Dado que las ópticas y las clínicas oftalmológicas se consideran establecimientos sanitarios y manejan datos de categoría especial, deben cumplir con la normativa vigente de protección de datos y adaptarse al RGPD. En esta entrada explicamos paso a paso cómo llevar a cabo la protección de datos para ópticas, incluyendo modelos de los documentos necesarios para ello.

¿Dónde encontrar la normativa de Protección Datos para ópticas?

Como para el resto de entidades, la normativa de Protección de Datos para ópticas la podemos encontrar recogida tanto en el Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica de Protección de Datos (LOPD); en ambos textos se regulan todas las obligaciones y derechos de la normativa vigente en la materia.

Además, las ópticas también deben tener en cuenta la Ley 41/2002, de Autonomía del Paciente.

¿Cómo deben cumplir las ópticas el RGPD?

Como decíamos al comienzo de esta entrada, debido a la naturaleza de establecimientos sanitarios de las ópticas y/o de las clínicas oftalmológicas, los datos personales que manejan sus clientes o pacientes están dentro de la categoría especial de datos de la salud, especialmente sensibles y especialmente protegidos.

Debido a esto, la adaptación de Ley de Datos para las ópticas es obligatoria y para llevarla a cabo, se deben realizar estas actuaciones principales:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

A continuación vamos a explicar cada una de estas actuaciones, para que sepas qué debes hacer en cada una de ellas.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las opticas

1. Registro de actividades de tratamiento

La protección de datos para empresas de todos los sectores “comienza” con la elaboración del mismo documento, el registro de actividades de tratamiento, con el que se determinan el tipo de datos personales y la cantidad de estos que se manejan en una empresa.

Para hacer una correcta adaptación a LOPD las ópticas también tienen que elaborar este documento, que básicamente responde a las siguientes preguntas:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Es fundamental mantener actualizado el registro de actividades de tratamiento, porque es un documento que la AEPD (Agencia Española de Protección de Datos) puede solicitarnos en el supuesto de que realicen una inspección de nuestra óptica. Podrás tener recogido en formato digital o en soporte papel, puesto que también se admite así.

2. Análisis de riesgos

Una vez qué sabes qué tipo de datos personales estás manejando, tienes que realizar una análisis de riesgos, es decir, determinar qué posibles contingencias pueden surgir del tratamiento de esos datos en tu óptica. Para ello, puedes basarte en esta lista de preguntas, te ayudará a ver varias posibilidades:

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • de salud….
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000…

Pero el informe que saques de este análisis no es algo que debas dejar olvidado en un cajón. En función de los riesgos y amenazas que hayas detectado, tendrás que implementar las medidas de seguridad adecuadas para prevenir y evitarlos. Dichas medidas además deberán estar completamente actualizadas, especialmente cuando hablamos de almacenamiento de datos en sistemas informáticos.

3. Evaluación de impacto

Este paso tendrás que hacerlo sí o sí, porque algunos de los datos que manejas en tu óptica son de categoría especial y tienes la obligación de llevar a cabo una evaluación de impacto para minimizar los daños y perjuicios que puede ocasionar a los interesados (tus pacientes) que sus datos puedan llegar a quedar expuestos de alguna manera.

Protección de datos para ópticas imagen clínica

4. Contratos con terceros

Como cualquier otra empresa, las ópticas tendrán que ceder datos personales en alguna ocasión, por ejemplo, cuando trabajan con laboratorios o contratan algún servicio externo relacionado con el tratamiento de sus pacientes o utilizan algún software de almacenamiento de datos en la nube. En ese sentido y para seguir cumpliendo con la protección de datos, las ópticas deben realizar una lista de todas las empresas o profesionales externos con los que se tiene contacto y con los que se puede llegar a compartir datos personales y asegurarse de que estos cumplen también con la normativa.

Para ello será necesario firmar un contrato de encargo de tratamiento con esos terceros, a través del cual se establezcan las obligaciones de estos a la hora de proteger los datos personales a los que puedan acceder.

Así mismo, también será necesario informar a los pacientes de qué datos personales suyos se ceden a dichos terceros y con qué fin.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

5. Página web de una óptica

Si tu clínica oftalmológica u óptica tiene una página web, del tipo que sea, en ella también debes tomar medidas relacionadas con la protección datos, especialmente incluir los textos que exige la LOPD y la LSSI:

Si ofreces los servicios de asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil o nº de colegiado, si eres autónomo.

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la clínica oftalmológica y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de

  • existencia de un tratamiento de los datos que se le estás solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de pacientes

Siempre que se van a solicitar datos personales o se van a obtener de alguna forma, por ejemplo, al elaborar la ficha de un paciente, es obligatorio obtener el consentimiento expreso del paciente para poder tratar sus datos.

