Consultas de psicología

Las consultas de psicología también están obligadas a cumplir con la normativa vigente, especialmente considerando que entre los datos personales que tratan de sus pacientes, se encuentran datos relacionados con la salud. 

Normativa 

Cuando hablamos de la protección de datos para psicólogos, nos estamos refiriendo a tres leyes en concreto que son de aplicación:

  • El RGPD (Reglamento General de Protección de Datos), que es el marco europeo en materia de protección de datos, puesto que con él se armonizan en los principales aspectos la protección de los datos personales de todos los ciudadanos de la UE, otorgándoles los mismos derechos y deberes. Está en vigor desde el 25 de mayo de 2018.
  • La LOPDGDD (Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales), a través de esta ley se introdujo en España el RGPD, adaptándolo a nuestro ordenamiento jurídico. Con ella se modificó la anterior LOPD y está en vigor desde diciembre de 2018.
  • La Ley de Autonomía del Paciente, que regula los derechos y obligaciones en materia de información y documentación clínica.

Cómo adaptarme a la ley actual

Estos profesionales deben dar cumplimiento a una serie de obligaciones reguladas tanto en el RGPD como en la LOPDGDD.

Registro de las actividades de tratamiento

Como primera obligación el responsable del tratamiento debe elaborar un registro de actividades de tratamiento.

El registro de actividades de tratamiento es un documento que se debe elaborar por cada tratamiento de datos personales que se vaya a realizar y debe contener toda la información relevante respecto a dicho tratamiento.

Es un documento que los profesionales por cuenta ajena están obligados a hacer, puesto que tratan con categorías de datos especiales (datos relativos a la salud), además se tratan datos personales de forma sistemática y, en algunos casos (consultas) pueden incluso tratarse datos a gran escala.

El registro de actividades de tratamiento debe incluir de forma detallada la siguiente información:

  • Identificación y datos de contacto del responsable del tratamiento y, en los casos en que proceda, la del corresponsable, la del encargado del tratamiento y la del delegado de protección de datos (DPO)
  • Legitimación del tratamiento
  • Finalidad del tratamiento
  • Categorías de interesados y datos
  • Categorías de destinatarios (existentes y previstos)
  • Si procede, toda la información relativa a las transferencias internacionales de datos
  • Descripción de las medidas de seguridad implantadas
  • Plazos de conservación previstos

El registro de actividades de tratamiento puede mantenerse en soporte digital o físico, pero siempre debe estar actualizado y a disposición de la Agencia Española de Protección de Datos (AEPD), si esta lo solicitase.

Análisis de riesgos

Con carácter previo a cualquier tratamiento de datos que vaya a hacerse, deben llevar a cabo un análisis de los riesgos que puedan derivarse de dicho tratamiento para los datos personales de los interesados, en concreto, riesgos que puedan suponer una amenaza para sus derechos y libertades.

A través del análisis de riesgos se puede determinar la posibilidad de que dichos riesgos y amenazas se materialicen y, en consecuencia, servirá para diseñar las medidas de seguridad que necesitas implementar en tu consulta y sus sistemas informáticos, para, primero, minimizar las posibilidades de materialización de la amenaza, y, segundo, para, en caso de que acabe teniendo lugar un incidente de seguridad que pueda poner en riesgo los datos personales, minimizar el impacto negativo de este sobre ellos y los interesados titulares de los mismos.

Ten en cuenta que el análisis de riesgos no debe limitarse solo a las ciberamenazas, sino que también debes tener en consideración los riesgos físicos a los que pueden estar expuestos los datos personales que manejas; por ejemplo, si guardas copias en papel de las historias clínicas de tus pacientes, podrían estar expuestas a ser destruidas por un incendio.

Evaluación de Impacto

La naturaleza de los datos relativos a la salud obliga a estos profesionales a tener que llevar a cabo una evaluación de impacto de protección de datos (EIPD), puesto que su vulneración puede suponer un impacto negativo para los derechos y libertades de los interesados.

Al igual que el análisis de riesgos, la EIPD nos servirá para implantar las medidas de seguridad necesarias y adecuadas para reducir la posibilidad de que las amenazas derivadas de las actividades de tratamiento de datos se materialicen y, en caso de hacerlo, reducir su nivel de impacto y consecuencias negativas.

Firmar el contrato de encargo

Los profesionales del sector que cedan datos personales de sus pacientes a terceros, deberán firmar con estos un contrato de encargo de tratamiento.

Cederás datos personales a terceros si tienes contratado algún servicio con otra empresa, que para su correcta gestión, necesite tratar con los datos personales de tus pacientes, por ejemplo, si guardas en una plataforma de almacenamiento en la nube los historiales de tus pacientes.

