Derecho Digital
Área Derecho Digital
De Lorenzo Abogados dispone de un Área de Nuevas Tecnologías, con la finalidad de atender, de forma eficaz y especializada, las necesidades generadas como consecuencia de la evolución de la sociedad de la información, teniendo en cuenta la rapidez con la que se producen los cambios en esta materia y las consiguientes modificaciones legislativas cuyo objeto reside en la salvaguarda de los derechos de los ciudadanos, así como la incidencia que estos cambios pueden tener en el sector sanitario.
Protección de Datos
Estamos especializados en protección de datos y privacidad en el sector sanitario.
Tras un largo periodo de experiencia, se ha potenciado especialmente el diseño de un servicio de Auditoría y Consultoría de protección de datos personales, mediante un procedimiento basado en un conjunto de servicios integrales y multidisciplinares que permite la adaptación de las diferentes organizaciones a la normativa vigente en materia de protección de datos.
- Obtención de datos, análisis de su naturaleza, tipos de ficheros, documentos afectados y propuesta jurídica de actuación.
- Clasificación e inscripción de ficheros, de titularidad pública y/o privada, ante el Registro de la Agencia Española de Protección de Datos.
- Modificación y/o supresión de ficheros de titularidad pública y/o privada.
- Redacción de los acuerdos de confidencialidad, política de seguridad y políticas de información.
- Preparación de los procedimientos de tratamiento de datos, identificación y autenticación de usuarios, copias de respaldo y de recuperación de datos y de tratamientos específicos.
- Protocolo y registro de Derechos ARCO.
- Redacción de los registros dispuestos en el Reglamento de desarrollo de la LOPD.
- Elaboración de Informes Jurídicos analizando el grado de cumplimiento de la normativa de protección de datos.
- Redacción del Documento de Seguridad y asesoramiento en la implantación de las medidas de seguridad.
- Elaboración de la auditoría bienal obligatoria para ficheros de nivel medio y/o alto.
- Formación al personal y responsables de seguridad.
- Tratamientos de datos específicos a categorías especiales de datos (documentación clínica).
- Defensa de en procedimientos sancionadores de la AEPD, y ante la jurisdicción contencioso administrativa.
Reglamento Europeo Protección de datos(RGPD-GDPR)
El pasado 4 de mayo de 2016 se publicó el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), entrando en vigor a los 20 días de su publicación cuya aplicación obligatoria y directa a todos los Estados miembros de la Unión Europea será a partir del próximo 25 de mayo de 2018.
- Redacción de los nuevos clausulados y contratos conforme al Reglamento General de Protección de Datos y las Directrices de la Autoridad de Control.
- Elaboración del registro de actividades.
- Aproximación basada en el Riesgo. Preparación de las Evaluaciones de Impacto (PIAs).
- Implantación de medidas de seguridad de protección de datos y de prevención del riesgo (Privacy by Design and Privacy by Default).
- Preparación del nuevo procedimiento de notificación de violaciones de seguridad, tanto a la Autoridad de Control como al propio afectado.
- Redacción de los nuevos procedimientos de atención de los Derechos que expone el Reglamento.
- Tramitación de solicitudes de derecho al Olvido.
- Asesoramiento en materias específicas de transferencias internacionales, Binding Corporate Rules (BCS), uso de herramientas de computación en nube (Cloud Computing), proyectos de Big Data, publicidad y comunicaciones comerciales electrónicas, internet y redes sociales
- Asesoramiento en materia de Códigos de Conducta, Códigos Tipo y de Certificación en materia de protección de datos.
- Designación de la figura del Delegado de Protección de Datos (DPD-DPO)
- Concienciación y formación al personal en materia del nuevo Reglamento así como de su principio de responsabilidad proactiva (accountability).
- Tratamientos de datos personales relacionados con la salud.
- Defensa de en procedimientos sancionadores de la Autoridad de Control.
Delegado de Protección de Datos (DPD-DPO)
El Reglamento General de Protección de Datos (RGPD) incorpora como otra gran novedad para España, la figura del Delegado de Protección de Datos o “Data Protection Officer”, (DPD-DPO), que será obligatoria a partir del 25 de Mayo de 2018, para determinados tratamientos de datos (Corporaciones de Derecho Público, centros sanitarios que traten historias clínicas o, entre otros, responsables que realicen tratamientos a gran escala de categorías especiales de datos personales).
El DPD-DPO, es la persona encargada de informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la autoridad de control y actuar como punto de contacto entre ésta y la entidad responsable del tratamiento de datos.
El DPD-DPO es uno de los ejes principales del principio de responsabilidad activa que contempla el RGPD y deberá ser asignado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados en Derecho y la práctica en materia de protección de datos, pudiendo ser un empleado interno o pudiendo externalizar sus servicios en un consultor externo.