Esto es así porque uno de los principales fines del RGPD es que los ciudadanos sean más conscientes de los datos e información personal que las empresas pueden manejar de ellos y los fines para los que estos se utilizan. Lo que también obliga a que cada que haya un cambio en las políticas de privacidad de la empresa, estemos obligados a comunicárselo a los interesados de manera clara y pública.

El consentimiento se puede solicitar de dos formas:

  • Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que le informes sobre:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • el medio por el que puede ejercer sus derechos ARCO.

7. Derechos de los pacientes de la óptica

Los pacientes de las ópticas tienen los mismos derechos que los usuarios para ejercer sobre sus datos:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
  • En el derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Respecto al derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

Además, es obligación para cumplir con la protección de datos en las ópticas y/o clínicas oftalmológicas, poseer y poner a disposición de los interesados los mecanismos necesarios para que puedan ejercer sus derechos. Dichos medios los indicaremos claramente tanto en el documento de consentimiento a firmar por los pacientes, como en la política de privacidad de la página web (en caso de tenerla).

Protección de datos ópticas imagen conceptual de gafas y letras

8. Contratos con empleados

Dato que los empleados de tu óptica es probable que acaben teniendo acceso a datos personales de tus pacientes, tendrás que asegurarte que ellos también cumplen con la normativa de protección de datos. Para ello tendrán que firmar un acuerdo confidencialidad con el que se evite la filtración de información a personas no autorizadas. Además, también deben cumplir con las medidas de seguridad establecidas por la empresa para garantizar la protección de datos personales.

En ese sentido, tendrás que informarles de las mismas y, en caso necesario, formarles en la prevención de ciertos riesgos, especialmente si tu óptica cuenta con una red internar o almacena datos en la nube a la que todos los empleados puedan tener acceso. A través del phising o empleando técnicas de ingeniería social, los ciberdelincuentes pueden lograr acceder a esos datos por “negligencia” de los trabajadores y la responsabilidad seguirá siendo de tu empresa.

9. Notificar brechas de seguridad

Si en algún momento se produce una brecha de seguridad que deje expuestos los datos personales de tus pacientes, aparte de tomar las medidas oportunas para limitar los daños y solucionarlo lo más rápido posible, de acuerdo al RGPD tienes la obligación de notificar el incidente a los interesados afectados y a la AEPD en un plazo máximo de 72 horas.

Si sufres este tipo de brechas de seguridad, incluso cuando no se pierdan datos personales, tu óptica podría verse sancionada por la AEPD, aunque si demuestras que cumplías con todas las exigencias en materia de protección de datos y contabas con los medios adecuados para intentar prevenir un ataque, se tendrán en cuenta como atenuantes.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

10. Nombra un Delegado de Protección de Datos para las ópticas

La figura del Delegado de Protección de Datos (DPD o DPO) no es obligatoria para todas las empresas, pero dado que las ópticas manejan datos sensibles relacionados con la salud, tendrás que designar a uno de estos profesionales para que se ocupe de la salvaguarda de los procesos y las políticas internas del tratamiento de datos personales.

El DPO puede ser un miembro designado de tu plantilla o una persona o empresa externa que se ocupe de la protección de datos. Elijas lo que elijas para tu óptica, tienes la obligación de informar de la designación y facilitar sus datos de contacto a la AEPD.

Preguntas frecuentes

¿Puedo utilizar Whatsapp para comunicarme con mis pacientes?

Sí, puedes hacerlo. Pero siempre que tengas el consentimiento expreso de tus pacientes para ello.

Esta app de mensajería comparte datos de clientes con Facebook sin comunicárselo de forma clara al usuario ni darle la opción de negarse a ello. Esto es algo ilegal según la actual regulación de datos. Por tanto, el uso de este sistema de comunicación sin consentimiento puede conllevar importantes sanciones.

¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?

Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitárselo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

En el caso de prestadores de servicios sin acceso a datos para ópticas, ¿Cuándo se tratan datos personales?

Cuando prestamos el servicio, no actuamos como Encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.

Es obligación de la clínica, como Responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.

En caso contrario (recibir la información sin datos anonimizados), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.

Cuando no se tenga acceso a datos personales de las clínicas/laboratorios no se deberá firmar un contrato de “Encargado de Tratamiento” en sí. Sin embargo, sí sería necesario firmar un “Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos”, donde se recojan las obligaciones del Responsable y del Encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.

