deben informar a los pacientes sobre sus actividades de tratamiento, incluyendo:
- Identidad del responsable del tratamiento.
- Finalidad del tratamiento.
- Cesión de datos a terceros.
- Plazo de conservación de datos.
- Medidas de seguridad adoptadas.
Confidencialidad de pacientes y empleados
Los centros sanitarios deben cumplir con el deber de secreto, manteniendo la confidencialidad de la información médica antes, durante y después del tratamiento. Es crucial implementar medidas de seguridad para garantizar la protección de los datos.
Consentimiento
El consentimiento expreso del RGPD no es necesario si existe un consentimiento informado, es decir, si el paciente conoce y acepta el tratamiento que se le va a proporcionar.
Plazo de conservación del historial clínico
El historial clínico debe mantenerse, por lo general, durante un plazo de 5 años, aunque puede variar según la Comunidad Autónoma. Los datos deben ser bloqueados tras el alta del paciente para que no sean utilizados con otros fines.
Derechos del paciente
Los centros médicos y los profesionales sanitarios deben informar a los pacientes sobre cómo ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
Evaluación de impacto
Dado que se tratan datos especialmente protegidos, los hospitales y centros de salud deben realizar un análisis de riesgos y una evaluación de impacto para determinar las medidas necesarias para proteger los datos médicos.
Avisar de las brechas de seguridad
Es obligatorio notificar cualquier brecha de seguridad que pueda comprometer los datos personales del paciente a la Agencia Española de Protección de Datos (AEPD) y a los interesados en un plazo máximo de 72 horas desde que se produjo el incidente.
Textos legales web
Los centros sanitarios deben cumplir con el requisito de mostrar su Política de Privacidad, Política de Cookies y Aviso Legal en un lugar visible y diferenciado de su web.
Grandes retos:
El sector sanitario enfrenta grandes retos con el desarrollo imparable de la inteligencia artificial. Más que nunca, es necesaria la ayuda de consultoras especializadas en protección de datos como Audidat para garantizar el cumplimiento normativo y la protección de los datos médicos.