Los fisioterapeutas tratan datos de salud todos los días; historiales clínicos de sus pacientes, consentimiento informado, pruebas de diagnóstico o tratamientos, contienen datos de categoría especial, lo que obliga a las clínicas de fisioterapia a cumplir con la Ley de Protección de Datos de manera escrupulosa. En esta entrada explicamos los pasos que deben dar las clínicas de fisioterapia para adaptarse al RGPD.

Normativa de Protección de Datos

Como para cualquier otra empresa, los textos legales en los que se regula la protección de datos para fisioterapia los encontramos en:

Y con carácter particular, en la Ley 41/2002, de Autonomía del Paciente.

¿Cómo deben cumplir los fisioterapeutas el RGPD?

Como cualquier empresa o negocio que trate con clientes particulares, las clínicas de fisioterapia también manejan una gran cantidad de datos personales de sus pacientes, pero además, parte de esos datos son de los considerados como categoría especial al tratarse de datos de la salud, por ello, tanto si se trata de un fisioterapeuta autónomo como una clínica, deben adaptarse a la normativa vigente de protección de datos.

Las empresas que deben adaptar su protección de datos deben llevar a cabo una serie de actuaciones, siendo las principales las siguientes:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

A continuación te explicamos paso por paso cómo adaptar la protección de datos de tu clínica de fisioterapia.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las clinicas de fisioterapia

1. Registro de actividades de tratamiento de una clínica de fisioterapia

El primer paso es elaborar un registro de actividades de tratamiento de los datos que manejas en tu clínica de fisioterapia; para ello puedes ayudarte de una serie de preguntas con las que obtengas qué tipo de datos manejas y en qué cantidad:

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

Debes responder a preguntas como:

  • Tipo de datos que recopilo
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedo esos datos o los transfiero fuera de nuestro país
  • Medios de tratamiento

El registro de actividades de tratamiento puede elaborarse tanto en formato electrónico como en soporte papel, pero en cualquier caso debe estar siempre actualizado, puesto que es uno de los documentos que la Agencia Española de Protección de Datos (AEPD) puede solicitarte en caso de inspección.

2. Análisis de riesgos

Para proteger adecuadamente los datos personales de los pacientes de tu clínica de fisioterapia, antes debes conocer a qué riesgos están expuestos; para ello el siguiente paso debe llevar a realizar un análisis de los mismos.

A través de este análisis de riesgos tendrás que valor el tipo de contingencias de los tratamientos de datos que realices y cómo realices esos tratamientos. Una forma de llevarlo a cabo es respondiendo a esta lista de cuestiones:

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos:
    • Identificativos
    • financieros
    • de salud …
  • el número de interesados afectados:
    • 1.000
    • 5.000
    • 50.000 …..

Este análisis debe llevarte a implementar las medidas de seguridad adecuadas para proteger la privacidad de tus pacientes y de sus datos personales. Es importante, sobre todo cuando se almacenan en medios informáticos, contar con las medidas de seguridad más actuales, puesto que carecer de ellas puede ser motivo de sanción, como por ejemplo no contar con un firewall adecuado o un antivirus desactualizado.

3. Evaluación de impacto

Aunque no todas las empresas deben llevar a cabo este paso, los fisioterapeutas sí tendrán que hace una evaluación de impacto de los riesgos más elevados, puestos que se están manejando datos de categoría especial, puesto que los datos de la salud de las personas se consideran sensibles.

Una vez más, realizar esta evaluación debería llevarte a implementar medidas de seguridad adecuadas, para asegurarte de que estos datos no corren riesgo de quedar expuestos ante terceros o de ser robados.

Por ejemplo, ¿cómo archivas la ficha de un paciente de fisioterapia?, ¿en formato físico en un fichero o en una carpeta en el ordenador?

