Ópticas y oculistas

Dado que las ópticas y las clínicas oftalmológicas se consideran establecimientos sanitarios y manejan datos de categorías especiales, deben cumplir con la normativa vigente de protección de datos y adaptarse al RGPD y la LOPDGDD. En esta entrada explicamos paso a paso cómo llevar a cabo la protección de datos para ópticas, incluyendo modelos de los documentos necesarios para ello.

Normativa para ópticas y oculistas

Como para el resto de entidades, la normativa vigente la podemos encontrar recogida tanto en el Reglamento General de Protección de Datos (RGPD) y en la Ley Orgánica de Protección de Datos (LOPDGDD); en ambos textos se regulan todas las obligaciones y derechos de la normativa vigente en la materia.

Además, las ópticas también deben tener en cuenta la Ley 41/2002, de Autonomía del Paciente, puesto que contiene algunas obligaciones y regulaciones sobre la información, documentación y consentimiento para los pacientes.

La LOPDGDD es la normativa española de protección de datos, adapta a nuestro ordenamiento jurídico el RGPD europeo, concretando aquellos aspectos que este Reglamento deja en manos de los legisladores de cada Estado miembro, de manera que cumplir con esta ley, estamos cumpliendo con el RGPD.

La LOPDGDD establece a la Agencia Española de Protección de Datos como la autoridad control competente, es decir, como el organismo encargado de gestionar las denuncias presentadas contra organizaciones privadas y públicas, su investigación y sanción, cuando así procede.

La Ley también regula los derechos digitales de los ciudadanos. Y está en vigor desde diciembre de 2018.

Como decíamos, el RGPD es el Reglamento europeo de protección de datos, mediante el que se establece un marco y reglas comunes en materia de protección de datos para todos los ciudadanos de la UE y el EEE (Espacio Económico Europeo). Todos los Estados miembros están obligados a cumplir, adaptándolo a sus propias legislaciones.

El RGPD establece los principios generales y las obligaciones relativas a la protección de datos personales y se aplica exclusivamente sobre las personas físicas. También establece el régimen sancionador para quienes infringen sus obligaciones.

¿Cómo deben cumplir las normativas?

Para cumplir con la LOPDGDD y el RGPD oculistas, ópticas y clínicas oftalmológicas deben determinar qué tipo de datos personales están tratando, porque en caso de tratar datos de categorías especiales (artículo 9 del RGPD), como los relativos a la salud, tendrán que contemplar el cumplimiento de ciertas obligaciones que en otro tipo de negocios o empresas no es necesario.

En los siguientes puntos vamos a explicar qué documentos y acciones es necesario completar para adaptar la clínica o la óptica a la normativa de protección de datos.

Registro de actividades de tratamiento

Entre esas obligaciones que dependen del tipo de datos personales que se traten, así como de la cantidad de datos personales que se manejen a diario en la óptica o clínica oftalmológica, está el registro de actividades de tratamiento.

Este documento, que casi con toda seguridad cualquier óptica o clínica van a tener que elaborar, debe contener toda la información relativa al tratamiento de datos personales y debe hacerse uno por cada tratamiento (estas actividades de tratamiento son los antiguos ficheros de la LOPD y en la óptica puede haber uno «pacientes» o «clientes», otro «empleados», por ejemplo).

El registro de actividades de tratamiento es un documento interno y no es necesario inscribirlo en la AEPD, pero sí que debe estar a su disposición, en caso de que se solicite en el transcurso de una investigación o inspección. Así que hay que tenerlo actualizado.

El obligado a elaborar este documento es el responsable del tratamiento, es decir, la propia óptica o clínica oftalmológica.

