Protección de datos en una clínica dental

Guía 2021

Dado que entre los datos personales que manejan se encuentran datos de categorías especiales, la normativa sobre protección de datos en una clínica dental debe ser cumplida con atención. En esta entrada vamos a explicar los pasos a seguir para adaptar estas clínicas a la LOPDGDD y el RGPD.

Leyes de Protección de datos que deben cumplir las clínicas dentales

La protección de datos para dentistas está regulada en las siguientes leyes y reglamentos:

LOPDGDD en clínicas dentales

Las clínicas dentales están consideradas como centros sanitarios, y como tales, tratan información relativa a la salud, como puede ser la historia clínica de los pacientes. Esta información médica se enmarca dentro de las categorías especiales de datos o datos sensibles. Esto significa que las clínicas dentales han de tener especial cuidado en el tratamiento de datos de sus pacientes. La adaptación a la LOPD de los dentistas les obliga a realizar una evaluación de impacto sobre los riesgos para sus pacientes relativos al tratamiento de sus datos. Según esta evaluación de impacto, se han de aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad de la información y su protección frente a robos, pérdidas, daños accidentales o accesos no autorizados. Otra de las obligaciones que establece la normativa respecto a la protección de datos en un clínica dental es velar por la confidencialidad de los datos médicos. Asimismo, para la protección de datos en clínicas dentales la LOPDGDD establece la necesidad de obtener consentimiento informado en odontología para el tratamiento de los datos de los pacientes. Entre las principales exigencias que marca la Ley de Orgánica Protección de Datos y Garantía de los Derechos Digitales no se puede dejar de citar la obligación de informar a los pacientes de las clínicas dentales. Esta obligación comprende la información sobre la identidad del responsable del tratamiento, encargados o sus representantes, la finalidad y base legitimadora del tratamiento, el plazo de conservación de los datos, la cesión de datos a terceros o las vías de los pacientes para ejercer sus derechos ARCO.

RGPD aplicado a los negocios dentales

La LOPDGDD no es más que la adaptación al marco español de la normativa europea, esto es, el Reglamento General de Protección de Datos (RGPD). Por tanto, para cumplir con el RGPD en clínicas dentales se hacen extensibles todas las obligaciones de las que hemos hablado en el punto anterior, y en las que vamos a profundizar a continuación.

¿Cómo implantar las normativas RGPD y LOPDGDD en una clínica dental?

Las clínicas dentales forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, por lo que también tendrán que adaptarse a la nueva normativa.

Por una clínica dental pasa documentación y datos personales de sus clientes en grandes cantidades. Cada un cliente solicita los servicios como dentista, estás manejando datos de carácter personal de terceros. Para llevar a cabo un correcto manejo este tipo de datos, es preciosa la adaptación a la Ley de Protección de Datos de los dentistas y la gente que trabaja en la clínica (como veremos más adelante). Las principales actuaciones que deben realizar las clínicas dentales respecto al RGPD son:
  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Solicitar el consentimiento a los pacientes
  6. Facilitar los derechos de los usuarios
  7. Firmar los contratos con los empleados
  8. Notificar brechas de seguridad
  9. Realizar auditorías periódicas
  10. Adaptar la página web de la clínica dental
  11. Nombrar un DPD
Pero no te preocupes, te explico paso por paso todo lo que debes hacer. Pasos cumplir ley lopd rgpd para clínicas dentales

Registro de actividades de tratamiento (RAT)

El primer paso para adaptarse a la ley RGPD y cumplir con la protección de datos en clínicas dentales, es saber qué tipo de datos manejas y en qué cantidad. Para ello puedes recurrir a las respuestas de estas preguntas, que sirven tanto para grandes como para pequeñas clínicas dentales (especialmente estas últimas, puesto que clínicas del tipo franquiciado ya contarán con un encargado y un responsable del tratamiento de datos):
  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento
Con esto podrás realizar un registro de actividades de tratamiento de datos, que deberás mantener actualizado y disponible en todo momento, puesto que si la AEPD realiza una inspección a tu clínica, tendrás la obligación de entregárselo. Este documento se puede elaborar tanto en formato electrónico (recomendado) como en soporte papel.

