Introducción
El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2018, proporcionando una actualización significativa de la ley que rige cómo se recogen y utilizan los datos personales, ampliando los derechos y el control de las personas físicas sobre cómo se tratan sus datos personales, al tiempo que impone mayores obligaciones a las organizaciones que tratan datos personales.

Esta declaración explica nuestro firme compromiso de cumplir con el RGPD y proporciona cierto contexto al tratamiento de datos personales por parte de iRhythm.

Nuestro compromiso
iRhythm se toma muy en serio la privacidad y la seguridad de los datos. Hemos mejorado y revisamos continuamente nuestro sólido programa de cumplimiento para adaptarlo mejor a los elementos exclusivos del RGPD. Nuestro equipo de proyecto interfuncional, que incluye expertos externos en seguridad y privacidad de datos, trabaja con el objetivo de garantizar el cumplimiento y la transparencia con nuestros clientes y pacientes.

Cumplimiento del RGPD
Como parte de nuestra preparación para el RGPD, realizamos un análisis detallado de todos los procesos empresariales en los que se recogen y utilizan datos personales. Hicimos un mapa de nuestros flujos de datos y realizamos un análisis de las deficiencias en función del cual estructuramos nuestro programa de cumplimiento. Los pasos clave que hemos dado como parte de este programa incluyen:

• Transparencia: Revisar y actualizar nuestros avisos de privacidad para médicos, pacientes, usuarios de nuestra página web y de nuestro portal ZioReports, así como comunicar información sobre nuestro tratamiento lícito para cumplir con nuestras obligaciones de notificación del RGPD.
• Registro del tratamiento: Documentación de nuestros registros de tratamiento de datos personales y determinación y registro de las bases lícitas apropiadas para cada uno de los fines del tratamiento. Se trata de un registro vivo que mantenemos bajo revisión.
• Derechos de los interesados: Actualización de los avisos mejorados de derechos a las personas e implantación de políticas y procesos nuevos y modificados para prever, gestionar y responder al ejercicio de los derechos de los interesados.
• Seguridad: Los datos personales y de los pacientes se codifican en tránsito y en reposo. La política de codificación de iRhythm cumple o supera todas las normas comerciales y gubernamentales generalmente aceptadas.
• Respuesta a incidentes: Revisión y mejora de nuestros procedimientos existentes de respuesta a incidentes para identificar, investigar, contener y realizar todos los informes necesarios dentro de los plazos requeridos por el RGPD.
• Evaluaciones de impacto de protección de datos (EIPD): iRhythm ha implementado un procedimiento de EIPD y llevará a cabo EIPD cuando nuestro tratamiento de datos personales pueda dar lugar a un alto nivel de riesgo. Hemos implantado procesos para registrar cada evaluación y, en su caso, registrar y gestionar las medidas para reducir el nivel de riesgo.
• Privacidad desde el diseño y por defecto:Desarrollo de orientaciones para su uso por parte de los desarrolladores de productos y sistemas, de modo que iRhythm pueda tratar de incorporar la privacidad desde el diseño y por defecto en los nuevos sistemas y procesos.
• Políticas y procedimientos: Revisión, actualización y redacción de nuevas políticas y procedimientos para cumplir con nuestras obligaciones reforzadas del RGPD.
• Contratos: Solicitud de información sobre la preparación para el RGPD de nuestros proveedores de servicios y realización de revisiones continuas y actualización de los Contratos relativos al tratamiento de datos personales en línea con los requisitos del RGPD con clientes y subcontratistas.
• Retención de datos: Conservación de los datos personales durante el tiempo que usted utilice el Zio Service y según sea necesario para cumplir nuestras obligaciones contractuales, identificar problemas o resolver procedimientos legales (o normativos). También podemos retener información agregada más allá de este tiempo para fines de investigación y para ayudarnos a desarrollar y mejorar nuestros servicios. Los pacientes no se pueden identificar a partir de información agregada retenida o utilizada para estos fines.
• Formación y concienciación: Actualización de los materiales de formación e implementación de un programa de formación para los empleados sobre los requisitos del RGPD, aumentando la concienciación y mejorando aún más la cultura de cumplimiento dentro de iRhythm.
• Responsable de Privacidad: Hemos designado a un responsable del cumplimiento de la privacidad dentro de iRhythm. El Responsable cuenta con el apoyo de un equipo interfuncional que promueve la concienciación sobre el RGPD en toda la organización.
• Notificación: Nuestras políticas de privacidad pueden consultarse en nuestro sitio web en https://www.zioreports.com/Application.html#PP_UK.
• Responsable/encargado del tratamiento: Establecer que iRhythm es un responsable del tratamiento y no un encargado.. Como responsable del tratamiento, iRhythm entiende que está sujeto al ámbito más amplio de las obligaciones derivadas de la ley de protección de datos a las que también están sujetas sus cuentas.
• Responsabilidad proactiva:Introducción de sistemas y registros para capturar y mantener registros de las medidas de cumplimiento adoptadas.

iRhythm entiende que la supervisión continua y la concienciación de los empleados son fundamentales para el cumplimiento continuo del RGPD. Seguimos revisando el tratamiento de los datos personales, ajustando y adaptando nuestra documentación según sea necesario.

Si tiene más preguntas sobre nuestro cumplimiento del RGPD, póngase en contacto con nosotros en UKprivacy@irhythmtech.com.