Aquí tenéis una plantilla del registro de actividades de tratamiento, que como mínimo debe contener la siguiente información:

  • Identificación y contacto del responsable del tratamiento y, cuando proceda, del corresponsable, del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
  • Legitimación legal del tratamiento
  • La finalidad del tratamiento
  • Descripción de las categorías de datos e interesados
  • Descripción de las categorías de destinatarios (cuando se van a ceder datos a terceros)
  • La información relativa a las transferencias internacionales de datos (si se producen)
  • Descripción de las medidas de seguridad
  • Plazo de conservación de los datos

Análisis de riesgos

Llevar a cabo actividades de tratamiento de datos personales, como puede ser su recogida, su almacenamiento o su uso para realizar comunicaciones comerciales, siempre puede exponer esos datos a riesgos y amenazas que pueden comprometer su integridad, disponibilidad y fiabilidad, además de poder provocar consecuencias negativas sobre los derechos y libertades de los interesados cuyos datos puedan verse afectados.

Para minimizar esos riesgos y amenazas y establecer las medidas de seguridad necesarias y adecuadas para ello, es, por tanto, obligatorio llevar a cabo un análisis de riesgos de cada tratamiento de datos que se vaya a realizar. Siempre con carácter previo al mismo.

A la hora de hacer el análisis de riesgos deben contemplarse tanto riesgos físicos como riesgos digitales.

En este enlace podéis ver un ejemplo de análisis de riesgos RGPD.

Evaluación de impacto

Cuando del análisis de riesgos se determina que el riesgo para los derechos y libertades de los interesados es alto, es decir, puede causarles graves perjuicios, se tiene la obligación de realizar una evaluación de impacto de protección de datos (EIPD).

Las EIPD serán más habituales en las clínicas oftalmológicas, puesto que en ellas se puede tener acceso y almacenar historiales clínicos de los pacientes. Pero para las ópticas también pueden ser requeridas, por ejemplo, si tratan grandes volúmenes de datos personales de forma sistemática.

Su función es la misma que la del análisis de riesgos, ayudar a determinar los riesgos y amenazas que puede suponer un determinado tratamiento de datos personales para los derechos y libertades de los interesados y con ello diseñar y establecer las medidas de seguridad necesarias para garantizar la salvaguarda de dichos datos, ya sea minimizando el nivel de riesgo a uno tolerable o eliminándolo por completo.

Oculista

Contratos con terceros

Como cualquier otra empresa, las ópticas y clínicas oftalmológicas tendrán que ceder datos personales a terceros en alguna ocasión; por ejemplo, cuando trabajan con laboratorios o contratan algún servicio externo relacionado con el tratamiento de sus pacientes o utilizan algún software de almacenamiento de datos en la nube.

En ese sentido y para seguir cumpliendo con la protección de datos, oculista, las ópticas y clínicas deben elaborar y firmar con estos terceros un contrato de encargo del tratamiento.

Como su propio nombre indica, en este contrato el responsable del tratamiento establece las obligaciones que en materia de protección de datos debe contemplar y cumplir el encargado del tratamiento, así como los límites de tratamiento y uso de los datos cedidos.

Así mismo, cuando se ceden datos personales a terceros, se debe informar a los interesados titulares de los datos de la cesión, comunicándoles la identidad del encargado del tratamiento y la finalidad de la cesión.

Página web

Si la óptica o clínica oftalmológica cuenta con una página web, en esta se deben incluir los textos legales que exige tanto la ley de protección de datos como la LSSI-CE:

  • Aviso legal: En este apartado tienen que aparecer todos los datos identificativos del propietario de la página web, que es la propia óptica o clínica:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro Mercantil / Nº de colegiado en caso de ser autónomo
  • Política de privacidad: Este texto ha de contener toda la información relativa a la gestión de los datos personales que se recaban en la web. Al menos debe incluir:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • En qué forma se gestionarán los datos personales
    • Tiempo de conservación de los datos
    • Cesiones a terceros, identificando a estos
    • Vía para que los interesados ejerzan sus derechos
  • Política de cookies: Puesto que tu web genera cookies, al menos propias, pero también de terceros (basta con tener botones de redes sociales o Google Analytics), estás obligado a incluir toda la información relativa a las mismas, tal y como recoge la ley de cookies (finalidad, titular, duración, etc.).

