Dado que entre los datos personales que manejan, se encuentran datos de categorías especiales, la normativa sobre protección de datos en una clínica dental debe ser cumplida con atención. En esta entrada vamos a explicar los pasos a seguir para adaptar estas clínicas a la LOPD y el RGPD.

Normativa de Protección de Datos

Si necesitas saber dónde se regula la Protección de datos en España para ver qué normativa estás obligado a cumplir, lo encontrarás en las siguientes leyes y reglamentos:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos
  • Ley 41/2002, de Autonomía del Paciente.

¿Cómo deben cumplir las clínicas dentales el RGPD?

Las clínicas dentales forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.

Por una clínica dental pasa documentación y datos personales de sus clientes en grandes cantidades. Cada un cliente solicita los servicios como dentista, estás manejando datos de carácter personal de terceros. Para llevar a cabo un correcto manejo este tipo de datos, es preciosa la adaptación a la Ley de Protección de Datos de los dentistas y la gente que trabaja en la clínica (como veremos más adelante).

Las principales actuaciones que deben realizar estas clínicas respecto al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en una clinica dental

1. Registro de actividades de tratamiento de una clínica dental

El primer paso para adaptarse y cumplir con la normativa vigente, es saber qué tipo de datos manejas y en qué cantidad. Para ello puedes recurrir a las respuestas de estas preguntas, que sirven tanto para grandes como para pequeñas clínicas dentales (especialmente estas últimas, puesto que clínicas del tipo franquiciado ya contarán con un encargado y un responsable del tratamiento de datos):

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Con esto podrás realizar un registro de actividades de tratamiento de datos, que deberás mantener actualizado y disponible en todo momento, puesto que si la AEPD realiza una inspección a tu clínica, tendrás la obligación de entregárselo. Este documento se puede elaborar tanto en formato electrónico (recomendado) como en soporte papel.

2. Análisis de riesgos

Otro paso para la adaptación a la LOPD para los dentistas o dueños de clínicas dentales es realizar un análisis del riesgo. En este análisis se deben valorar las posibles contingencias de los tratamientos de datos que se realicen, teniendo en cuenta para ello, entre otras, las siguientes cuestiones:

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • Identificativos
    • bancarios
    • de salud…..
  • el número de interesados afectados,
    • 1.000
    • 5.000
    • 50.000…..

Evidentemente, el análisis de riesgos debes emplearlo para tomar o implementar las medidas de seguridad necesarias para prevenir y evitar que los riesgos se conviertan en realidad. Estas medidas de seguridad deberán, además, ser las más avanzadas posibles; por ejemplo, contar con un sistema de cifrado obsoleto puede ser motivo de sanción.

3. Evaluación de impacto

Al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Las clínicas dentales estarían obligadas a realizar esa Evaluación de impacto ya que tratan categorías especiales de datos. Es decir, manejan datos de salud de sus pacientes.

Imagen protección datos clínica dental vista clínica

4. Contratos con terceros

La cesión de datos personales a terceros es algo muy habitual para cualquier tipo de empresa o entidad, esto se debe a que muchas veces hay servicios que se externalizan. En el caso de las clínicas dentales, por ejemplo, podría ser el facilitar datos de los pacientes a laboratorios protésicos o el simple hecho de contratar a otra empresa para que lleve a cabo las tareas de mantenimiento de los equipos informáticos.

Estas empresas a las que puedes acabar cediendo los datos de tus clientes son a su vez encargados de tratamiento, por lo que deberás llevar un listado de las mismas, para poder asegurarte de que ellas también cumplen con la normativa de Protección de Datos.

Además, numerosas clínicas dentales recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

Si es tu caso, deberás aclarar con tus proveedores de TI y de software cómo han adaptado sus sistemas a la implementación del RGPD. Para ello puedes recurrir a un cuestionario o una lista de verificación exhaustiva, que te ayudarán a comprender los flujos de datos y poder identificar posibles vulnerabilidades.

También debes asegurarte de que el paciente sepa qué datos suyos se recopilan a través de estas empresas.

Para cumplir con la ley en este aspecto, tendrás que firmar un contrato de encargo de tratamiento con cada tercero al que vayas a ceder datos personales de tus clientes, en el que se establecerán las obligaciones de cada parte para proteger dichos datos.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

5. Página web de clínicas dentales

Aunque tu labor la desarrollarás en tu clínica dental, es más que probable que cuentes con una página web en la que ofrezcas desde información sobre los tratamientos que lleváis a cabo como asesoramiento. En ese caso, tu web deberá incluir los textos exigidos por la LOPD y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil o nº de colegiado, si eres autónomo.

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la clínica dental y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de

  • existencia de un tratamiento de los datos que se le estás solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de pacientes

Esto es muy importante.

Espero que ya lo estés haciendo.

Además de actualizar la política de privacidad, en la clínica dental debes tener el consentimiento expreso de todos tus pacientes para poder tratar sus datos.

