Protección de datos en fisioterapia

Guía 2021

Los fisioterapeutas tratan datos relacionados con la salud de sus pacientes. Historiales clínicos, pruebas de diagnóstico o tratamientos… Esta información está considerada como datos sensibles, por lo que cuentan con una protección especial. En esta guía te contamos cómo cumplir con la protección de datos en fisioterapia para que te puedas adaptar con éxito al RGPD y la LOPDGDD.

Normativa relativa a la Protección de datos que deben cumplir las clínicas de fisioterapia en 2021

Como para cualquier otra empresa, los textos legales en los que se regula la protección de datos para fisioterapia los encontramos en:

RGPD para fisioterapeutas

El RGPD es la normativa sobre protección de datos que se aplica a nivel europeo. Esta ley incluye algunas novedades que pueden afectar a la actividad de los fisioterapeutas.

Por ejemplo, se hace hincapié en la consideración de los datos relativos a salud como categorías especiales de datos. Esta información se considera especialmente sensible y, por tanto, se trata de datos especialmente protegidos.

Para cumplir con la ley de protección de datos para fisioterapeutas es necesario, por tanto, tener en cuenta que se trata con categorías especiales de datos, y por tanto, se ha de cumplir con los requisitos de confidencialidad y obtención del consentimiento explícito.

LOPDGDD en clínicas de fisioterapia

La LOPDGDD adapta la normativa europea al marco español. Esto significa que muchos de los principios que se aplican en el RGPD también están vigentes en la LOPDGDD.

De nuevo, hay que tener en cuenta que las clínicas de fisioterapia recaban datos médicos, los cuáles son datos especialmente protegidos.

Para cumplir con la protección de datos en fisioterapia es necesario respetar la confidencialidad de los datos de los pacientes, así como obtener consentimiento informado para cualquier tipo de actuación médica.

Por otro lado, la LOPDGDD establece que las clínicas de fisioterapia han de aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos.

La normativa española también hace hincapié en el deber de informar al paciente, en concreto sobre el responsable del tratamiento, la finalidad, la cesión de datos a terceros, el plazo de conservación de los datos o las vías para ejercer sus derechos ARSULIPO.

Pasos para tener al día tu clínica de fisioterapia en materia de protección de datos

Como cualquier empresa o negocio que trate con clientes particulares, las clínicas de fisioterapia también manejan una gran cantidad de datos personales de sus pacientes, pero además, parte de esos datos son de los considerados como categoría especial al tratarse de datos de la salud, por ello, tanto si se trata de un fisioterapeuta autónomo como una clínica, deben adaptarse a la normativa vigente de protección de datos.

Las empresas que deben adaptar su protección de datos deben llevar a cabo una serie de actuaciones, siendo las principales las siguientes:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD
  10. Realizar auditorías periódicas

A continuación te explicamos paso por paso cómo adaptar la protección de datos de tu clínica de fisioterapia.

Pasos cumplir ley lopd rgpd fisioterapia

Registro de actividades de tratamiento para estar al día en protección de datos

El primer paso es elaborar un registro de actividades de tratamiento de los datos que manejas en tu clínica de fisioterapia; para ello puedes ayudarte de una serie de preguntas con las que obtengas qué tipo de datos manejas y en qué cantidad:

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

Debes responder a preguntas como:

  • Tipo de datos que recopilo
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedo esos datos o los transfiero fuera de nuestro país
  • Medios de tratamiento

El registro de actividades de tratamiento puede elaborarse tanto en formato electrónico como en soporte papel, pero en cualquier caso debe estar siempre actualizado, puesto que es uno de los documentos que la Agencia Española de Protección de Datos (AEPD) puede solicitarte en caso de inspección.

Análisis de riesgos

Para proteger adecuadamente los datos personales de los pacientes de tu clínica de fisioterapia, antes debes conocer a qué riesgos están expuestos; para ello el siguiente paso debe llevar a realizar un análisis de los mismos.

