聽路聽

LOPD PARA EMPRESAS QUE REGISTRAN DATOS DE SALUD

馃攼 LOPD PARA EMPRESAS QUE REGISTRAN DATOS DE SALUD

Desde que se puso en marcha el nuevo RGPD y hasta el momento actual, una de las dudas que me he encontrado en estos meses es si tengo o no que tener implantada la Protecci贸n de Datos en mi empresa y, cuando hablamos de centros que registran datos de salud (cl铆nicas, fisioterapeutas, oftalm贸logos, odont贸logos鈥) qu茅 es lo que tengo que hacer para cumplir con la normativa.

La Protecci贸n de Datos es una normativa obligatoria para todas las empresas que tienen un tratamiento continuado de datos personales. Aqu铆 incluir铆amos pr谩cticamente todas las empresas, independientemente de su tama帽o, actividad y forma jur铆dica.

Ahora bien, si en mi empresa trato datos de salud, es importante tener claro qu茅 debo de hacer y no quedarme con una implantaci贸n de forma, sino de fondo.

En estos centros se recoge informaci贸n trascendental de los pacientes e incluso de los empleados y es importante el compromiso con la confidencialidad de todos los datos recogidos y la gesti贸n de estos datos y es importante garantizar que se cumple con la Ley.

QU脡 NECESITO PARA CUMPLIR CON LA LOPD COMO EMPRESA QUE REGISTRA DATOS DE SALUD

1.聽聽聽聽Haremos un An谩lisis de la empresa identificando qu茅 datos personales se tratan y realizaremos su correspondiente registro de tratamiento de datos. A su vez analizaremos si tratamos Datos Propios o tambi茅n tratamos Datos de Terceros.

Podremos encontrarnos con datos como:

  • Gesti贸n de Clientes
  • Gesti贸n de Historial Cl铆nico
  • Gesti贸n de Personal
  • Gesti贸n de Potenciales Clientes
  • Gesti贸n de Proveedores
  • Videovigilancia鈥.

2.聽聽聽聽聽聽 Estudiaremos la finalidad para la que recogemos esos datos y la legitimaci贸n, las categor铆as de datos, destinatarios, si vamos a realizar trasferencias de datos a terceros pa铆ses o internacionales, los plazos previstos de supresi贸n

3.聽聽聽聽聽聽 Una vez registrados los datos haremos su correspondiente An谩lisis de riesgos, es decir, qu茅 riesgos conlleva el tratar esos datos en nuestro centro.

4.聽聽聽聽Estableceremos las Medidas de Seguridad para evitar problemas. Tenemos que ser conscientes de que NO ES EL MISMO RIESGO EL QUE SE DA EN EL TRATAMIENTO DE DATOS, POR EJEMPLO, DE LOS EMPLEADOS QUE EL QUE SE DA EN EL TRATAMIENTO DE DATOS DE PACIENTES.

5.聽聽聽聽Elaboraremos el Documento de Seguridad que contendr谩:

  • El Documento de Cumplimiento
  • registro de actividades de tratamiento
  • an谩lisis de riesgos
  • medidas de seguridad
  • funciones y obligaciones del personal
  • perfiles de usuarios y accesos autorizados
  • compromisos de confidencialidad
  • contratos de acceso a datos con encargados
  • contratos de acceso a datos con responsables
  • registro de incidencias
  • protocolos de atenci贸n a los derechos
  • clausulas legales
  • documentaci贸n adicional:
  1. declaraci贸n responsable de cumplimiento
  2. acuerdo de corresponsables
  3. informaci贸n para soportes electr贸nicos聽 (Pol铆tica de Privacidad, Aviso Legal)
  4. documentaci贸n para la garant铆a de los derechos digitales
  5. carteles informativos

QU脡 DEBO HACER

Esta ser铆a la documentaci贸n que tenemos que tener para empezar a cumplir con la normativa y os preguntar茅is el porqu茅. Est谩 muy claro. Para cumplir con la Protecci贸n de Datos tenemos que tener toda la documentaci贸n registrada y actualizada pero, una vez que la tenemos es cuando tenemos que empezar a trabajar con ella.

CONSENTIMIENTO: Si hacemos uso de los datos de nuestros pacientes necesitamos tener su consentimiento, pero un consentimiento expreso, es decir, necesitamos recoger su firma. Tenemos el Deber de Informar y tenemos la obligaci贸n de demostrar que hemos informado.

