Profesionales de la veterinaria
Aunque para muchas personas, sus mascotas son un miembro más de su familia, la normativa no se les aplica, sin embargo, esto no quiere decir que las clínicas para animales no tengan que adaptarse también la Lopd, puesto que sí manejan datos personales de los dueños.
¿Cómo adaptarse a la normativa?
A lo largo de los siguientes puntos, describiremos las obligaciones que se deben cumplir.
Registro de actividades de tratamiento
Si se van a tratar grandes cantidades de datos o entre los datos a tratar alguno pertenece a categorías especiales, es obligatorio llevar un registro de actividades de tratamiento.
Se trata de un documento que lista toda la información relacionada con los tratamientos de datos personales que se llevan a cabo. Por cada tratamiento de datos es necesario hacer uno de estos registros, en los que debe aparecer la siguiente información:
- Nombre (o razón social) y datos de contacto del responsable del tratamiento y, si lo hay, del corresponsable, del encargado del tratamiento y del delegado de protección de datos (DPO)
- La base legitimadora del tratamiento
- La finalidad del tratamiento
- Descripción de las categorías de datos e interesados
- Descripción de las categorías de destinatarios (es decir, las cesiones de datos a terceros)
- Si se producen transferencias internacionales de datos personales, toda la información relativa a ellas
- Descripción de las medidas de seguridad implementadas
- Plazo de conservación de los datos
El registro de actividades de tratamiento es un documento de carácter interno, pero que siempre debe estar actualizado y a disposición de la AEPD, si esta lo pide en el proceso de una inspección.
Contratos con terceros
¿Tienes contratado los servicios de una gestoría para gestionar las nóminas de los empleados? ¿Usas una plataforma de almacenamiento en la nube para guardar los informes e historiales de los animales de tus clientes? ¿O cualquier otro servicio externo que necesite acceder a los datos personales de tus clientes o empleados para poder gestionarlo?
En esos casos estás cediendo datos personales a terceros, algo que la ley permite hacer siempre y cuando esté legitimado, se informe a los interesados cuyos datos van a ser cedidos y se haya firmado con esos terceros un contrato de encargo del tratamiento.
A través de este contrato el responsable del tratamiento establece las obligaciones y responsabilidades del encargado del tratamiento respecto a los datos personales que se le ceden y el tratamiento que se le encarga hacer.
Los textos legales en la página web
Muchas empresas y negocios cuentan actualmente con su propia página web para promocionar sus servicios y darse a conocer e, incluso, en algunos casos, llevar a cabo la venta de productos o la contratación de servicios.
Si tienes una página web, incluso si solo es informativa, debes incluir una serie de textos legales, tal y como recogen tanto la Lopd como la LSSI-CE.
Estos textos legales son:
- Aviso legal: Este apartado debe contener toda la información respecto a la identidad del propietario de la web, es decir, la clínica veterinaria o el veterinario si se trata de un autónomo:
- Nombre o razón social
- NIF
- Dirección
- Nº de inscripción en el Registro Mercantil / Nº de colegiado
- Política de privacidad: En esta sección se debe incluir toda la información relativa a la gestión y tratamiento de datos personales que se hará a través de la página web. Al menos debe incluir:
- Nombre del responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- Descripción de la forma en que se gestionarán los datos personales
- El plazo de conservación de los datos
- Si se producirán cesiones a terceros y cuáles son estos
- Vías para que los interesados ejerzan sus derechos
- Política de cookies: Ten en cuenta que cualquier página web genera cookies, las propias (denominadas muchas veces técnicas) y las de terceros (por ejemplo, si empleas Google Analytics); las cookies registran datos personales, motivo por el cual es necesario informar sobre ellas y dar al usuario la opción de aceptarlas o no o configurar aquellas que acepte que se usen. La política web debe recoger toda la información relativa a estas cookies (su finalidad, quién es el titular, su duración, etc.), tal y como recoge la ley de cookies actual.
Y si además llevases a cabo la venta de algún producto para mascotas, también debes incluir:
- Términos y condiciones de venta: En este texto legal se detallan las condiciones de venta de productos. Debe incluir:
- Precios
- Plazos y políticas de venta
- Métodos de pago
- Condiciones particulares
- Política de devolución
- Derechos de desistimiento
Los textos legales deben ser accesibles desde cualquier lugar de la página web, por lo que es habitual que aparezcan siempre en el pie de la página.