En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos de estos prestadores de servicios son: empresa de limpieza, mantenimiento técnico, cáterings de empresa…

¿Puedo facilitar información del paciente a sus familiares?

La respuesta es, depende. A los familiares se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Deben las clínicas oftalmológicas cumplir los requisitos del RGPD en la instalación de cámaras de videovigilancia?

Por supuesto. En caso de que instalen cámaras de videovigilancia deben:

  • Incluir el correspondiente tratamiento
  • Cumplir el principio de proporcionalidad
  • Informar mediante el correspondiente cartel distintivo

Imagen para protección de datos en ópticas

Modelos

Si necesitas algún tipo de modelo de documento para tu óptica, aquí encontrarás todos los documentos que podrás necesitar para adaptarte a la normativa de Protección de Datos.

Sanciones

Si estás pensando que tu pequeña óptica puede escaquearse de cumplir con la protección de datos, ten en cuenta que existen sanciones económicas para aquellos que cometan infracciones. Las multas pueden alcanzar hasta un 4% de tu facturación anual o los 20 millones de euros).

Aunque antes de llegar a la sanción, es cierto que la AEPD te enviará avisos en forma de requerimientos, advertencias, apercibimientos o incluso órdenes de cese de determinadas actividades de tratamiento de datos personales para que puedas cumplir con la ley.

¿Ya sabes cómo cumplir la normativa de protección de datos en tu óptica? Pues no pierdas más tiempo y ponte con ello, puedes preguntar el precio de adaptar a la LOPD tu óptica justo bajo estas líneas.

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.

  1. Buenas tardes.
    Tengo que ayudar a una óptica a cumplir con el RGPD y estoy un poco perdida con el análisis de riesgo. ¿Saben donde puedo encontrar más información? ¿Si por un casual otra óptica publicó algo similar?
    Yo he mirado el documento que tienen aquí sobre el análisis, pero no entiendo que hay que hacer con los datos que se obtienen de ese cuestionario. Es decir, que según pongas una cosa u otra, ¿qué hay que hacer?
    Muchas gracias y un saludo.

    1. Buenas tardes Mª del Carmen, en el análisis de riesgos deben determinarse los posibles riesgos que pueden derivarse de los tratamientos de datos que se realizan y aplicar las medidas de seguridad necesarias para evitar o reducir esos riesgos. No obstante, te recomiendo que pidas presupuesto para que una empresa especializada os ayude con todo este tema. Te dejo el enlace donde puedes solicitar hasta cuatro presupuestos: https://ayudaleyprotecciondatos.es/empresas/

  2. Buenas tardes.
    ¿Una óptica necesita hacer una Evaluación de Impacto?
    Si el tratamiento es menos de 10.000 clientes y a nivel regional.
    Un saludo.

    1. Buenos días Mª del Carmen, normalmente las ópticas manejan datos de salud de los clientes por lo que sí deben realizar esa evaluación de impacto independientemente del número de clientes. Te dejo un enlace donde puedes pedir presupuesto si necesitas ayuda para adapte a la normativa: https://ayudaleyprotecciondatos.es/empresas/

      1. Buenas tardes Ana.
        ¿Y tiene la obligación de contar con un DPD? ¿O basta con tener a alguien con conocimientos en materia de protección de datos?

        1. Buenas tardes Mª del Carmen, la necesidad de nombrar un DPD depende del volumen de datos que se manejan, hablaríamos de más de 25.000 clientes, por lo que es posible que no tengan obligación de contratarlo. Lo que sí es recomendable es tener algún experto que os ayude con la adaptación. El DPD puede ser una persona externa o alguien de la propia empresa con conocimientos y experiencia en la materia.

  3. Buenos días.
    Según mis comentarios anteriores, hay que realizar una EIPD de las ópticas.
    Ahora bien, acabo de leer en un documento de la AEPD (https://www.aepd.es/media/criterios/wp248rev01-es.pdf) concretamente en la página 13 en la tabla la fila 3 empezando por abajo dice lo siguiente: «Un tratamiento de «datos personales de pacientes o clientes por un solo médico, otro profesional de la salud o abogado» (considerando 91).» Entonces mi pregunta es: ¿qué diferencia hay entre un médico y un oftalmólogo? Si en ambos caso es una sola persona la que trata los datos.
    Gracias y un saludo.

    1. Buenas tardes Mamen, más que el hecho de ser o no un solo médico, la necesidad de realizar una EIPD está en el número de datos que maneja, es decir, la cantidad de pacientes que tenga. No obstante, en caso de tratar datos de salud yo recomiendo hacer siempre esa EIPD, al ser datos especialmente protegidos.