Las residencias tratan información de un sector de la población, el de la tercera edad, que precisa una especial protección, ya que en muchas ocasiones se encuentran en una situación que les impide conocer y ejercitar sus derechos en igualdad de condiciones.

Por ello, estos centros deben tener una especial diligencia en el tratamiento de los datos de sus residentes.

Y, por supuesto, cumplir lo establecido en el RGPD.

¿No sabes cómo hacerlo?

Tranquilo.

En este post te doy los pasos a seguir para adaptar tu residencia de ancianos a la nueva normativa de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos para las residencias de ancianos son:

¿Cómo deben cumplir las residencias de ancianos el RGPD?

Las residencias geriátricas forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, entre ellos datos sensibles, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un anciano ingresa en el centro estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu residencia de ancianos para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los residentes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Pero no te preocupes, te explico paso por paso todo lo que debes hacer.

Vamos a ello!

1. Registro de actividades de tratamiento

Lo primero que debes tenerse en cuenta es qué tipo de datos manejas y qué cantidad.

Debes responder a preguntas como:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Así de simple.

Ni más ni menos.

Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

Seguimos.

En la residencia de ancianos debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • de salud …
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Y luego ¿qué?

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

3. Evaluación de impacto

Aquí viene la parte más complicada.

Atento.

Además, al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

Resumiendo.

Las residencias geriátricas realizan un tratamiento de categorías especiales de datos ya que manejan datos de salud de sus residentes. Por tanto, estás obligado a realizar esa Evaluación de impacto.

4. Contratos con terceros

Las residencias de la tercera edad se relacionan también con terceros que disponen de algunos de los datos de los usuarios.

¿Como quién?

La gestoría que te lleva los temas fiscales y las nóminas de los empleados.

La empresa informática que realiza el mantenimiento de los equipos.

Las farmacias a las que entregas las recetas de los residentes…

Todos ellos acceden a datos de tus residentes o empleados.

Así que, además de tener un registro de actividades de tratamiento, debes tener presente una lista de esas empresas externas con las que tienes contacto, y asegurar que también cumplan la normativa de Protección de Datos.

Numerosos centros geriátricos recurren con regularidad al software de gestión de residentes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

¿Y qué hago?

Deben aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que hay que estar seguros de que el residente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

Si en tu residencia de ancianos tienes una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la residencia y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de residentes

Esto es algo muy importante.

Así que no lo olvides.

Además de actualizar la política de privacidad,en  la residencia de ancianos debes tener el consentimiento expreso de todos tus residentes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

  • Si el cliente/residente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el paciente facilite sus datos personalmente en el centro, debe firmar un documento en el que se le informe sobre:
    • responsable del tratamiento,
    • finalidad para la que se van a usar los datos,
    • si se van a ceder a terceros y
    • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos.

Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En la residencia de ancianos debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los residentes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

En cuanto al derecho al olvido, el paciente/residente puede solicitar que se eliminen o se oculten los datos que le conciernen. Te recuerdoque en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

8. Contratos con empleados

¿Tienes empleados en tu residencia?

Pues esto te interesa.

Los empleados tienen acceso a toda la información que maneja la residencia y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En un centro geriátrico, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con familiares de los residentes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción en la residencia de ancianos, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

10. Nombrar un DPD

Puede ser necesario que en la residencia geriátrica, por el volumen de datos que trates, debas designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Puedo dar información a los familiares acerca de los residentes?

Para contestar esta pregunta debemos analizar, en un primer momento, si la persona afectada tiene capacidad plena de obrar. En este caso sería dueña de sus propios datos y la cesión de los mismos debe realizarse mediante consentimiento expreso y escrito.

De no ser así, serán sus representantes legales quienes accedan a dicha información, ya que actúan en nombre y representación del afectado.

¿Cuánto tiempo puedo guardar los expedientes de los residentes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

¿Puedo publicar fotografías de los residentes realizadas en actividades en el centro?

No, no puedes publicarlas. Salvo que tengas el consentimiento expreso de los residentes o de sus representantes legales.

La publicación en una página web de las fotos constituye una cesión o comunicación de datos de carácter personal. La cesión es definida como “Toda revelación de datos realizada a una persona distinta del interesado”. Y requiere el consentimiento del afectado.

¿Qué tengo que hacer si instalo cámaras de videovigilancia?

Si en tu residencia de mayores instalas un sistema de Vídeo Vigilancia también debes cumplir los siguientes requisitos:

  • Instalar carteles informativos en todas las entradas al centro,
  • incluir esas grabaciones en el Registro de actividades de tratamiento,
  • no guardar grabaciones después de 30 días,
  • las cámaras deberán respetar la intimidad de las personas y no podrán grabar en espacios públicos, solo el interior del local,
  • si tenemos una pantalla donde vemos las grabaciones, ésta solo debe estar visible por personal autorizado y
  • debemos tener un Impreso donde informe de:
    • existencia de las grabaciones,
    • fin para el que se recogen dichas grabaciones,
    • posibilidad de que un cliente pueda ejercer sus derechos y
    • identidad del responsable de esta información.

¿Puedo contratar una empresa externa para destruir los historiales clínicos?

puedes. Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu residencia de ancianos a la normativa de Protección de Datos.

Sanciones

La nueva normativa de protección de datos prevé un régimen sancionador que ha endurecido las sanciones del RGPD en este ámbito.

Entre las principales novedades está el incremento del importe que habremos de pagar por infracciones cometidas por la vulneración del derecho a la protección de datos. Las sanciones pueden oscilar entre diez y veinte millones de euros y, si se tratara de una empresa, se establece una regla técnica por la que se impondrá una cuantía equivalente al 2 o al 4 %, como máximo, del volumen de negocio en el cómputo anual del ejercicio financiero inmediatamente anterior. Se optará por la sanción de mayor cuantía.

Y no se admiten excusas.

Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a residencias de mayores.

Facilitar datos de ancianos a una farmacia

El listado aportado por la residencia de ancianos contenía los siguientes campos de información: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social. En los contratos suscritos entre la residencia y los residentes no se informa a los mismos de esa cesión de datos ni sobre los derechos que les asisten.

No atender el ejercicio del derecho de acceso a historia clínica del residente por un familiar

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. El derecho de acceso del paciente a la historia clínica puede ejercerse también por representación debidamente acreditada. Los centros sólo facilitarán el acceso a la historia clínica de los pacientes fallecidos a las personas vinculadas a él, por razones familiares o de hecho, salvo que el fallecido lo hubiese prohibido expresamente y así se acredite. Resolución AEPD R/02421/2017

Espero haberte aclarado todo lo que debes hacer para adaptar tu residencia de ancianos a la normativa de Protección de Datos y evitar ser sancionado.

Lo más difícil no es cumplir el deber, sino conocerlo.

Ahora ya lo conoces.

Así que espero que lo cumplas.

¿Necesitas cumplir el RGPD?

Protección de datos en residencias de ancianos
4.6 (92.5%) 8 votos