Imagen clínica fisioterapeuta protección de datos

4. Contratos con terceros

En el día a día de una clínica de fisioterpia se comparten o ceden datos de los pacientes o los empleados con terceros (como puede ser una gestoría, un colaborador externo, la empresa que te lleva el mantenimiento informático, el profesional que te envía un paciente, etc.). Es obligación del fisioterapeuta autónomo o clínica de fisioterapia para cumplir con la protección de datos elaborar una lista de esos terceros a los que se les pueden llegar a ceder datos personales de los pacientes y asegurarse de que cumplen también con la normativa vigente en la materia.

Esto es especialmente importante si utilizas algún tipo de software de almacenamiento en la nube para gestionar los historiales de tus pacientes.

Con las empresas o profesionales recopilados en esa lista, deberás firmar un contrato de encargo de tratamiento para establecer las obligaciones de estos para proteger los datos personales a los que tengan acceso como consecuencia de vuestra relación profesional.

Así mismo, también debes informar al paciente de qué datos suyos vas a compartir con estos terceros y para qué serán usados.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

5. Página web de una clínica de fisioterapia

Si tu clínica de fisioterapia o tú como fisioterapeuta autónomo tenéis una página web en la que informéis de vuestros servicios o asesoréis a posibles clientes, debes tener en cuenta que también debes adaptarla al RGPD y a la LSSI. Para ello debes incluir los textos exigidos por le ley:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Os detallamos el contenido de cada uno de ellos:

Aviso legal

Este es el documento donde se identifica al propietario de la página web.

En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nª de inscripción en el Registro mercantil o nº de colegiado, si eres autónomo.

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la clínica de fisioterapia y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde utilizas esos datos?
  • ¿Lo está haciendo con el consentimiento de los usuarios?
  • ¿Tienes fines comerciales?
  • ¿Realizas cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de pacientes

Contar con el consentimiento informado en fisioterapia, como en cualquier procedimiento médico, es una de las obligaciones de las clínicas y profesionales que llevan a cabo estos tratamientos. Pues igual de importante en relación a la protección de datos es contar con el consentimiento expreso de todos los pacientes para poder tratar sus datos personales.

El consentimiento de los pacientes puede recogerse de dos formas:

  • Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • el medio por el que puede ejercer sus derechos ARCO.

El RGPD tiene como uno de sus fines principales que los usuarios o clientes sean más concientes de la información personal de la que disponen las empresas sobre ellos y para qué se utiliza esta. De manera que cualquier cambio sobre el tratamiento de datos personales que vayas a hacer, debes comunicárselo a los interesados (ya sean tus clientes o tus empleados), a través del medio más conveniente para llegar a todos (anuncio en la página web o través de tus redes sociales, por ejemplo).

7. Derechos de los usuarios

Desde que entró en vigor el RGPD, los interesados, que son los dueños de los datos personales que han cedido a tu clínica de fisioterapia, pueden ejercer una serie de derechos sobre esos datos:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Para facilitar el cumplimiento del derecho de portabilidad, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

También es responsabilidad y obligación de la clínica de fisioterapia o del profesional proveer de los mecanismos necesarios para que los interesados puedan ejercer estos derechos. Estos medios aparecerán indicados en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

Imagen fisioterapeuta protección de datos

8. Contratos con empleados

Aunque no a todos, es muy probable que tus empleados tengan acceso a algunos datos personales de los clientes, especialmente los fisioterapeutas, que tendrán que manejar fichas de pacientes o algún tipo de modelo de consentimiento informado para tratamiento de fisioterapia. Por ello debes asegurarte que ellos también cumplen con la protección de datos, para lo que necesitas que firmen un documento legal que garantice la confidencialidad.

Además, ten en cuenta que los empleados pueden ser una vulnerabilidad en la seguridad de los datos que manejas, especialmente si tienen acceso al sistema informático en el que los almacenas. Por ello, debes informarles o, incluso, darles la formación necesaria para que puedan evitar los ciberataques a través de sus cuentas de correo internas o y usan los ordenadores de la empresa para navegar por Internet.

9. Notificar brechas de seguridad

Aun poniendo todos los medios para prevenir y evitar la pérdida o robo de datos, puede ocurrir que la base de datos de tu clínica de fisioterapia sufra un ciberataque y los datos personales de tus pacientes puedan quedar al descubierto, ser robados o usados con fines fraudulentos.