Análisis de riesgos

Otro paso para la adaptación a la LOPD para los dentistas o dueños de clínicas dentales es realizar un análisis del riesgo. En este análisis se deben valorar las posibles contingencias de los tratamientos de datos que se realicen, teniendo en cuenta para ello, entre otras, las siguientes cuestiones:
  • Tipo de tratamiento:
    • ¿Dónde se almacenan los datos?
    • ¿Durante cuánto tiempo?
    • ¿En un fichero o en una base de datos?
    • ¿En qué equipos?
  • Naturaleza de los datos,
    • Identificativos
    • Bancarios
    • De salud
  • Número de afectados,..
Evidentemente, el análisis de riesgos debes emplearlo para tomar o implementar las medidas de seguridad necesarias para prevenir y evitar que los riesgos se conviertan en realidad. Estas medidas de seguridad deberán, además, ser las más avanzadas posibles; por ejemplo, contar con un sistema de cifrado obsoleto puede ser motivo de sanción.

Evaluación de impacto

Al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas. Las principales empresas que deberán realizar esta evaluación de impacto son:
  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.
Las clínicas dentales estarían obligadas a realizar esa Evaluación de impacto ya que tratan categorías especiales de datos. Es decir, manejan datos de salud de sus pacientes.

Contratos con encargados del tratamiento

La cesión de datos personales a terceros es algo muy habitual para cualquier tipo de empresa o entidad, esto se debe a que muchas veces hay servicios que se externalizan. En el caso de las clínicas dentales, por ejemplo, podría ser el facilitar datos de los pacientes a laboratorios protésicos o el simple hecho de contratar a otra empresa para que lleve a cabo las tareas de mantenimiento de los equipos informáticos. Estas empresas a las que puedes acabar cediendo los datos de tus clientes son a su vez encargados de tratamiento, por lo que deberás llevar un listado de las mismas, para poder asegurarte de que ellas también cumplen con la normativa de Protección de Datos. Además, numerosas clínicas dentales recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube. Si es tu caso, deberás aclarar con tus proveedores de TI y de software cómo han adaptado sus sistemas a la implementación del RGPD. Para ello puedes recurrir a un cuestionario o una lista de verificación exhaustiva, que te ayudarán a comprender los flujos de datos y poder identificar posibles vulnerabilidades. También debes asegurarte de que el paciente sepa qué datos suyos se recopilan a través de estas empresas. Para cumplir con la protección de datos en una clínica dental, tendrás que firmar un contrato de encargo de tratamiento con cada tercero al que vayas a ceder datos personales de tus clientes, en el que se establecerán las obligaciones de cada parte para proteger dichos datos.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Consentimiento de pacientes

Para cumplir la normativa de protección de datos en una clínica dental debes tener el consentimiento de todos tus pacientes para poder tratar sus datos. Este consentimiento puedes solicitarlo de dos formas:
  • Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
    • Responsable del tratamiento,
    • Finalidad para la que se van a usar los datos,
    • Si se van a ceder a terceros y
    • El medio por el que puede ejercer sus derechos ARCO.
Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

Derechos del paciente en un clínica dental

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:
  • Acceso a los propios datos personales;
  • Rectificación si los datos son inexactos;
  • Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • Limitación del tratamiento;
  • Portabilidad de los datos;
  • Oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
En la clínica dental deben disponer de mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web. El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir. En cuanto al derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen, como su ficha electrónica dental. Te recuerdo que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Contratos con empleados

Otra de las exigencias en materia de protección de datos en una clínica dental es firmar un compromiso de confidencialidad, puesto que es muy probable que tengan acceso a información y datos personales de los pacientes. De esta forma, se evita que se revele información sensible a personas no autorizadas. Además, los empleados deben cumplir con las normas de seguridad establecidas para garantizar la protección de los datos personales. Protección datos clínicas dentales Ten en cuenta que el contrato con la clínica dental que firma el empleado no es el compromiso de confidencialidad. Por otro lado, y dado que muchas de las comunicaciones entre empleados o entre clientes y empleados puede realizarse por email, tendremos la responsabilidad de informar y formar a nuestros empleados sobre los posibles riesgos de ciberseguridad que pueden poner en peligro la privacidad de los datos. Advertirles para que puedan prevenir ataques de phising, por ejemplo, en sus correos electrónicos.

