Normativa cosmética: ¿es el fin del retinol?
La entrada en vigor el pasado 25 de mayo del nuevo Reglamento General de Protección de Datos ha supuesto un cambio mayúsculo para todas las empresas europeas, pero está siendo aún mayor para las del sector Consumer Healthcare. La alta sensibilidad de los datos personales que pueden llegar a tratar y su posicionamiento en el ámbito de la salud, son dos cuestiones que elevan el riesgo de estas compañías en materia de protección de datos.
Para hablar en profundidad sobre todo esto, contamos con Manuel Alonso, socio del departamento TMT de JAUSAS.
¿Deben las empresas del Consumer Healthcare tomar alguna medida especial para adaptarse al RGPD por el tipo de datos que pueden llegar a tratar?
Por supuesto. Por la propia naturaleza sensible de los datos que manejan, están especialmente expuestas a riesgos y deben aplicar un criterio riguroso en la aplicación del RGPD a nivel interno. De hecho, en casi todas ellas será exigible un Data Protection Officer (DPO).
¿Qué impacto cree que tendrá sobre APPs de salud o de seguimiento de una enfermedad (por ejemplo, la diabetes) el nuevo RGPD?
Debe revisarse tanto los Términos y condiciones de las apps como los formularios de consentimiento en la captura de datos. Y deberán aplicarse medidas técnicas (encriptación, disociación) para asegurar la protección de los datos sensibles procesados.
Teniendo en cuenta que las empresas del sector CH podrán llegar a tratar datos de carácter sensible (salud), ¿cree que la aplicación del RGPD en este sector puede acabar siendo más estricta que en otros sectores?
Sin duda. La combinación del RGPD y la propia normativa específica sectorial lo harán inevitable, habrá que ver qué puede hacer la industria como grupo de interés para minimizar el impacto en sus modelos de negocio.
¿Cuáles serían los puntos que debería tener en cuenta una empresa del sector Consumer Healthcare a la hora de realizar una evaluación de impacto?
La evaluación de impacto requiere una metodología contrastada, mi recomendación seria primero decidir dicha metodología, según las recomendaciones de la Agencia, y luego, caso por caso, establecer los puntos de control.
En anteriores ocasiones ha resaltado la figura del Delegado de Protección de Datos y el significativo papel que desempeñará en empresas de este sector. ¿Podría justificarlo?
El DPO es la figura clave en la implementación, pero sobre todo en el mantenimiento de una cultura de protección de datos personales en las organizaciones. Su posición independiente y sus conocimientos en materia de datos deben dar salida a los múltiples problemas que implica un cumplimiento efectivo del RGPD.
El RGPD promueve la instauración de una privacidad desde el diseño. ¿Puede ponerme ejemplos de cómo puede afectar esto a las empresas de nuestro sector?
La privacidad desde el diseño no es otra cosa que aplicar medidas de seguridad en función del tratamiento de datos que deseamos implementa y el nivel de sensibilidad de los mismos. Un ejemplo sencillo sería el de la gestión de datos clínicos en un entorno online.
Una medida de diseño de privacidad será la codificación de los datos de pacientes cuando se procesan fuera del ámbito de control del responsable, lo que reduce drásticamente la posibilidad de brechas de seguridad y evita la aplicación de medidas técnicas adicionales. Ese planteamiento desde el origen, supone una mejora considerable en la seguridad de los datos personales procesados sin un coste significativo.
Nuestro entrevistado
Manuel Alonso lleva cerca de 25 años vinculado al sector de la Tecnología, Medios y Telecomunicaciones (TMT) en aspectos como el asesoramiento legal en materia de cumplimiento normativo y en operaciones de M&A realizadas en España por multinacionales del sector tecnológico.
Alonso es un experto en la adecuación de los protocolos de actuación de empresas transnacionales a la normativa española de privacidad, protección de datos y uso de medios electrónicos. Asimismo, tiene una amplia trayectoria en contratación nacional e internacional en materias de cloud computing, big data y servicios de outsourcing y desarrollo de software.
Antes de dirigir el departamento de TMT de JAUSAS, Manuel Alonso ocupó durante 15 años puestos de responsabilidad en multinacionales de la auditoría y el asesoramiento legal y fiscal y en boutiques de servicios de IP/IT.