Fisioterapeutas
Los fisioterapeutas tratan datos relacionados con la salud de sus pacientes. Historiales clínicos, pruebas de diagnóstico o tratamientos… Esta información está considerada como datos sensibles, por lo que cuentan con una protección especial. En esta guía te contamos cómo deben adaptarse estos profesionales a la normativa actual.
¿Qué normativa deben cumplir estos especialistas?
Los textos legales que regulan la protección de datos en fisioterapia son:
- RGPD o Reglamento General de Protección de datos.
- LOPDGDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
- Y con carácter particular, en la Ley 41/2002, de Autonomía del Paciente.
Pasos para tener al día tu clínica en materia de protección de datos
Las empresas que deben adaptar su protección de datos deben llevar a cabo una serie de actuaciones, siendo las principales las siguientes:
- Realizar un Registro de actividades de tratamiento
- Elaborar un análisis de riesgos
- Realizar una Evaluación de impacto
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los pacientes
- Facilitar los derechos de los usuarios
- Firmar los contratos con los empleados
- Nombrar un DPD
- Realizar auditorías periódicas
Registro de actividades de tratamiento
El primer paso es elaborar un registro de actividades de tratamiento de los datos que manejas en tu clínica; para ello puedes ayudarte de una serie de preguntas con las que obtengas qué tipo de datos manejas y en qué cantidad:
Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.
Debes responder a preguntas como:
- Tipo de datos que recopilo
- Finalidad del tratamiento
- Política de almacenamiento de esos datos
- Si cedo esos datos o los transfiero fuera de nuestro país
- Medios de tratamiento
El registro de actividades de tratamiento puede elaborarse tanto en formato electrónico como en soporte papel, pero en cualquier caso debe estar siempre actualizado, puesto que es uno de los documentos que la Agencia Española de Protección de Datos (AEPD) puede solicitarte en caso de inspección.
Análisis de riesgos
Para proteger adecuadamente los datos personales de los pacientes, antes debes conocer a qué riesgos están expuestos; para ello el siguiente paso debe llevar a realizar un análisis de los mismos.
A través de este análisis de riesgos tendrás que valor el tipo de contingencias de los tratamientos de datos que realices y cómo realices esos tratamientos. Una forma de llevarlo a cabo es respondiendo a esta lista de cuestiones:
- Tipo de tratamiento:
- ¿Dónde se almacenan los datos?
- ¿Durante cuánto tiempo?
- ¿En un fichero o en una base de datos?
- ¿En qué equipos?
- Naturaleza de los datos:
- Identificativos
- Financieros
- De salud
- Número de afectados:
- 1.000
- 5.000
- 50.000
Este análisis debe llevarte a implementar las medidas de seguridad adecuadas para proteger la privacidad de tus pacientes y de sus datos personales. Es importante, sobre todo cuando se almacenan en medios informáticos, contar con las medidas de seguridad más actuales, puesto que carecer de ellas puede ser motivo de sanción, como por ejemplo no contar con un firewall adecuado o un antivirus desactualizado.
Evaluación de impacto
Aunque no todas las empresas deben llevar a cabo este paso, los profesionales de esta rama sí tendrán que hacer una evaluación de impacto RGPD de los riesgos más elevados, puestos que se están manejando datos de categoría especial, puesto que los datos de la salud de las personas se consideran sensibles.
Una vez más, realizar esta evaluación debería llevarte a implementar medidas de seguridad adecuadas, para asegurarte de que estos datos no corren riesgo de quedar expuestos ante terceros o de ser robados.
Contratos con terceros
En el día a día de una clínica se comparten o ceden datos de los pacientes o los empleados con terceros (como puede ser una gestoría, un colaborador externo, la empresa que te lleva el mantenimiento informático, el profesional que te envía un paciente, etc.). Es obligatorio elaborar una lista de esos terceros a los que se les pueden llegar a ceder datos personales de los pacientes y asegurarse de que cumplen también con la normativa vigente en la materia.
Con las empresas o profesionales recopilados en esa lista, deberás firmar un contrato de encargo de tratamiento para establecer las obligaciones de estos para proteger los datos personales a los que tengan acceso como consecuencia de vuestra relación profesional.
Así mismo, también debes informar al paciente de qué datos suyos vas a compartir con estos terceros y para qué serán usados.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
Obligaciones RGPD/LOPDGDD en la página web
Si existe una página web en la que se informe de los servicios o se realice asesoramiento a posibles clientes, debes tener en cuenta que también debes adaptarla al RGPD y a la LSSI. Para ello debes incluir los textos exigidos por le ley:
- Aviso legal: es el documento donde se identifica al propietario de la página web.
