Desde que se puso en marcha el nuevo RGPD y hasta el momento actual, una de las dudas que me he encontrado en estos meses es si tengo o no que tener implantada la Protección de Datos en mi empresa y, cuando hablamos de centros que registran datos de salud (clínicas, fisioterapeutas, oftalmólogos, odontólogos…) qué es lo que tengo que hacer para cumplir con la normativa.

La Protección de Datos es una normativa obligatoria para todas las empresas que tienen un tratamiento continuado de datos personales. Aquí incluiríamos prácticamente todas las empresas, independientemente de su tamaño, actividad y forma jurídica.

Ahora bien, si en mi empresa trato datos de salud, es importante tener claro qué debo de hacer y no quedarme con una implantación de forma, sino de fondo.

En estos centros se recoge información trascendental de los pacientes e incluso de los empleados y es importante el compromiso con la confidencialidad de todos los datos recogidos y la gestión de estos datos y es importante garantizar que se cumple con la Ley.

1.    Haremos un Análisis de la empresa identificando qué datos personales se tratan y realizaremos su correspondiente registro de tratamiento de datos. A su vez analizaremos si tratamos Datos Propios o también tratamos Datos de Terceros.

Podremos encontrarnos con datos como:

• Gestión de Clientes
• Gestión de Historial Clínico
• Gestión de Personal
• Gestión de Potenciales Clientes
• Gestión de Proveedores
• Videovigilancia….

2.       Estudiaremos la finalidad para la que recogemos esos datos y la legitimación, las categorías de datos, destinatarios, si vamos a realizar trasferencias de datos a terceros países o internacionales, los plazos previstos de supresión…

3.       Una vez registrados los datos haremos su correspondiente Análisis de riesgos, es decir, qué riesgos conlleva el tratar esos datos en nuestro centro.

4.    Estableceremos las Medidas de Seguridad para evitar problemas. Tenemos que ser conscientes de que NO ES EL MISMO RIESGO EL QUE SE DA EN EL TRATAMIENTO DE DATOS, POR EJEMPLO, DE LOS EMPLEADOS QUE EL QUE SE DA EN EL TRATAMIENTO DE DATOS DE PACIENTES.

5.    Elaboraremos el Documento de Seguridad que contendrá:

• El Documento de Cumplimiento
• registro de actividades de tratamiento
• análisis de riesgos
• medidas de seguridad
• funciones y obligaciones del personal
• perfiles de usuarios y accesos autorizados
• compromisos de confidencialidad
• contratos de acceso a datos con encargados
• contratos de acceso a datos con responsables
• registro de incidencias
• protocolos de atención a los derechos
• clausulas legales
• documentación adicional:

1. declaración responsable de cumplimiento
2. acuerdo de corresponsables
3. información para soportes electrónicos  (Política de Privacidad, Aviso Legal)
4. documentación para la garantía de los derechos digitales
5. carteles informativos

Esta sería la documentación que tenemos que tener para empezar a cumplir con la normativa y os preguntaréis el porqué. Está muy claro. Para cumplir con la Protección de Datos tenemos que tener toda la documentación registrada y actualizada pero, una vez que la tenemos es cuando tenemos que empezar a trabajar con ella.

CONSENTIMIENTO: Si hacemos uso de los datos de nuestros pacientes necesitamos tener su consentimiento, pero un consentimiento expreso, es decir, necesitamos recoger su firma. Tenemos el Deber de Informar y tenemos la obligación de demostrar que hemos informado.

CLAUSULAS: Tenemos que tener todas las clausulas correctamente. Si hablamos de la Clausula de Tratamiento de Historial Clínico, ésta incluirá:

1.       Descripción

2.       Finalidad Resumida

3.       Finalidad Detallada

4.       Si se van a tomar decisiones automatizadas

5.       El plazo de conservación

6.       La legitimación

7.       Si se van a ceder los datos

8.       Si se van a realizar transferencias internacionales

9.       Los Derechos

10.   La procedencia

11.   Dónde Consultar más información sobre nuestra Protección de Datos.

CONFIDENCIALIDAD: En estos centros los datos que se tratan pueden llegar a ser extremadamente sensibles y, por lo tanto, estamos obligados a que todo el personal que accede a datos dentro de nuestra empresa firme un compromiso de confidencialidad.

CONTRATOS CON TERCEROS: Es importante y obligatorio tener los contratos, tanto con Responsables como con Encargados donde queden registradas las funciones y obligaciones en materia de protección de datos.

EIP (EVALUACIONES DE IMPACTO):  Al tratar datos sensibles es necesario realizar una EIP para analizar previamente los riesgos que conlleva esta tratamiento y gestionar esta información correctamente.

FORMACIÓN: es importante que el Responsable designado para llevar la Protección de Datos dentro de la empresa tenga la formación correspondiente en materia de LOPD para saber si se cumple o no con la normativa. Esto es independiente a que tengan contratado este servicio a una consultoría externa.

Estos Centros, debido al nivel de datos que tratan, están obligados a hacer auditorías.

Esta auditoría se puede realizar de forma interna o externa, pero, desde mi punto de vista, aconsejo que sea la propia Consultora, en coordinación con el equipo del centro, quien realice este trabajo puesto que esta auditoría irá acompañada de un informe donde se analizará todo e incluso, en el caso de encontrar deficiencias, se recomendarán las medidas correctoras.

Este informe quedará a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.

Al Custodiar historiales clínicos con datos de salud, estos centros están obligados a contar con la figura del Delegado de Protección de Datos.

Existe la posibilidad de contratar un DPO externo o de disponer de un delegado interno, pero siempre y cuando sea alguien que acredite la formación correspondiente.

Los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento, siempre y cuando no sea un paciente al que continuamos dando servicio que, en ese caso, se mantendría toda la documentación hasta que finalice nuestra relación contractual.

No obstante dependiendo de la Comunidad Autónoma donde esté el centro implantado hay diferentes plazos de conservación.

Cumplir con la LOPD en empresas de este sector no tiene porqué ser una preocupación, lo importante es contratar este servicio a una Consultora con su correspondiente DPO que, en coordinación con el responsable designado por la empresa, gestione toda la documentación correctamente, con sus correspondientes Análisis de riesgos, EIP y sus auditorías PERIÓDICAS puesto que el incumplimiento nos puede ocasionar sanciones de las denominadas MUY GRAVES, cuyo importe puede ser muy elevado. 

CONTRATA AHORA TU PROTECCIÓN DE DATOS Y TE EVITAREMOS SANCIONES INNECESARIAS PORQUE PARA ALTABIR LA TRANQUILIDAD DE NUESTROS CLIENTES ES LO PRIMERO

Artículo publicado por Elisa Campoy Soler

Consultora Experta y Delegada de Protección de Datos en Grupo Altabir