Los textos legales deben estar en un apartado aparte de la web, pero un enlace a ellos debe estar disponible en todas sus secciones. Además, deben estar redactados de forma clara y comprensible.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Consentimiento de pacientes

Siempre que se van a solicitar datos personales o se van a obtener de alguna forma, por ejemplo, al elaborar la ficha de un paciente, es obligatorio obtener su consentimiento expreso.

Esto es así porque uno de los principales fines del RGPD es que los ciudadanos sean más conscientes de los datos e información personal que las empresas pueden manejar de ellos y los fines para los que estos se utilizan.

Este consentimiento de los pacientes debe darse mediante una acción afirmativa, como una firma de un documento de consentimiento o el marcado de una casilla de «acepto la política de privacidad» de una página o formulario web.

De manera que se puede recabar diferentes formas, en función de dónde se esté pidiendo recoger datos personales y tratarlos. Es habitual, por ejemplo, que al abrir la ficha de un paciente en una óptica, se facilite un documento aparte en el que se informa al interesado de todo lo relativo al tratamiento de sus datos.

En cualquier caso, esta información, sea cual sea el soporte, debe incluir como mínimo:

  • Nombre del responsable del tratamiento
  • La finalidad para la que se recogen los datos
  • Si se cederán a terceros
  • Vías para ejercer los derechos de los interesados

Cada vez que se vaya a hacer un nuevo tratamiento de datos personales o se quiera utilizar los datos que ya se poseen para una finalidad distinta para las que fueron recados, es necesario volver a solicitar el consentimiento de los interesados.

Derechos de los pacientes de la óptica

Los hemos mencionado ya en varias ocasiones a lo largo de esta guía; los derechos de los pacientes (o interesados) son los conocidos como derechos ARCO o derechos ARSLPO.

Es obligación para cumplir con la protección de datos en las ópticas y clínicas oftalmológicas, poseer y poner a disposición de los interesados los mecanismos necesarios para que puedan ejercer sus derechos. Dichos medios los indicaremos claramente tanto en el documento de consentimiento a firmar por los pacientes, como en la política de privacidad de la página web (en caso de tenerla).

Obstaculizar de alguna manera o no atender las solicitudes de estos derechos es motivo de sanción.

Los derechos de los interesados son:

  • Acceso
  • Rectificación
  • Supresión
  • Limitación del tratamiento
  • Portabilidad
  • Oposición

Contratos con empleados

Si los empleados de la óptica o clínica oftalmológica tienen acceso a los datos personales de los pacientes, puede que no solo tengan la obligación de cumplir con las medidas de seguridad y mantener la confidencialidad de los mismos, sino que en algunos casos pueden tener que mantener el deber de secreto profesional (que tiene sus propias sanciones penales en caso de infringirlo).

En cualquier caso, la confidencialidad se puede incluir mediante las correspondientes cláusulas en los contratos de trabajo o recurrir a que los empleados firmen un acuerdo de confidencialidad aparte, donde se especifiquen todas las obligaciones que deben cumplir en materia de protección de datos.

Obligación de notificar las Brechas de seguridad

Si en algún momento se produce una brecha de seguridad que deje expuestos los datos personales de tus pacientes, aparte de tomar las medidas oportunas para limitar los daños y solucionarlo lo más rápido posible, de acuerdo al RGPD las brechas de seguridad hay que notificarlas a la autoridad de control.

El plazo para notificar del incidente a la AEPD es de 72 horas y no cumplir con esta obligación puede conllevar la imposición de sanción.

Además, también se debe notificar a los interesados cuyos datos personales hayan podido verse expuestos por el incidente de seguridad.

Delegado de Protección de Datos

Otra de esas obligaciones en materia de protección de datos que algunas ópticas y clínicas oftalmológicas pueden tener que cumplir es la designación de un DPO.