Este consentimiento puedes solicitarlo de dos formas:

  • Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En la clínica dental deben disponer de mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

En cuanto al derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen, como su ficha electrónica dental. Te recuerdo que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Imagen protección datos clínica dental radiografía

8. Contratos con empleados

Todos los empleados de la clínica dental deberán firmar un compromiso de confidencialidad, puesto que es muy probable que tengan acceso a información y datos personales de los pacientes. De esta forma, se evita que se revele información sensible a personas no autorizadas. Además, los empleados deben cumplir con las normas de seguridad establecidas para garantizar la protección de los datos personales.

Ten en cuenta que el contrato con la clínica dental que firma el empleado no es el compromiso de confidencialidad.

Por otro lado, y dado que muchas de las comunicaciones entre empleados o entre clientes y empleados puede realizarse por email, tendremos la responsabilidad de informar y formar a nuestros empleados sobre los posibles riesgos de ciberseguridad que pueden poner en peligro la privacidad de los datos. Advertirles para que puedan prevenir ataques de phising, por ejemplo, en sus correos electrónicos.

9. Notificar brechas de seguridad

Entre las obligaciones que recogen el RGPD y la protección de datos para empresas está la de informar en caso de que se produzcan brechas de seguridad. Si se produce un ciberataque que ponga en riesgo la privacidad de los datos personales de los pacientes, tienes la obligación de informar tanto a los afectados cuyos datos hayan podido quedar expuestos, como a la AEPD, para lo que tienes un límite máximo de 72 horas.

Para poder responder y notificar de un problema de seguridad en el menor tiempo posible, debes tener preparados un plan o protocolo de respuesta ante este tipo de incidentes. Ten en cuenta que la única forma de que no te apliquen una sanción por dejar datos expuestos en un ataque, es demostrar que habías tomado todas las medidas que exige la ley en esta materia.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas.

10. Nombrar un Delegado de Protección de Datos

Dada la categoría especial de los datos que manejarás en tu clínica dental, es probable que tengas que designar a un Delegado de Protección de Datos (DPD o DPO); se trata un profesional con la cualificación y los conocimientos necesarios sobre la materia, que se encargará de salvaguardar los procesos y políticas del tratamiento de datos personales.

El RGPD establece que tanto la designación del DPD como sus datos de contacto deben ser públicos y has de comunicarlos a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Puedo utilizar Whatsapp para comunicarme con mis pacientes?

Sí, puedes hacerlo. Pero siempre que tengas el consentimiento expreso de tus pacientes para ello.

Esta app de mensajería comparte datos de clientes con Facebook sin comunicárselo de forma clara al usuario ni darle la opción de negarse a ello. Esto es algo ilegal según la actual regulación de datos. Por tanto, el uso de este sistema de comunicación sin consentimiento puede conllevar importantes sanciones.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

¿Las clínicas pequeñas o medianas deben adaptarse a la normativa de protección de datos vigente?

Sí, las clínicas pequeñas o medianas también tienen la obligación de adaptarse al RGPD.

En el caso de prestadores de servicios sin acceso a datos para clínicas dentales, ¿Cuándo se tratan datos personales?

Cuando prestamos el servicio, no actuamos como Encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.

Es obligación de la clínica, como Responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.

En caso contrario (recibir la información sin datos anonimizados), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.

Cuando no se tenga acceso a datos personales de las clínicas/laboratorios no se deberá firmar un contrato de “Encargado de Tratamiento” en sí. Sin embargo, sí sería necesario firmar un “Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos”, donde se recojan las obligaciones del Responsable y del Encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.

En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos de estos prestadores de servicios son: empresa de limpieza, mantenimiento técnico, cáterings de empresa…

¿Puedo facilitar información del paciente a sus familiares?

La respuesta es, depende. A los familiares se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Deben las clínicas dentales cumplir los requisitos del RGPD en la instalación de cámaras de videovigilancia?

Por supuesto. En caso de que instalen cámaras de videovigilancia deben:

  • Incluir el correspondiente tratamiento
  • Cumplir el principio de proporcionalidad
  • Informar mediante el correspondiente cartel distintivo

Imagen protección datos clínica dental concepto dentista

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu clínica dental a la normativa de Protección de Datos.

Sanciones

Es importante que tengas en cuenta que no cumplir con la LOPD tiene precio para los dentistas. Las infracciones que puedas cometer, en función de su gravedad y del tipo de datos personales del que estemos hablando, pueden acarrear sanciones económicas que pueden alcanzar el 4% de la facturación anual de tu clínica o los 20 millones de euros.

Ten en cuenta que la sanción se puede aplicar incluso cuando no haya pérdida de datos en sí. Y esto se aplica para grandes empresas como para las pequeñas.

Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a clínicas dentales.

No atender debidamente el ejercicio del derecho de acceso por un paciente

El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Resolución AEPD R/02852/2015

No destruir de forma segura las historias clínicas de los pacientes

El responsable del tratamiento está obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos personales registrados en sus ficheros, y, entre ellas, las dirigidas a impedir el acceso no autorizado por parte de terceros a tales datos. Resolución AEPD R/00743/2015

Si quieres evitar sanciones, adapta tu clínica la normativa de Protección Datos.

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. la clínica dental donde he ido ha facilitado a una tercera persona que no es ni mi familia datos de que mi caso es difícil,que no me dejo ayudar, entre otras cosas eso incumple la protección de datos de la relación paciente/profesional?¿