En el contrato de encargo, el responsable del tratamiento debe establecer las obligaciones e instrucciones para el encargado del tratamiento, que deberá cumplirlas, sin poder alterar ni el uso de los datos ni la finalidad del tratamiento.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Incorpora los textos legales a tu web

Es muy probable que tengas una página web en la que te des a conocer a ti y los servicios que ofreces. Aunque esta web sea meramente informativa, debes incluir en ella los textos legales web, siempre redactados de forma comprensible y accesibles desde cualquier lugar la página.

Los textos legales que siempre deben formar parte de tu web son:

  • Aviso legal: Donde se identifica al propietario de la web:
    • Nombre del propietario
    • NIF
    • Dirección
    • Email
    • Nº de colegiado
  • Política de privacidad: Debe aparecer toda la información referente a la protección de datos:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Cómo se gestionan los datos
    • Tiempo de conservación
    • Cesiones a terceros
    • Vías para ejercer que los interesados ejerzan sus derechos
  • Política de cookies: Seguramente tu página web utilizará cookies propias y de terceros, por lo que debes incluir también toda la información correspondiente a las mismas; su finalidad, de quién son, cuánto duran, etc.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Recaba el consentimiento de tus pacientes

Desde la entrada en vigor del RGPD, es obligatorio recabar el consentimiento expreso de los pacientes para realizar cualquier tipo de tratamiento de datos.

Cuando decimos expreso, nos referimos a que para concederlo, el paciente (interesado) debe realizar una acción afirmativa, mediante la cual acepte la política de privacidad y el tratamiento de sus datos.

Además, el consentimiento debe ser informado, es decir, que a la hora de recabarlo, se debe informar al paciente de lo siguiente:

  • Identidad el responsable del tratamiento
  • Finalidad del tratamiento
  • Si se cederán los datos a terceros
  • Medios para ejercer sus derechos
  • Plazo de conservación de los datos

Recordar que el consentimiento solo es válido para la finalidad del tratamiento para la que se hayan recabado los datos personales. En caso de querer usarlos para otro fin, es necesario volver a recabar dicho consentimiento, si este no estaba contemplado antes.

protección de datos psicólogos

Nombra un DPO

El artículo 34.f de la LOPDGDD establece la siguiente excepción respecto al nombramiento de un DPO:

«Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual».

El DPO puede ser una persona interna o contratarse de forma externa y debe tener conocimientos suficientes para desempeñar sus funciones, que comprenden:

  • Supervisar el cumplimiento normativo de la organización en materia de protección de datos
  • Cooperar con la AEPD
  • Resolver dudas y consultas

Facilita el ejercicio de los derechos de los interesados

Ya hemos señalado en puntos anteriores que se debe informar a los interesados sobre los derechos que tienen sobre sus datos. Es obligación del responsable del tratamiento no solo informar de dichos derechos, sino también facilitar los mecanismos y vías a través de los cuales los interesados podrán ejercer sus derechos.

Es importante señalar que no atender u obstaculizar una solicitud relativa a estos derechos se considera una infracción y, como tal, está sancionada.

Así, los derechos de los interesados son:

  • El derecho de acceso a sus datos personales.
  • La rectificación de dichos datos si estos son incorrectos o han sufrido algún cambio.
  • La supresión o derecho al olvido cuando se ha cumplido la finalidad para la que los datos fueron recabados o estos se han obtenido de forma ilícita.
  • Limitación del tratamiento.
  • Derecho a la portabilidad de datos.
  • Oposición a que sus datos personales puedan usarse con fines diferentes para los que fueron recabados.
  • A que sus datos personales no se empleen en procesos automatizados, como los empleados en la elaboración de perfiles.

Contratos de confidencialidad

Algunos de los empleados de la consulta podrán tener acceso a los datos personales de los pacientes. Por ese motivo, debes asegurarte de que esos empleados guardan la debida confidencialidad y obligación de secreto.

La forma más habitual para hacerlo es incorporar cláusulas de confidencialidad en el contrato de trabajo. En caso de que sean trabajadores autónomos contratados, puedes recurrir a un contrato de confidencialidad.

Informar de brechas de seguridad

El RGPD estableció la obligación de notificar aquellas brechas de seguridad que pudieran poner en riesgo los datos personales de los interesados, afectando a sus derechos y libertades.

Estas notificaciones deben hacerse, por un lado, a los propios interesados que hayan podido verse afectados. Y por otro, a la AEPD, para lo que se dispone de un plazo máximo de 72 horas.

No informar de un incidente de seguridad de este tipo, es motivo de sanción.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu consulta de psicología a la normativa de Protección de Datos.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.