- Política de privacidad: informa sobre a identidad del responsable, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las vías para ejercer los derechos ARCO.
- Política de cookies: para informar sobre el uso de cookies y solicitar consentimiento al usuario.
¿Necesitas cumplir el RGPD?
Consentimiento de pacientes
Contar con el consentimiento informado, como en cualquier procedimiento médico, es una de las obligaciones de las clínicas y profesionales que llevan a cabo estos tratamientos. Pues igual de importante en relación a la protección de datos es contar con el consentimiento de los pacientes para poder tratar sus datos personales.
El consentimiento de los pacientes puede recogerse de dos formas:
- Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
- En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
- Responsable del tratamiento,
- Finalidad para la que se van a usar los datos,
- Si se van a ceder a terceros y
- El medio por el que puede ejercer sus derechos ARCO.
El RGPD tiene como uno de sus fines principales que los usuarios o clientes sean más conscientes de la información personal de la que disponen las empresas sobre ellos y para qué se utiliza esta. De manera que cualquier cambio sobre el tratamiento de datos personales que vayas a hacer, debes comunicárselo a los interesados (ya sean tus clientes o tus empleados), a través del medio más conveniente para llegar a todos (anuncio en la página web o través de tus redes sociales, por ejemplo).
Derechos de los usuarios
Desde que entró en vigor el RGPD, los interesados, que son quienes han cedido sus datos personales, pueden ejercer una serie de derechos sobre esos datos: Pero, ¿qué son los derechos ARCO?
- Acceso a los propios datos personales;
- Rectificación si los datos son inexactos;
- Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
- Limitación del tratamiento;
- Portabilidad de los datos;
- Oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
- A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Para facilitar el cumplimiento del derecho de portabilidad, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.
También se han de implementar los mecanismos necesarios para que los interesados puedan ejercer estos derechos. Estos medios aparecerán indicados en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.
Contratos con empleados
Aunque no a todos, es muy probable que tus empleados tengan acceso a algunos datos personales de los clientes. Por ello debes asegurarte que ellos también cumplen con la protección de datos, para lo que necesitas que firmen un documento legal que garantice la confidencialidad.
Además, ten en cuenta que los empleados pueden ser una vulnerabilidad en la seguridad de los datos que manejas, especialmente si tienen acceso al sistema informático en el que los almacenas. Por ello, debes informarles o, incluso, darles la formación necesaria para que puedan evitar los ciberataques a través de sus cuentas de correo internas o y usan los ordenadores de la empresa para navegar por Internet.
Notificar brechas de seguridad
Aun poniendo todos los medios para prevenir y evitar la pérdida o robo de datos, puede ocurrir que la base de datos sufra un ciberataque y los datos personales de tus pacientes puedan quedar al descubierto, ser robados o usados con fines fraudulentos.
Si esto ocurre, el RGPD establece que tienes un plazo máximo de 72 horas para notificar las brechas de seguridad tanto a los interesados (tus pacientes) como a la AEPD. Lo ideal para poder responder rápido ante este tipo de brechas en la seguridad es contar con plan de actuación para hacer frente a esta situación.
Además, ten en cuenta que si demuestras que has puesto y tomado todas las medidas de seguridad adecuadas para prevenir y evitar ataques, esto se considerará como un atenuante de la posible sanción que te puedan aplicar.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Nombrar a un DPO
La figura del delegado de protección de datos (DPD o DPO) no es obligatoria en todas las empresas, sin embargo, al tratar con datos de categoría especial sí existirá la obligación de contar con este profesional cualificado en caso de que trate datos a gran escala.
En caso de que ejerza a título individual, no será necesario contar con un DPO.
Podrás contratar aun DPD externo, tanto a un autónomo como a una empresa que se dedique a la protección de datos, como nombrar a un miembro dentro de la plantilla. En cualquier caso, tendrás informar de la designación a la AEPD, así como de los datos de contacto del mismo.
Auditorías periódicas
También es necesario realizar auditorías periódicas. El objetivo de dichas auditorías es determinar si las medidas de seguridad implantadas son las adecuadas y subsanar las deficiencias detectadas.
Modelos de ayuda
Aquí te dejamos todos los documentos que necesitarás para adaptar tu clínica a la normativa de Protección de Datos.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.