CLAUSULAS: Tenemos que tener todas las clausulas correctamente. Si hablamos de la Clausula de Tratamiento de Historial Cl铆nico, 茅sta incluir谩:

1.聽聽聽聽聽聽 Descripci贸n

2.聽聽聽聽聽聽 Finalidad Resumida

3.聽聽聽聽聽聽 Finalidad Detallada

4.聽聽聽聽聽聽 Si se van a tomar decisiones automatizadas

5.聽聽聽聽聽聽 El plazo de conservaci贸n

6.聽聽聽聽聽聽 La legitimaci贸n

7.聽聽聽聽聽聽 Si se van a ceder los datos

8.聽聽聽聽聽聽 Si se van a realizar transferencias internacionales

9.聽聽聽聽聽聽 Los Derechos

10.聽聽 La procedencia

11.聽聽 D贸nde Consultar m谩s informaci贸n sobre nuestra Protecci贸n de Datos.

CONFIDENCIALIDAD: En estos centros los datos que se tratan pueden llegar a ser extremadamente sensibles y, por lo tanto, estamos obligados a que todo el personal que accede a datos dentro de nuestra empresa firme un compromiso de confidencialidad.

CONTRATOS CON TERCEROS: Es importante y obligatorio tener los contratos, tanto con Responsables como con Encargados donde queden registradas las funciones y obligaciones en materia de protecci贸n de datos.

EIP (EVALUACIONES DE IMPACTO):聽 Al tratar datos sensibles es necesario realizar una EIP para analizar previamente los riesgos que conlleva esta tratamiento y gestionar esta informaci贸n correctamente.

FORMACI脫N: es importante que el Responsable designado para llevar la Protecci贸n de Datos dentro de la empresa tenga la formaci贸n correspondiente en materia de LOPD para saber si se cumple o no con la normativa. Esto es independiente a que tengan contratado este servicio a una consultor铆a externa.

驴TENGO QUE HACER AUDITOR脥AS?

Estos Centros, debido al nivel de datos que tratan, est谩n obligados a hacer auditor铆as.

Esta auditor铆a se puede realizar de forma interna o externa, pero, desde mi punto de vista, aconsejo que sea la propia Consultora, en coordinaci贸n con el equipo del centro, quien realice este trabajo puesto que esta auditor铆a ir谩 acompa帽ada de un informe donde se analizar谩 todo e incluso, en el caso de encontrar deficiencias, se recomendar谩n las medidas correctoras.

Este informe quedar谩 a disposici贸n de la AEPD y de las autoridades de control de cada Comunidad Aut贸noma.

驴ES NECESARIO TENER UN DPO? (Delegado de Protecci贸n de Datos)

Al Custodiar historiales cl铆nicos con datos de salud, estos centros est谩n obligados a contar con la figura del Delegado de Protecci贸n de Datos.

Existe la posibilidad de contratar un DPO externo o de disponer de un delegado interno, pero siempre y cuando sea alguien que acredite la formaci贸n correspondiente.

驴QU脡 TIEMPO DEBO CONSERVAR LOS DATOS?

Los plazos de conservaci贸n de la historia cl铆nica y expedientes del paciente suele ser de聽5 a帽os聽a contar desde el 煤ltimo tratamiento, siempre y cuando no sea un paciente al que continuamos dando servicio que, en ese caso, se mantendr铆a toda la documentaci贸n hasta que finalice nuestra relaci贸n contractual.

No obstante dependiendo de la Comunidad Aut贸noma donde est茅 el centro implantado hay diferentes plazos de conservaci贸n.


Cumplir con la LOPD en empresas de este sector no tiene porqu茅 ser una preocupaci贸n, lo importante es contratar este servicio a una Consultora con su correspondiente DPO que, en coordinaci贸n con el responsable designado por la empresa, gestione toda la documentaci贸n correctamente, con sus correspondientes An谩lisis de riesgos, EIP y sus auditor铆as PERI脫DICAS puesto que el incumplimiento nos puede ocasionar sanciones de las denominadas MUY GRAVES, cuyo importe puede ser muy elevado.聽


CONTRATA AHORA TU PROTECCI脫N DE DATOS Y TE EVITAREMOS SANCIONES INNECESARIAS PORQUE PARA ALTABIR LA TRANQUILIDAD DE NUESTROS CLIENTES ES LO PRIMERO

Art铆culo publicado por Elisa Campoy Soler

Consultora Experta y Delegada de Protecci贸n de Datos en Grupo Altabir

Experiencia garantizada

Grupo Altabir庐 una empresa con m谩s de 20 a帽os de experiencia.

Implantaci贸n de Normativas: LOPD - LSSI - RGPD - LOPDGDD

Para Grupo Altabir tu tranquilidad es lo primero.



驴Qui茅nes conf铆an en nosotros?



C/ Luis Amador, 26

Centro de Negocios C谩mara de Comercio

Oficina B-P0

C.P. 18014聽 -聽 GRANADA

Tel茅fonos:聽聽 958 075 564

聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽聽 664 494 322

Escr铆benos a:聽聽 info@altabir.es