Ofrecemos la externalización de este rol corporativo en nuestra Firma desempeñando, de forma directa a los responsables o a través de los respectivas Corporaciones Consejos y Colegios Oficiales, las siguientes funciones:
- Publicación y comunicación de los datos de contacto del DPD-DPO ante la Autoridad de Control.
- Inclusión de los datos de contacto del DPD-DPO en las cláusulas informativas de protección de datos.
- Información y asesoramiento normativo a través de reuniones periódicas.Creación, en su caso, del Comité de Protección de Datos.
- Asesoramiento al responsable o al encargado del tratamiento acerca de los informes de Evaluación de Impactos (PIAs). Supervisión en la ejecución de las recomendaciones.
- Supervisión del cumplimiento normativo. Auditorías de verificación.
- Realización de acciones internas de concienciación respecto al cumplimiento efectivo de las normas sobre privacidad, incluidas las de carácter interno.
- Realización de acciones formativas para el personal que participa en las operaciones de tratamiento de datos.
- Cooperación y enlace con la Autoridad de Control. Cooperación y enlace con la Autoridad de Control.
- Función de atención a los interesados.
- Elaboración del informe anual dirigido al más alto nivel jerárquico.
Cumplimiento Normativo (Compliance)
El Compliance o Cumplimiento Normativo ha adquirido especial importancia dentro de las organizaciones empresariales en España desde la reforma del Código Penal que se produjo a finales de 2010, por la que, por primera vez se introducía la regulación de la responsabilidad penal de la persona jurídica. El 22 de enero de 2016, la Fiscalía General del Estado publicó la Circular 1/2016, sobre la Responsabilidad Penal de las Personas Jurídicas, la cual interpreta la reforma del art. 31 bis del Código Penal efectuada por la Ley Orgánica 1/2015. La misma imparte las instrucciones a los Fiscales sobre cómo valorar la eficacia de los planes de Compliance y, por tanto, cuándo debe considerarse exenta de responsabilidad penal a una empresa o bien cuándo le son de aplicación ciertas circunstancias atenuantes.
El Compliance consiste en establecer políticas y procedimientos, que sean adecuados y suficientes para garantizar que una empresa u organización, incluidos sus directivos, empleados y agentes vinculados, cumplan con el marco normativo aplicable, que no es no sólo las normas legales, sino que también las políticas internas, los compromisos con clientes, proveedores o terceros, y especialmente los códigos éticos que la empresa u organización tenga implantados.
Desde De Lorenzo Abogados ofrecemos la asistencia en la elaboración, implantación y validación de sistemas de cumplimiento enfocados a los siguientes ámbitos,
- Corporate Compliance. Responsabilidad penal de las personas jurídicas.
- Políticas anticorrupción.
- Prevención del Blanqueo de Capitales.
- IT Compliance. (privacidad y protección de datos, seguridad de la información y sociedad de la información).
- Compliance ético-social. Adaptación de Códigos Éticos y Políticas Antifraude, Corrupción y Conflictos de Intereses, creación de Canales de Denuncias “whistleblowing”.
- Corporate Defense. Mediante la asistencia jurídica en procesos que puedan iniciarse.
- Asesoramiento jurídico a la figura del Compliance Officer.
Asesoramiento Jurídico
Asesoramiento y defensa en materia de responsabilidad por ensayos clínicos, que son legalmente exigibles al promotor del ensayo y demás partes intervinientes (investigador principal, sus colaboradores, hospital o centro donde se lleven a cabo).
Asesoramiento en contratación de ensayos clínicos y estudios post-autorización.
Auditoría de Páginas Web
Cada vez es más habitual la presencia de las empresas en internet, incluyendo las Clínicas, Hospitales, Colegios Profesionales, Sociedades Científicas, Laboratorios Farmacéuticos, Grupos de Investigación y demás agentes que actúan en el ámbito sanitario. Por este motivo, se ha preparado un servicio para asesorar al Cliente en los requisitos que deben cumplir los sitios web, incluyendo:
- Análisis de la página web.
- Redacción de avisos legales y condiciones generales así como particulares de uso del sitio web.
- Redacción de política de privacidad y adaptación a la normativa de protección de datos.
- Redacción de política de Cookies.
- Estudio de las necesidades específicas de la página web en función de la actividad de la misma.
- E-commerce.
Propiedad Intelectual e Industrial
Constituye hoy en día un área de gran relevancia, dado el cada vez mayor peso que los activos intangibles registrables tales como marcas, patentes, diseños industriales, ect, y no registrables, (copyright, know-how y tecnología, etc) han cobrado en el ámbito empresarial.
Estos servicios profesionales abarcan el asesoramiento en materia de estudios preliminares sobre disponibilidad de uso o registro de nuevos activos, en los diferente ámbitos tanto estatal, como comunitario e internacional, así como la defensa de los ya existentes y su negociación.
Nuestra firma cuenta con un grupo de expertos jurídicos con un profundo conocimiento tanto de la regulación nacional, como comunitaria e internacional.