Si esto ocurre, el RGPD establece que tienes un plazo máximo de 72 horas para notificar tanto a los interesados (tus pacientes) como a la AEPD. Lo ideal para poder responder rápido ante este tipo de brechas en la seguridad es contar con plan de actuación para hacer frente a esta situación.

Además, ten en cuenta que si demuestras que has puesto y tomado todas las medidas de seguridad adecuadas para prevenir y evitar ataques, esto se considerará como un atenuante de la posible sanción que te puedan aplicar.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

10. Nombra un Delegado de Protección de Datos para tu clínica de fisioterapia

La figura del delegado de protección de datos (DPD o DPO) no es obligatoria en todas las empresas, sin embargo, al tratarse con datos de categoría especial, tu clínica de fisioterapia sí tendrá la obligación de contar con este profesional cualificado para salvaguardar los procesos y políticas internas del tratamiento de datos personales.

Podrás contratar aun DPD externo, tanto a un autónomo como a una empresa que se dedique a la protección de datos, como nombrar a un miembro dentro de la plantilla. En cualquier caso, tendrás informar de la designación a la AEPD, así como de los datos de contacto del mismo.

Preguntas frecuentes

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

Si trabajo con mutuas y/o aseguradoras, ¿por qué me están obligando a cumplir la normativa de protección de datos?

Por la sencilla razón de que sería sancionable para ellas contratar a una clínica que no cumpla con la normativa.

Estas compañías pueden establecer fuertes obligaciones, incluso llegar a realizar auditorías presenciales externas por parte de un tercero a nuestro centro, para comprobar qué medidas de seguridad aplicamos a los datos y la correcta actualización del Registro de Actividades de Tratamiento.

Es normal que estas compañías quieran asegurarse del cumplimiento de la normativa pero sería abusivo que estas auditorías externas se realicen con demasiada frecuencia.

¿Puedo contratar una empresa externa para destruir los historiales clínicos?

Sí puedes. Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

¿Puedo utilizar Whatsapp para comunicarme con mis pacientes?

Sí, puedes hacerlo. Pero siempre que tengas el consentimiento expreso de tus pacientes para ello.

Esta app de mensajería comparte datos de clientes con Facebook sin comunicárselo de forma clara al usuario ni darle la opción de negarse a ello. Esto es algo ilegal según la actual regulación de datos. Por tanto, el uso de este sistema de comunicación sin consentimiento puede conllevar importantes sanciones.

¿Puedo facilitar información del paciente a sus familiares?

La respuesta es, depende. A los familiares se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Es necesario cifrar los datos de las historias clínicas?

No es obligatorio cifrar esos datos. Las historias clínicas deben almacenarse bajo llave, si están en papel, o con las contraseñas de acceso adecuadas, si están en soporte informático, para evitar accesos no autorizados.

No se deben enviar datos de salud por correo electrónico o por cualquier red pública, si fuera imprescindibles es necesario cifrar los datos.

Imagen clínica fisioterapia protección de datos

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu clínica de fisioterapia a la normativa de Protección de Datos.

Sanciones

No cumplir con la Ley de Protección de Datos o no adaptar tu clínica de fisioterapia al actual RGPD puede suponer infracciones y estas llevan aparejadas sanciones económicas, que pueden ascender bien al 4% de la facturación anual o a los 20 millones de euros. Además estas sanciones pueden imponerse incluso cuando no hay pérdida de datos en sí. Y no hay excepciones para empresas pequeñas, puesto que la ley obliga a todo tipo de empresas o entidades, con independencia de su tamaño.

Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a clínicas de fisioterapia.

No destruir adecuadamente los historiales clínicos de los pacientes

El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Resolución AEPD  R/02304/2011

No atender debidamente el ejercicio de los derechos de rectificación y cancelación

Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos. Resolución AEPD R/01069/2011

Y ahora que ya conoces tus obligaciones en materia de protección de datos empieza cuanto antes a cumplir el RGPD en tu clínica de fisioterapia.

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.