Notificar brechas de seguridad

Entre las obligaciones que recogen el RGPD sobre la protección de datos en una clínica dental está la de informar en caso de que se produzcan brechas de seguridad. Si se produce un ciberataque que ponga en riesgo la privacidad de los datos personales de los pacientes, tienes la obligación de informar tanto a los afectados cuyos datos hayan podido quedar expuestos, como a la AEPD, para lo que tienes un límite máximo de 72 horas. Para poder responder y notificar de un problema de seguridad en el menor tiempo posible, debes tener preparados un plan o protocolo de respuesta ante este tipo de incidentes. Ten en cuenta que la única forma de que no te apliquen una sanción por dejar datos expuestos en un ataque, es demostrar que habías tomado todas las medidas que exige la ley en esta materia.
aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Auditorías periódicas

Para garantizar la seguridad legal en consultorios dentales, se deben realizar auditorías periódicas para valorar la idoneidad de las medidas de protección de datos implantadas. Estas auditorías tienen como finalidad detectar fallos o incidentes de seguridad, con el objetivo de implantar las medidas correctoras adecuadas para subsanarlos.

Legalidad de la Página web de la clínica dental

La protección de datos en clínicas dentales obliga a este tipo de negocios a cumplir una serie de requisitos en su página web. Al tratar datos personales de los pacientes, las clínicas están obligadas a incluir varios textos legales en su página web:
  • Aviso legal: en el que se informa sobre la identidad y condiciones de uso de los servicios.
  • Política de privacidad: donde se informa sobre el responsable del tratamiento, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las vías para ejercer los derechos ARCO.
  • Política de cookies: referente al tipo de cookies que utiliza la página web, y para solicitar el consentimiento expreso de los usuarios.

Nombrar un Delegado de Protección de Datos

Dada la categoría especial de los datos que manejarás en tu clínica dental, es probable que tengas que designar a un Delegado de Protección de Datos (DPD o DPO); se trata un profesional con la cualificación y los conocimientos necesarios sobre la materia, que se encargará de salvaguardar los procesos y políticas del tratamiento de datos personales. El RGPD establece que tanto la designación del DPD como sus datos de contacto deben ser públicos y has de comunicarlos a las autoridades de supervisión competentes. El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio. No será necesario tener un DPO cuando el dentista ejerza a título individual.

Modelos de ayuda para consultorios dentales

Aquí te dejamos todos los documentos que necesitarás para adaptar tu clínica dental a la normativa de Protección de Datos.

Sanciones a las que expongo mi clínica si no cumplo con la normativa vigente

En caso de no cumplir con la LOPD en odontología nos podemos exponer a duras sanciones. Las sanciones que impone el RGPD dependen de factores como la gravedad de la infracción, el perjuicio ocasionado o la extensión de la infracción en el tiempo. Así, se puede distinguir entre infracciones leves, graves o muy graves:
  • Infracciones leves: se sancionan con multas de hasta 40.000 euros
  • Infracciones graves: las multas oscilan entre 40.001 y 300.000 euros.
  • Infracciones muy graves:  las sanciones pueden ir desde 300.001 euros hasta 20 millones de euros o el 4% de la facturación del último año.

Preguntas frecuentes

¿Puedo utilizar WhatsApp para comunicarme con mis pacientes?

Sí, puedes hacerlo. Pero para tener autorización para comunicarse por WhatsApp es necesario que tengas el consentimiento expreso de tus pacientes para ello. Esta app de mensajería comparte datos de clientes con Facebook sin comunicárselo de forma clara al usuario ni darle la opción de negarse a ello. Esto es algo ilegal según la actual regulación de datos. Por tanto, el uso de este sistema de comunicación sin consentimiento puede conllevar importantes sanciones.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos. En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

¿Qué tipo de consentimiento me tiene que firmar mis pacientes para que pueda tratar sus datos?

El RGPD establece que el consentimiento de los pacientes de una clínica dental ha de ser expreso. Esto es, ha de ser explícito, voluntario e informado y debe venir otorgado por la realización de una acción inequívoca, por ejemplo marcar una casilla de aceptación.

¿Puedo facilitar información del paciente a sus familiares?

La respuesta es, depende. A los familiares se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.