La firma electrónica como clave para la obtención
del consentimiento del interesado
24 ABRIL 2018
Jornadas ACES: Impacte del Reglament Europeu de
Protecció de Dades en l’àmbit sanitari
¿Qué entendemos por consentimiento?En el marco del RGPD
“toda manifestación de voluntad libre, específica, informada
e inequívoca por la que el interesado acepta, ya sea
mediante una declaración o una clara acción afirmativa, el
tratamiento de datos personales que le conciernen”(art. 4.11 RGPD)
¿Cómo debe de ser elConsentimiento?
1
3
4
No será válido cuando se dé un desequilibrio de poder (por ejemplo,
entre el hospital y el paciente), o cuando esté supeditado a la
ejecución de un contrato, y debe darse por separado para cada
operación de tratamiento de datos personales que se vaya a realizar.
el consentimiento debe únicamente recabarse para el
tratamiento de datos personales que se realice con una
finalidad en particular.
Libre
Específico
Informado
Inequívoco
2
Cuando se haya proporcionado la información básica
(identidad del responsable, finalidad, datos que se van a
recoger, derecho a revocar el consentimiento,
tratamiento automatizado de datos y transferencia
internacional de datos)
El consentimiento requiere de una declaración
inequívoca por parte del individuo, o de un
acto claramente positivo por su parte.
¿Qué NO podemos hacer?Cambios principales respecto de la LOPD
Categorías especiales de
datos
Tipos de consentimiento
• Puede consistir tanto en una declaración (escrita u oral)
como en una “una clara acción afirmativa”
• “marcar una casilla de un sitio web en internet, escoger
parámetros técnicos para la utilización de servicios de la
sociedad de la información, o cualquier otra
declaración o conducta que indique claramente en
este contexto que el interesado acepta la propuesta de
tratamiento de sus datos personales”.
Implícito Explícito
• El interesado debe decir específicamente que “si quiere”
que sus datos sean tratados
• Abarca todas las situaciones en las que se propone a la
persona que consienta o no un uso particular o la
difusión de su información personal y la persona responde de forma activa a la pregunta, verbalmente o por escrito.
• Por lo general, el consentimiento explicito o expreso se
da por escrito y se firma a mano.
En ambos casos la prueba de su manifestación
recae en el responsable
En principio no sería necesario atendiendo al art. 9.1 h), si bien:• El tratamiento debe ser realizado por un profesional sujeto a la obligación de secreto
profesional, o bajo su responsabilidad
• Se debe restringir a la finalidad asistencial
• Se requiere que los tratamientos de datos de salud estén amparados en una ley, que
podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad
(Proyecto de Ley Orgánica española)
• Hay que cumplir el resto de obligaciones, en especial la de informar
adecuadamente al interesado
En un centro de salud, especialmente en el ámbito privado, la finalidad
asistencial no es la única a tener en cuenta, ya que con frecuencia el
paciente es a la vez cliente.
¿Es necesario obtener el
consentimiento de un paciente?
Deber de información
De nuevo la prueba de su cumplimiento recae en
el responsable
La capacidad probatoria de los medios
utilizados en ambos casos es fundamental
En principio, se permite la utilización de sistemas “sencillos” como los
checkbox en los formularios o la manifestación oral del consentimiento, pero
no son nada recomendables por su baja eficiencia probatoria.
En el ámbito electrónico se requiere, al igual que en soporte papel, la
generación de una prueba robusta que no permita albergar la más mínima
duda respecto a su autoría y autenticidad, como los sistemas de firma
electrónica avanzada o cualificada o firma biométrica (firma electrónica
manuscrita).
Es importante tener en cuenta que no todos los sistemas de firma electrónica
ofrecen las mismas garantías de cara a ser presentadas como evidencias
La clave es la capacidad probatoriaAcreditación documental
¿Todos los medios son iguales?No todo es blanco o negro
Todas estas formas de contratación son válidas
¿Cuál te ofrece más garantías?
La propuesta de ViDSignerun único servicio de firma con muchas opciones
biométrica centralizada Smartcard / NFC remota sello
ViDSigner API
ViDSigner Biofirma biométrica manuscrita
firma biométrica
1 firma sencilla
muy similar a la firma en papel
lo que ves es lo que firmas
uso de certificados transparente
uso de biometría
2
3
4
5
Firma presencial fácilNos ocupamos de toda la complejidad tecnológica que
permite convertir un proceso sumamente sencillo en una
prueba de firma jurídicamente muy robusta
ViDSigner Biola seguridad técnica unida a la sencillez de la firma manuscrita
ViDSigner Biono todas las firmas biométricas son iguales
OPERACIÓN POR TERCERO DE CONFIANZA
AUDITORÍA LEGAL Y TÉCNICA
EL FIRMANTE VE LO QUE FIRMA
MAS PADES (LARGA DURACIÓN)
BIOMETRIA FUERTE
INDEPENDENCIA EN LA VALIDACIÓN
OTC y SELLOS DE TIEMPO
ALTA DISPONIBILIDAD
SERVICE LEVEL AGREEMENT
FACIL INTEGRACIÓN (API REST)
ACOMPAÑAMIENTO LEGAL
1
2
3
4
5
6
7
8
9
10
11
complianceServicio jurídico de firma
1 Seguridad jurídica
Neutralidad
Responsabilidad
2
3
La utilización de servicios de firma confiables, no es
únicamente una decisión tecnológica ni de coste.
Cuando nos enfrentamos a procesos con un alto
componente jurídico, incluimos en la ecuación un
tercer elemento, quizá el más importante de todos, el
de la responsabilidad.
Gestión de formulariosGranularidad en los consentimientos
Las personas son lo primeroServicios pensados para personas
salud y socialfirma electrónica en centros de salud y servicios sociales
salud y socialconsentimientos informados y más
1 Reducción de costes
Optimización de procesos
Control documental
Movilidad
Confianza
2
3
4
5
beneficios
salud y socialcasos de uso
clínicas domicilio hospital
más de 200
clientes
salud y socialclientes
900 828 948
Avda. Josep Tarradellas, 19-21 entl. 1- 08029 Barcelona
Calle Zurbano 45, 1ª - 28010 Madrid
www.validatedid.com