Si en tu óptica o clínica se dan las condiciones que hemos citado ya para la realización de una EIPD o del registro de actividades de tratamiento, también tendrás que nombrar al DPO, cargo que puede desempeñar uno de tus empleados o se puede contratar a un profesional externo.

En cualquier caso, el DPO debe tener los conocimientos suficientes en materia de protección de datos para desempeñar sus funciones, que principalmente son supervisar el cumplimiento de la normativa, asistir al responsable del tratamiento e intermediar con la AEPD.

lopg y rgpd en ópticas

Sanciones

Incumplir con alguna de las obligaciones recogidas en el RGPD o la LOPDGDD puede llevar a la óptica o clínica oftalmológica a recibir sanciones administrativas, dependiendo de la gravedad y la reiteración de la infracción.

El RGPD establece un régimen sancionador muy general, distinguiendo entre:

  • Infracciones muy graves, sancionadas con hasta 20 millones de euros o el 4% del volumen de facturación anual (la cuantía que sea más elevada)
  • Infracciones graves, sancionadas con hasta 10 millones de euros o el 2% del volumen de facturación anual (la cuantía que sea más elevada)

Por lo tanto, nos tenemos que ir a la LOPDGDD para encontrar una graduación un poco más concreta, aunque recoge las mismas infracciones que el reglamento europeo y el tope máximo para las infracciones muy graves. Así tenemos:

  • Por infracciones muy graves del artículo 72: sanción de 300.000 a 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte superior)
  • Por infracciones graves del artículo 73: sanción de 40.000 a 300.000 euros
  • Infracciones leves del artículo 74: sanción de hasta 40.000 euros.

El régimen sancionador se aplica a todo tipo de organizaciones privadas y públicas, independientemente de su tamaño. Podéis ver algunos ejemplos de multas LOPDGDD en el enlace.

Modelos de ayuda a clínicas oftalmológicas

Si necesitas algún tipo de modelo de documento para tu óptica, aquí encontrarás todos los documentos que podrás necesitar para adaptarte a la normativa de Protección de Datos.

Preguntas frecuentes

Puede que tras leer esta guía ya tengas más claro cómo adaptar tu clínica y óptica a la normativa de protección de datos, pero por si aún te queda alguna duda, respondemos a algunas de las preguntas más habituales.

¿Puedo enviar comunicaciones comerciales a clientes anteriores a la entrada en vigor del RGPD?

Para poder enviar comunicaciones comerciales requerimos el consentimiento expreso del destinatario, a menos que las mismas se refieran a productos o servicios de la empresa que hayan sido contratados por él. En el caso de clientes anteriores a la entrada en vigor del RGPD, si no tenemos su consentimiento expreso, debemos solicitárselo. De otra forma, no podremos enviarles ningún tipo de comunicación comercial.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

El RGPD no establece un plazo concreto, sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

En el caso de prestadores de servicios sin acceso a datos para ópticas, ¿Cuándo se tratan datos personales?

Cuando prestamos el servicio, no actuamos como encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.

Es obligación de la clínica, como responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.

En caso contrario (recibir la información sin datos anonimizados), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.

Cuando no se tenga acceso a datos personales de las clínicas/laboratorios no se deberá firmar un contrato de «Encargado del tratamiento» en sí. Sin embargo, sí sería necesario firmar un «Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos», donde se recojan las obligaciones del responsable y del encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.

En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos de estos prestadores de servicios son: empresa de limpieza, mantenimiento técnico, catering de empresa, etc.

¿Puedo facilitar información del paciente a sus familiares?

La respuesta es, depende. A los familiares se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Ya sabes cómo cumplir la normativa de protección de datos en tu óptica? Pues no pierdas más tiempo y ponte con ello, puedes preguntar el precio de adaptar a la LOPD tu óptica justo bajo estas líneas.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.