De acuerdo con el requisito 7.5.10 de la normativa armonizada ISO 13485, la empresa debe proteger la propiedad del cliente. La protección de los datos de carácter personal aplica cuando ésta se incorpore al producto bajo su control; alternativamente cuando ésta esté siendo utilizada por la empresa.
La organización, por tanto, debe elaborar y mantener un procedimiento que garantice la protección de datos personales. Lo hará según lo establecido en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016.
Además, en el estado español, también será de obligado cumplimiento la Ley Orgánica 3/2018, de 5 de diciembre.
Tratamiento de datos clínicos
Los datos de carácter personal deben ser tratados de manera segura, lícita, leal y transparente. Deben ser recogidos con fines determinados y explícitos; exactos y limitados a lo necesario de acuerdo a sus fines; y actualizados de manera adecuada.
Por otro lado, los interesados siempre deberán conocer, entre otras cosas, la identidad del responsable del tratamiento. También la finalidad del tratamiento o los destinatarios de los datos personales con el fin de garantizar la transparencia de los datos.
Especial atención se da a ciertas categorías de datos relativos a la salud, datos genéticos, datos biométricos, o datos que revelen opiniones políticas, entre otros. El tratamiento de estos datos quedará prohibido a excepción de las circunstancias indicadas en el Artículo 9 del Reglamento. Por ejemplo, que el interesado de su consentimiento explícito, que el tratamiento sea necesario por razones de interés público en el ámbito de la salud pública o que el tratamiento sea necesario con fines de investigación científica.
Figuras y responsabilidades
Por último, existen dos figuras claramente diferenciadas: el responsable del tratamiento y el encargado del tratamiento. El primero debe aplicar medidas técnicas y organizativas apropiadas con el objetivo de poder garantizar y demostrar que el tratamiento es conforme con el Reglamento. El segundo es elegido por el responsable para aplicar dichas medidas. Entre los dos existirá un contrato (o acto jurídico vinculante) que establezca:
- el objeto,
- la duración,
- la naturaleza y
- la finalidad del tratamiento y el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Requisitos aplicables al producto sanitario
Por lo tanto, conforme a la legislación vigente, nuestra organización cumplirá con el derecho fundamental de protección de las personas físicas en relación con el tratamiento de datos personales.