El nuevo Reglamento de Protección de datos afecta a todas las empresas y su forma de trabajar. Pero…

¿qué ocurre con las clínicas veterinarias?

Las clínicas veterinarias, como cualquier otra empresa, recaban datos personales de clientes (propietarios de los animales), proveedores, personal etc. que son susceptibles del tratamiento.

Por lo que le es de aplicación esta normativa.

¿Sabes cómo cumplirla?

En este post encontrarás todo lo que debes hacer para adaptar tu clínica veterinaria a la normativa de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos son:

  • RGPD (vigente a partir del 25 de mayo en toda Europa)
  • LOPD (España)
  • Nueva LOPD (pendiente de aprobar aún en España)
  • LSSI (regula los servicios de la sociedad de la información y el comercio electrónico)

¿Cómo deben adaptarse las clínicas veterinarias al RGPD?

Las clínicas veterinarias manejan una gran cantidad de datos de clientes, empleados y proveedores, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un cliente te deja sus datos cuando lleva a su mascota a la clínica, contratas con los profesionales y empresas externas servicios de mantenimiento, o cedes los datos de tus empleados para elaborar las nóminas, estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu clínica veterinaria para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Firmar los contratos con terceros
  3. Incluir los textos legales en la página web
  4. Solicitar el consentimiento a los clientes
  5. Firmar los contratos con los empleados
  6. Realizar un Análisis de riesgos
  7. Facilitar los derechos de los usuarios
  8. Notificar las brechas de seguridad

A continuación te explico detalladamente cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las clinicas veterinarias

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

¿Así de fácil?

Espera, no tan rápido.

En ese registro debes incluir la siguiente información:

  • Tipo de datos almacenados
  • Finalidad
  • Legitimados
  • Política de almacenamiento de esos datos
  • Si realizas cesiones o transferencias internacionales
  • Medios a través de los que realizas el tratamiento

Este registro de actividades de tratamiento debes mantenerlo siempre actualizado.

Los tratamientos más habituales en las clínicas veterinarias son:

  • Clientes
  • Proveedores
  • Contabilidad
  • Recursos Humanos
  • Curriculum
  • Videovigilancia

2. Contratos con terceros

En tu clínica veterinaria seguro que te relacionas también con terceros que acceden a algunos de los datos de tus clientes o empleados.

Y no me digas que no cedes los datos a nadie.

¿Tienes una empresa informática que te realiza el mantenimiento de los equipos o de la web?

¿Trabajas con una gestoría que lleva temas fiscales o de nóminas?

Entonces sí cedes datos a terceros.

Así que, además de tener un registro de actividades de tratamiento, debes disponer de una lista de esas empresas externas con las que tienes contacto y asegurar que también cumplan la normativa obligatoria. Y qué decir tiene que hay que estar seguros de que el cliente sepa qué datos suyos se recopilan a través de estas páginas.

terceros

Recuerda firmar el contrato  de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

3. Página web

Si operas online debes incluir en la página web los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies
  • Condiciones de uso y contratación (en caso de ofrecer productos o servicios por Internet)

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante que revises la política de privacidad de la clínica veterinaria y hagas una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

Así, en el texto de Política de privacidad tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • legitimación para el tratamiento,
  • plazo de conservación de los datos,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos ARCO y de limitación y portabilidad y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

4. Consentimiento de clientes

Además de actualizar la política de privacidad, en la clínica veterinaria debes tener el consentimiento expreso de todos tus clientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En el centro

En caso de que el cliente facilite sus datos personalmente en el centro, debe firmar un documento en el que se le informe del responsable del tratamiento, la finalidad para la que se van a usar los datos, si se van a ceder a terceros y el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

5. Contratos con empleados

Si tienes trabajadores en tu clínica veterinaria esto te interesa.

Los empleados tienen acceso a toda la información que maneja la clínica y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. También deben cumplir las medidas de seguridad establecidas por la empresa para garantizar la protección de los datos personales.

En las clínicas veterinarias los empleados se comunican con clientes y proveedores a través de correo electrónico normalmente. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

6. Análisis de riesgos

Toma nota.

Esto es obligatorio.