E-Salud
La evolución de la sociedad de la información conlleva que la prestación de la asistencia sanitaria se respalde en las tecnologías de la información. Así, se han implementado, tanto a nivel público como privado, sistemas de televigilancia y de teleasistencia, así como técnicas para la comunicación entre el personal sanitario o incluso como medio de formación.
Otro aspecto relevante dentro de la E-Salud es la implantación de la receta electrónica, la historia clínica electrónica o la gestión de servicios sanitarios a través de Internet.
En este contexto y entendiendo que se trata de una comunicación de datos, asesoramos a nuestros clientes tanto del sector público como privado en las implicaciones jurídicas que conlleva la utilización de estos sistemas, para garantizar el respeto a la intimidad de los pacientes, así como en la resolución de las consultas que puedan surgir al respecto.
Investigación Clínica
En la investigación clínica la protección de datos tiene una especial incidencia, ya que para la realización de ensayos clínicos, estudios observacionales o investigación biomédica se requiere el tratamiento de datos de carácter personal.
Asimismo, la realización de análisis genéticos o el análisis de muestras biológicas supone una práctica cada día más habitual en la que se debe operar con la mayor de las cautelas por los riesgos que puede entrañar al afectar a la intimidad de las personas.
Conocedores del sector sanitario y de la complejidad de la normativa, asesoramos a nuestros clientes en esta materia, analizando todos los aspectos que puedan afectar a sus intereses para el correcto cumplimiento de la normativa.
FAQS
¿Pueden solicitar una copia de su historia clínica por correo electrónico?
Todo paciente tiene derecho a acceder a su historia clínica y obtener copia de la misma, según la Ley 41/2002 de Autonomía del Paciente. La clínica debe facilitar este acceso en un plazo razonable y sin coste (salvo copias adicionales), garantizando siempre la confidencialidad de terceros y la protección de los datos personales conforme al RGPD y la LOPDGDD.
Cuando la solicitud se realiza por correo electrónico, la clínica está obligada a verificar la identidad del solicitante y a entregar la información de forma segura (por ejemplo, mediante cifrado o plataformas seguras de intercambio de documentos).
En nuestro despacho te ayudamos a crear protocolos claros y cláusulas adaptadas para gestionar estas solicitudes de manera ágil y totalmente conforme a la normativa, evitando riesgos de sanción ante la AEPD.
¿Estoy obligado a tener un Delegado de Protección de Datos (DPO) en mi clínica o empresa sanitaria?
Por ley las entidades que generen y custodien historia clínica deben designar un DPO, salvo contadas excepciones. Analizamos tu caso concreto y te ofrecemos la externalización del servicio con total garantía.
¿Debo notificar a la AEPD si me roban un ordenador o pierdo un pen drive con historias clínicas?
La pérdida o robo de dispositivos con datos de salud supone un alto riesgo. La normativa exige notificar a la AEPD en 72 horas y, en muchos casos, también informar a los afectados. Te acompañamos en todo el proceso para evitar sanciones.
Soy una startup que quiere entrenar un modelo de IA para ayudar a mis clientes a optimizar recursos en centros sanitarios (por ejemplo, reducir tiempos en los que una cama queda vacía). ¿Qué requisitos legales debo cumplir?
• Protección de datos (RGPD y LOPDGDD): incluso si no se trata de datos clínicos directos, los registros administrativos pueden contener información personal (pacientes, profesionales, proveedores). Deberás definir una base jurídica válida, aplicar técnicas de anonimización o seudonimización cuando proceda y formalizar contratos de encargo de tratamiento con los centros que te faciliten los datos.
• Reglamento Europeo de Inteligencia Artificial (AI Act): al usarse en el ámbito sanitario, tu sistema de IA puede clasificarse como de alto riesgo, lo que obliga a cumplir con requisitos de transparencia, gestión de riesgos, trazabilidad de los datos de entrenamiento y supervisión humana de los resultados.
Nuestro despacho te asesora en el diseño legal de tu proyecto para que el entrenamiento de tu modelo de IA cumpla con ambas normativas y resulte fiable y atractivo para tus clientes.
¿Puedo usar campañas de marketing digital para captar pacientes con datos obtenidos de redes sociales o Google Ads?
Usar datos personales sin una base jurídica clara o segmentar anuncios con información sensible (salud, tratamientos, diagnósticos) puede considerarse una infracción grave del RGPD y de la LOPDGDD. Además, la Ley General de Publicidad Sanitaria limita qué mensajes pueden difundirse en internet y redes sociales. Una campaña mal diseñada no solo puede suponer sanciones económicas, sino también un fuerte impacto reputacional para tu clínica o startup.
En nuestro despacho diseñamos estrategias de marketing digital seguras y legales, para que promociones tus servicios de forma eficaz sin exponerte a sanciones de la AEPD ni a riesgos legales en materia de publicidad sanitaria.