A través de este análisis de riesgos tendrás que valor el tipo de contingencias de los tratamientos de datos que realices y cómo realices esos tratamientos. Una forma de llevarlo a cabo es respondiendo a esta lista de cuestiones:

  • Tipo de tratamiento:
    • ¿Dónde se almacenan los datos?
    • ¿Durante cuánto tiempo?
    • ¿En un fichero o en una base de datos?
    • ¿En qué equipos?
  • Naturaleza de los datos:
    • Identificativos
    • Financieros
    • De salud …
  • Número de afectados:
    • 1.000
    • 5.000
    • 50.000 …..

Este análisis debe llevarte a implementar las medidas de seguridad adecuadas para proteger la privacidad de tus pacientes y de sus datos personales. Es importante, sobre todo cuando se almacenan en medios informáticos, contar con las medidas de seguridad más actuales, puesto que carecer de ellas puede ser motivo de sanción, como por ejemplo no contar con un firewall adecuado o un antivirus desactualizado.

Evaluación de impacto

Aunque no todas las empresas deben llevar a cabo este paso, los fisioterapeutas sí tendrán que hace una evaluación de impacto RGPD de los riesgos más elevados, puestos que se están manejando datos de categoría especial, puesto que los datos de la salud de las personas se consideran sensibles.

Una vez más, realizar esta evaluación debería llevarte a implementar medidas de seguridad adecuadas, para asegurarte de que estos datos no corren riesgo de quedar expuestos ante terceros o de ser robados.

Por ejemplo, ¿cómo archivas la ficha de un paciente de fisioterapia?, ¿en formato físico en un fichero o en una carpeta en el ordenador?

clínica fisioterapia

Contratos con terceros

En el día a día de una clínica de fisioterapia se comparten o ceden datos de los pacientes o los empleados con terceros (como puede ser una gestoría, un colaborador externo, la empresa que te lleva el mantenimiento informático, el profesional que te envía un paciente, etc.). Es obligación del fisioterapeuta autónomo o clínica de fisioterapia para cumplir con la protección de datos elaborar una lista de esos terceros a los que se les pueden llegar a ceder datos personales de los pacientes y asegurarse de que cumplen también con la normativa vigente en la materia.

Esto es especialmente importante si utilizas algún tipo de software de almacenamiento en la nube para gestionar los historiales de tus pacientes.

Con las empresas o profesionales recopilados en esa lista, deberás firmar un contrato de encargo de tratamiento para establecer las obligaciones de estos para proteger los datos personales a los que tengan acceso como consecuencia de vuestra relación profesional.

Así mismo, también debes informar al paciente de qué datos suyos vas a compartir con estos terceros y para qué serán usados.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Obligaciones RGPD/LOPDGDD en la página web de la clínica de fisioterapéutica

Si tu clínica de fisioterapia o tú como fisioterapeuta autónomo tenéis una página web en la que informéis de vuestros servicios o asesoréis a posibles clientes, debes tener en cuenta que también debes adaptarla al RGPD y a la LSSI. Para ello debes incluir los textos exigidos por le ley:

  • Aviso legal: es el documento donde se identifica al propietario de la página web.
  • Política de privacidad: informa sobre a identidad del responsable, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las vías para ejercer los derechos ARCO.
  • Política de cookies: para informar sobre el uso de cookies y solicitar consentimiento al usuario.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Consentimiento de pacientes

Contar con el consentimiento informado en fisioterapia, como en cualquier procedimiento médico, es una de las obligaciones de las clínicas y profesionales que llevan a cabo estos tratamientos. Pues igual de importante en relación a la protección de datos es contar con el consentimiento de los pacientes para poder tratar sus datos personales.

El consentimiento de los pacientes puede recogerse de dos formas:

  • Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
  • En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
    • Responsable del tratamiento,
    • Finalidad para la que se van a usar los datos,
    • Si se van a ceder a terceros y
    • El medio por el que puede ejercer sus derechos ARCO.