En la clínica veterinaria debes también realizar un análisis del riesgo en el que valores los riesgos que puedan derivarse de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • tipo de datos,
  • naturaleza de los datos,
  • medios de tratamiento,
  • cesiones,
  • transferencias internacionales y
  • número de interesados afectados;

Tras este análisis deberás implementar unas medidas de seguridad adecuadas.

Además, si el riesgo resultara ser especialmente alto deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados. Es raro que una clínica veterinaria necesite una Evaluación de impacto pero puede darse el caso de que, por el tipo de datos que manejes o el volumen de esos datos, exista un riesgo alto y necesites realizarla.

7. Derechos de los usuarios

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En la clínica veterinaria debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los clientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Por ejemplo, si un cliente trabaja con tu clínica veterinaria, pero decide cambiar a otra, puede llevarse consigo cualquier dato que tengas sobre él. Así pues, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

8. Notificar violaciones de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa, tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción de seguridad en la clínica, lo ideal es que estés prevenido con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Es importante destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

Preguntas frecuentes

¿Los historiales clínicos de los animales recogen datos personales?

No. La normativa de protección de datos se aplica exclusivamente a las personas físicas por lo que los historiales clínicos por contener datos de los animales quedan fuera de su aplicación.

Tengo instalada una cámara que no graba, sólo permite el visionado en tiempo real. ¿Tengo que cumplir alguna obligación?

Si las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también es necesario cumplir lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales.

Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho de información, a los que nos hemos referido anteriormente.

¿Para publicar las fotografías de las mascotas de mis clientes en un tablón de la clínica, necesito su autorización?

Tratándose de animales no se aplicaría la normativa de protección de datos. Pero si en estas fotografías apareciesen sus dueños debería contarse con su consentimiento.

¿De qué datos y cuándo tienen que hacerse las copias de seguridad?

De todos los datos de carácter personal, independientemente del nivel de protección aplicable, se deberían hacer copias de seguridad por lo menos semanalmente.

¿Dónde deberían guardarse las copias de seguridad?

Deberían guardarse en un lugar con acceso restringido al personal autorizado. En el caso de que se hicieran copias de respaldo con datos especialmente protegidos deberían guardarse en un lugar diferente de aquel en que se encuentran los equipos informáticos que los tratan.

¿Qué debo hacer con los curriculum que me dejan en recepción?

En el caso de que una persona nos entregue su curriculum debemos:

  • Informarle de que lo vamos a guardar
  • Facilitarle el ejercicio de sus derechos ARCO, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia.

Modelos

Aquí te dejo los documentos necesarios para un correcto cumplimiento de la normativa de Protección de Datos en tu clínica veterinaria.

Sanciones

Aquí viene la parte más peliaguda.

Pero no es broma.

Así que más vale prevenir.

Muchas personas y empresas no son conscientes de la gravedad que supone no cumplir con la normativa en materia de protección de datos. Esta regulación está demandada desde hace mucho tiempo para proteger al usuario. Por ello, las sanciones por este tipo de infracciones son bastante duras.

Las sanciones económicas pueden llegar hasta un importe de 20 millones de euros, o entre el 2% y 4% de la facturación de una empresa. Además, el RGPD permite a cada uno de los Estados la posibilidad de incluir faltas o delitos penales a aquellas organizaciones que hagan un mal uso de los datos y cometan infracciones según los dispuestos en la regulación.

Aquí puedes ver algunas sanciones impuestas por la AEPD a clínicas veterinarias.

No atender debidamente el ejercicio del derecho de acceso

El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos. El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Resolución AEPD  R/02212/2017

Envío de comunicaciones comerciales sin consentimiento

La LSSI prohíbe de forma expresa el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas. Es decir, se desautorizan las comunicaciones comerciales dirigidas a la promoción directa o indirecta de los bienes o servicios de una empresa, organización o persona que realice una actividad comercial, industrial, artesanal o profesional, sin consentimiento expreso del destinatario. Resolución AEPD R/00225/2015

Ahora que ya conoces los pasos, comienza cuanto antes la adaptación de tu clínica veterinaria a la nueva normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Protección de datos en clínicas veterinarias
4.7 (93.33%) 9 votos