Auditoría Pública nº 81. Revista de los órganos autonómicos de control externo

Tecnicas para el control del tratamiento masivo de datos personales en el sector publico sanitario 195 La seudonimización se está convirtiendo cada vez más en una técnica de seguridad clave al proporcionar un medio que puede facilitar el procesamiento de datos personales masivos, al tiempo que ofrece garantías sólidas para la protección de datos personales y, por lo tanto, salvaguarda de los derechos y libertades de las personas. ENISA pretende implementar la seudonimización en la práctica para promover aún más la protección de los intercambios de datos de salud coordinados y seguros en la Unión Europea en el contexto jurídicos europeo de la RGPD. No existe una solución única sobre cómo y cuándo aplicar la seudonimización; de hecho, diferentes soluciones pueden proporcionar resultados igualmente buenos en escenarios específicos, dependiendo de los requisitos en términos de protección, utilidad, escalabilidad, etc. La seudonimización puede ser una opción “sencilla” de adoptar, pero también puede comprender un proceso muy complejo tanto a nivel técnico como organizativo. Por ello, es muy importante definir los fines y objetivos de la seudonimización en cada caso concreto y cada tratamiento. Con este fin, las buenas prácticas relevantes y los ejemplos de seudonimización en el contexto del RGPD pueden ser de gran valor para los proveedores de atención médica y los desarrolladores de aplicaciones de atención médica. Los desarrolladores y reguladores a nivel nacional y europeo deben promover el intercambio de buenas prácticas y proporcionar orientación práctica sobre la implementación de la seudonimización en la práctica. Los avances en tecnología y en los tipos de servicios relacionados con la salud que se ofrecen pueden afectar la eficacia y la aplicabilidad de una solución de seudonimización que ya se está implementando. Esto no solo es relevante para la elección de la técnica en sí, sino también para el diseño general del proceso de seudonimización, incluida, especialmente, la protección de la información adicional (es decir, la información que permite la asociación entre seudónimos e identificadoras iniciales). Las soluciones de seudonimización presentadas dependen en gran medida del estado de la técnica informática y pueden surgir desafíos o limitaciones de implementación con respecto a cada técnica con el tiempo. No obstante, la comunidad investigadora debe seguir trabajando en la protección de datos y la ingeniería de seguridad, incluidas las técnicas de seudonimización de última generación y sus posibles implementaciones, con el apoyo de las instituciones de la UE en términos de orientación política y financiación de la investigación. Bibliografía ¡ Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, sobre medidas para un alto nivel común de seguridad de las redes y los sistemas de información en toda la Unión. (2016) ¡ ENISA: Procurement Guidelines for Cybersecurity in Hospitals (2020). ENISA: Pseudonymisation techniques and best practices. (2019). ¡ ENISA: Procurement Guidelines for Cybersecurity in Hospitals. (2020). ¡ ENISA: Cloud Security for Healthcare Services (2021). ¡ ENISA: Data Pseudonymisation: Advanced Techniques and Use Cases (2021). ENISA: Deploying Pseudony-misation Techniques: the case of the Health Sector. The European Union Agency for Cybersecurity, ENISA March 2022. ¡ Iniciativa de Datos Abiertos del Gobierno de España https://datos.gob.es/ ¡ ISO/IEC 20546:2019 Tecnología de la información – Big Data – Resumen y vocabulario. ¡ Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. ¡ Norma ISO 31000:2018: Marco de trabajo para la gestión del riesgo. ¡ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Día General. (2016). ¡ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Día General. (2016). ¡ Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre productos sanitarios, por el que se modifican la Directiva 2001/83/ CE, el Reglamento (CE) nº 178/2002 y el Reglamento (CE) nº 1223/2009 y se deroga Directivas del Consejo 90/385/EEC y 93/42/EE. (2017) 9. Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza. (2011). ¡ Tecnologías y protección de datos en las APP. AGEPD, 2020.