¿Necesitas cumplir el RGPD?
Consentimiento de clientes
Ya lo mencionamos más arriba, pero desde la entrada en vigor del RGPD, es obligatorio recabar el consentimiento expreso de los interesados para poder llevar a cabo cualquier tipo de tratamiento de datos.
Este consentimiento expreso puede recogerse a través de un documento de consentimiento, que debe firmar y en el que se informe al cliente de:
- Los datos que se van a recoger
- La identidad del responsable del tratamiento
- La finalidad del tratamiento
- Si los datos recogidos se cederán a terceros e identificación de los mismos
- Y los mecanismos para poder ejercer sus derechos
Si en la página web tienes formularios de contacto, estos deben incluir una casilla desmarcada de «acepto política de privacidad», con enlace a dicha política de privacidad, que el interesado tendrá que marcar para dar su consentimiento.
Cada vez que lleves a cabo un nuevo tratamiento de datos o cambie la finalidad para la que fueron recabados esos datos, deberán volver a solicitar el consentimiento de tus clientes.
Contratos con empleados
Si los empleados van a tener acceso a los datos personales de tus clientes, es importante que ellos también cumplan con las obligaciones de la normativa, porque sus infracciones serán las infracciones de tu clínica.
Por lo tanto, aparte de concienciarles de la importancia de la confidencialidad y de respetar y observar las medidas de seguridad implantadas en la clínica para salvaguardar la información personal de tus clientes, puedes reforzar el cumplimiento de estas obligaciones mediante la firma de un acuerdo de confidencialidad o incluirlas en una cláusula de confidencialidad dentro del contrato de trabajo.
Realizar un Análisis de riesgos
Independientemente de la cantidad de datos personales que manejes, es obligatorio llevar a cabo un análisis de riesgos con carácter previo a realizar ningún tratamiento de datos.
Al realizar un tratamiento de datos personales, los datos pueden quedar expuestos a una serie de riesgos derivados de la propia naturaleza de los datos, los medios empleados para llevar a cabo el tratamiento, la forma o soporte en que se guardan esos datos o si se producen cesiones a terceros.
El análisis de riesgos servirá para determinar el nivel de riesgo que sobre los derechos y libertades de los interesados (tus clientes) tiene el hecho de realizar el tratamiento de datos, de manera que se puedan diseñar e implantar las medidas de seguridad adecuadas para reducir las posibilidades de que dichos riesgos se materialicen o, en caso de hacerlo, se pueda minimizar su impacto (por ejemplo, si los datos personales han sido anonimizados, su filtración puede producir menos perjuicios a los interesados afectados, que si no lo hubieran sido).
Además, si el riesgo resultara ser especialmente alto, se deberá llevar a cabo una evaluación de impacto, aunque es raro que una clínica veterinaria necesite hacerla, pero puede darse el caso si se manejan datos sensibles o se traten grandes cantidades de datos personales de manera sistemática.
Derechos de los usuarios
Para adaptarse, se deben facilitar a los clientes los mecanismos para poder ejercer sus derechos ARCO (o ARSULIPO):
- Acceso
- Rectificación
- Supresión
- Limitación del tratamiento
- Portabilidad
- Oposición
Estos derechos tienen como objetivo permitir a los ciudadanos tener un mayor control sobre sus datos personales. Los mecanismos para su ejercicio deben aparecer en el documento de consentimiento.
No responder a las solicitudes de estos derechos u obstaculizarlos de alguna manera, son motivo de sanción por parte de la AEPD.
Notificar violaciones de seguridad
Si en algún momento se produce un incidente de seguridad relativo a los datos personales que se tratan en la clínica, que pueda poner en riesgo los derechos y libertades de los interesados, es obligatorio notificar a la autoridad competente del incidente.
El plazo para notificar a la AEPD de una de estas brechas de seguridad es de 72 horas, sobrepasar dicho plazo o no informar, es motivo de sanción.
También se debe informar a los interesados cuyos datos puedan haberse visto afectados.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Modelos de ayuda
Si necesitas alguno de los documentos que hemos mencionado para adaptarte a la ley, a continuación puedes encontrar varios modelos y plantillas que te pueden servir de ayuda.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada para poder resolver todas tus dudas.