Confidencialidad: responsable de la protección de los datos personales

El RGPD (Reglamento general de protección de datos) define las normas relativas al tratamiento y a la libre circulación de los datos de carácter personal. Este reglamento protege los derechos y libertades fundamentales de las personas físicas. Su razón de ser es proteger a los ciudadanos europeos contra el uso no autorizado de sus datos personales.

El GDPR protege los datos personales de un individuo (sujeto de datos), es decir, cualquier información sobre un individuo que pueda identificarse, directa o indirectamente, a partir de estos datos. Los datos seudónimos pueden considerarse datos personales si se pueden utilizar para identificar a un interesado. Los datos personales incluyen, entre otros, nombres, direcciones de correo electrónico, información de ubicación, origen étnico, género, datos biométricos, creencias religiosas, opiniones políticas y datos de salud. Los datos de salud son datos personales relacionados con la salud física o mental de una persona y dan indicaciones sobre su estado de salud o que permiten deducir información sobre su estado de salud. Los datos de salud se clasifican como «datos confidenciales» y, por lo tanto, están sujetos a disposiciones particularmente estrictas en el RGPD.

El RGPD usa términos específicos para identificar diferentes actividades y responsabilidades sobre los datos. «Procesamiento de datos» significa cualquier acción automatizada o manual realizada en relación con los datos (por ejemplo, recopilación, registro, clasificación, eliminación). El «responsable del tratamiento» es la persona jurídica que decide sobre los motivos y procedimientos para el tratamiento de los datos personales, mientras que el «encargado del tratamiento» es la organización encargada del tratamiento de los datos personales en nombre del responsable del tratamiento y bajo su supervisión. Dependiendo de la naturaleza del procesamiento de datos en cuestión, ResMed puede ser el responsable y / o el encargado del tratamiento.

Como cualquier otra persona u organización que procesa datos, ResMed está obligada en virtud del RGPD a adherirse a siete principios de protección y responsabilidad de los datos personales: 

• Licitud, lealtad y transparencia: el tratamiento debe ser lícito, justo y transparente con respecto al interesado. 
• Limitación de los fines: los datos deben procesarse de acuerdo con los fines legítimos especificados explícitamente al interesado en el momento de su recopilación. 
• Minimización de datos: solo se deben recopilar y procesar los datos absolutamente necesarios para los fines especificados. 
• Exactitud: los datos personales deben ser precisos y estar actualizados. 
• Limitación de retención: los datos que permitan la identificación personal solo deben conservarse durante el tiempo necesario para los fines especificados. 
• Integridad y confidencialidad: el tratamiento debe realizarse de forma que garantice la seguridad, integridad y confidencialidad adecuadas. 
• Responsabilidad: el responsable del tratamiento puede demostrar el cumplimiento de todos los principios del RGPD. 

Los responsables del tratamiento deben determinar las razones y los métodos para recopilar y procesar los datos y decidir el período de retención y el momento de su eliminación. Los responsables del tratamiento deben demostrar activamente el cumplimiento total de todos los principios de protección de datos del RGPD y, en el caso de una llamada a un tercero, también son responsables de la conformidad del encargado del tratamiento según el RGPD. Esto significa que tanto el responsable del tratamiento como el encargado del tratamiento son responsables del procesamiento conforme de los datos confidenciales.

Las sanciones por incumplimiento del RGPD son muy elevadas. Hay dos niveles de sanción y el límite se establece en 20 millones de euros o el 4% de la facturación anual global de la empresa infractora (el que sea más alto). Las personas afectadas también pueden reclamar una indemnización.