«El turismo sanitario y el reto de la privacidad», artículo de Luis Ariza, abogado de ECIJA, para The Law Clinic.
El próximo 28 de Enero se celebra el Día de la Protección de Datos en Europa, como se lleva haciendo desde el año 2006, pero por primera vez, esta efeméride tiene lugar bajo la vigencia del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, es decir, del famoso Reglamento General de Protección de Datos (RGPD).
Es verdad que todavía nos suena lejana la fecha del 25 de mayo de 2018, a partir de la cual será de obligado cumplimiento dicha norma, pero la realidad es que el tiempo vuela, y las nuevas obligaciones que trae consigo no se implantan en un par de meses, deprisa y corriendo, ya que suponen un cambio de enfoque normativo muy profundo: la responsabilidad proactiva (accountability), la privacidad desde el diseño (privacy by design), la privacidad por defecto (privacy by default)…traen consigo que los hospitales, las clínicas y los profesionales que prestan servicios en nuestro sector sanitario deban cambiar totalmente su mentalidad a la hora de asegurar la privacidad de los datos de sus pacientes, ya que lo que se exige es un cumplimiento proactivo, preventivo: por poner un ejemplo, si se va a adquirir un nuevo software de gestión de historia clínica, la dirección del centro, a través de su Delegado de Protección de Datos, deberá asegurarse antes de empezar a tratar datos clínicos mediante dicha aplicación, de que cumple con todos los requisitos exigidos por el Reglamento, de que únicamente se tratan aquellos datos que son necesarios, o de que se ha hecho una Evaluación de Impacto con carácter previo al inicio del citado tratamiento para gestionar los riesgos inherentes al mismo, ya que en caso de una inspección de la Agencia Española de Protección de Datos (AEPD), es el centro el que deberá probar con sus propios medios que cumple con los requisitos exigidos.
En este contexto, se celebró la semana pasada FITUR 2017, la gran feria del turismo en España, donde tuvo un papel muy protagonista el turismo sanitario, principalmente a través del clúster de Turismo Sanitario Español http://spaincares.com/es
Efectivamente, el turismo sanitario supone una gran oportunidad para nuestro sector sanitario, más si cabe en un país que es el tercero más visitado y el segundo con más ingresos por turismo en el mundo, pero también abre nuevos frentes a nuestros hospitales en cuanto al cumplimiento normativo, ya que si los pacientes que tratan son de otros estados miembros de la Unión Europea, habrá que tener en cuenta la Directiva 2011/24/UE del Parlamento europeo y del Consejo, que regula la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, y por la que, salvo en los supuestos exceptuados por la propia norma, los pacientes podrán acudir a un Estado Miembro distinto al suyo para recibir atención médica, y luego solicitar el reembolso de los gastos en su país: esto conlleva la comunicación de muchos datos sensibles entre centros y sistemas sanitarios de diferentes países, debiéndose tomar todas las medidas previstas en la normativa para proteger la privacidad de dicha información.
Pero, dando otra vuelta de tuerca, también serán más frecuentes los tratamientos asistenciales de pacientes provenientes de países no pertenecientes a la Unión Europea, que traerán consigo transferencias internacionales de datos desde España a terceros países que, en su mayor parte, no disponen de normas de protección de datos con un nivel de exigencia equiparable al RGPD.
Pongamos el caso de un paciente con alto poder adquisitivo proveniente de Rusia, que viene a España con su familia para realizarse una intervención para tratar su miopía: este “turista sanitario” puede pedir al centro sanitario que le remita a su país copia de su historia clínica, o puede tener un seguro sanitario contratado, lo cual implica que el centro sanitario ubicado en España deba transferir información sobre el tratamiento asistencial realizado a una entidad aseguradora ubicada en Rusia, para la facturación de los servicios prestados; los centros deberán tener muy claro los requisitos que tendrán que cumplir para realizar este tipo de comunicaciones de datos: una posible solución sería en este caso solicitar el consentimiento expreso al paciente para llevar a cabo la transferencia de esos datos, pero éste debería haber sido informado previamente por el centro de los posibles riesgos inherentes a la misma.
Por tanto, la globalidad del mundo en el que vivimos, y el previsible crecimiento del turismo sanitario en nuestro país, indudablemente supone una gran oportunidad para nuestro sector sanitario, pero esta nueva fuente de riqueza tiene que ir acompañada de la necesaria adecuación normativa por parte de nuestros centros sanitarios, que deberán ponerse manos a la obra cuanto antes para cumplir los requisitos previstos en el RGPD: la elevada cuantía de las sanciones previstas, y el grave daño reputacional consustancial a las mismas, así lo aconsejan.