El RGPD tiene como uno de sus fines principales que los usuarios o clientes sean más conscientes de la información personal de la que disponen las empresas sobre ellos y para qué se utiliza esta. De manera que cualquier cambio sobre el tratamiento de datos personales que vayas a hacer, debes comunicárselo a los interesados (ya sean tus clientes o tus empleados), a través del medio más conveniente para llegar a todos (anuncio en la página web o través de tus redes sociales, por ejemplo).

Derechos de los usuarios

Desde que entró en vigor el RGPD, los interesados, que son los dueños de los datos personales que han cedido a tu clínica de fisioterapia, pueden ejercer una serie de derechos sobre esos datos: Pero, ¿qué son los derechos ARCO?

  • Acceso a los propios datos personales;
  • Rectificación si los datos son inexactos;
  • Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • Limitación del tratamiento;
  • Portabilidad de los datos;
  • Oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Para facilitar el cumplimiento del derecho de portabilidad, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

También es responsabilidad y obligación de la clínica de fisioterapia o del profesional proveer de los mecanismos necesarios para que los interesados puedan ejercer estos derechos. Estos medios aparecerán indicados en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

fisioterapeuta

Contratos con empleados

Aunque no a todos, es muy probable que tus empleados tengan acceso a algunos datos personales de los clientes, especialmente los fisioterapeutas, que tendrán que manejar fichas de pacientes o algún tipo de modelo de consentimiento informado para tratamiento de fisioterapia. Por ello debes asegurarte que ellos también cumplen con la protección de datos, para lo que necesitas que firmen un documento legal que garantice la confidencialidad.

Además, ten en cuenta que los empleados pueden ser una vulnerabilidad en la seguridad de los datos que manejas, especialmente si tienen acceso al sistema informático en el que los almacenas. Por ello, debes informarles o, incluso, darles la formación necesaria para que puedan evitar los ciberataques a través de sus cuentas de correo internas o y usan los ordenadores de la empresa para navegar por Internet.

Notificar brechas de seguridad

Aun poniendo todos los medios para prevenir y evitar la pérdida o robo de datos, puede ocurrir que la base de datos de tu clínica de fisioterapia sufra un ciberataque y los datos personales de tus pacientes puedan quedar al descubierto, ser robados o usados con fines fraudulentos.

Si esto ocurre, el RGPD establece que tienes un plazo máximo de 72 horas para notificar las brechas de seguridad tanto a los interesados (tus pacientes) como a la AEPD. Lo ideal para poder responder rápido ante este tipo de brechas en la seguridad es contar con plan de actuación para hacer frente a esta situación.

Además, ten en cuenta que si demuestras que has puesto y tomado todas las medidas de seguridad adecuadas para prevenir y evitar ataques, esto se considerará como un atenuante de la posible sanción que te puedan aplicar.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Nombrar a un DPO

La figura del delegado de protección de datos (DPD o DPO) no es obligatoria en todas las empresas, sin embargo, al tratarse con datos de categoría especial, tu clínica de fisioterapia sí tendrá la obligación de contar con este profesional cualificado en caso de que trate datos a gran escala.

En caso de que el fisioterapeuta actúe a título individual, no será necesario contar con un DOP.

Podrás contratar aun DPD externo, tanto a un autónomo como a una empresa que se dedique a la protección de datos, como nombrar a un miembro dentro de la plantilla. En cualquier caso, tendrás informar de la designación a la AEPD, así como de los datos de contacto del mismo.

Auditorías periódicas

Para cumplir con la protección de datos en una clínica de fisioterapia también es necesario realizar auditorías periódicas. El objetivo de dichas auditorías es determinar si las medidas de seguridad implantadas son las adecuadas y subsanar las deficiencias detectadas.

Sanciones por no cumplir con la normativa

Ten en cuenta que las sanciones por no cumplir la ley de protección de datos para fisioterapia pueden ser bastante elevadas. La cuantía de las multas LOPD depende de la gravedad de la infracción. Así, tenemos:

  • Infracciones leves: multa de hasta 40.000 €
  • Infracciones graves: multa de 40.001 € a 300.000 €
  • Infracciones muy graves: multa entre 300.001 € a 20.000.000 € o hasta el 4% de la facturación del último ejercicio.

¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista

Cumplir con la protección de datos en fisioterapia es imprescindible para evitar sanciones.

Para ello, es fundamental contar con una consultoría especializada en protección de datos.

En Grupo Atico34 llevamos más de 12 años ofreciendo nuestros servicios a hospitales, centros médicos, farmacéuticas y clínicas de fisioterapia.

Contamos con profesionales especializados en todo lo referente a la protección de los datos médicos.

Nos actualizamos constantemente para estar al tanto de la normativa y de las nuevas exigencias en cuanto a los datos relativos a la salud y las categorías especiales de datos.

Si necesitas una consultora especializada en protección de datos, no lo dudes más y ponte en contacto con nosotros sin compromiso.

Resumen para que un centro de fisioterapia cumpla la Ley de protección de datos

Para cumplir con la protección de datos en fisioterapia debes tener en cuenta una serie de requisitos básicos. Este es nuestro resumen.

En primer lugar, debes informar al usuario sobre la identidad del responsable del tratamiento, la base legitimadora del tratamiento, la finalidad de recogida de datos, la cesión de datos a terceros, el plazo de conservación de los datos o las vías para ejercer los derechos ARCO.

También has de tener en cuenta que tratarás con datos médicos como el historial clínico. Esta información está considerada como categorías especiales de datos, por lo que están especialmente protegidos.

Por ello, debes aplicar las medidas técnicas y organizativas necesarias para garantizar la confidencialidad, integridad y seguridad de los datos, asegurando su correcta custodia y su protección frente a pérdidas, robos o daños accidentales.

Ten en cuenta también que el consentimiento informado no será necesario para la prestación de asistencia o para el diagnóstico, pero sí lo será para la realización de actuaciones médicas en el paciente.

Por último, ten en cuenta que si tu clínica de fisioterapia va a tratar datos sensibles a gran escala será necesario que realices una evaluación de impacto y que cuentes con un Delegado de Protección de Datos. No será necesario si ejerces a título individual.

Modelos de ayuda a fisioterapeutas

Aquí te dejamos todos los documentos que necesitarás para adaptar tu clínica de fisioterapia a la normativa de Protección de Datos.

Preguntas frecuentes

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

El RGPD no establece un plazo concreto sino que se indica que los datos deben guardarse durante el tiempo en que sean necesarios para la finalidad para la que se recabaron y mientras sean exigibles responsabilidades derivadas de los mismos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento. Pero cada Comunidad autónoma, al tener atribuidas las competencias en materia de sanidad, puede establecer plazos distintos.

¿Puedo contratar una empresa externa para destruir los historiales clínicos?

Sí puedes. Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

¿Puedo utilizar Whatsapp para comunicarme con mis pacientes?

Sí, puedes hacerlo. Pero siempre que tengas el consentimiento de tus pacientes para ello.

Esta app de mensajería comparte datos de clientes con Facebook sin comunicárselo de forma clara al usuario ni darle la opción de negarse a ello. Esto es algo ilegal según la actual regulación de datos. Por tanto, el uso de este sistema de comunicación sin consentimiento puede conllevar importantes sanciones.

¿Puedo facilitar información del paciente a sus familiares?

La respuesta es, depende. A los familiares se les podrá facilitar la información siempre que acrediten un interés legítimo, así como, su identidad y siempre y cuando el paciente no haya manifestado expresamente su voluntad de lo contrario.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.