Masajistas y fisioterapeutas. Normativa 2024

Los fisioterapeutas tratan datos relacionados con la salud de sus pacientes. Historiales clínicos, pruebas de diagnóstico o tratamientos… Esta información está considerada como datos sensibles, por lo que cuentan con una protección especial. En esta guía te contamos cómo deben adaptarse estos profesionales a la normativa actual.

¿Qué normativa deben cumplir estos especialistas?

Los textos legales que regulan la protección de datos en fisioterapia son:

RGPD o Reglamento General de Protección de datos.
LOPDGDD o Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales.
Y con carácter particular, en la Ley 41/2002, de Autonomía del Paciente.

Pasos para tener al día tu clínica en materia de protección de datos

Las empresas que deben adaptar su protección de datos deben llevar a cabo una serie de actuaciones, siendo las principales las siguientes:

Realizar un Registro de actividades de tratamiento
Elaborar un análisis de riesgos
Realizar una Evaluación de impacto
Firmar los contratos con terceros
Incluir los textos legales en la página web
Solicitar el consentimiento a los pacientes
Facilitar los derechos de los usuarios
Firmar los contratos con los empleados
Nombrar un DPD
Realizar auditorías periódicas

Registro de actividades de tratamiento

El primer paso es elaborar un registro de actividades de tratamiento de los datos que manejas en tu clínica; para ello puedes ayudarte de una serie de preguntas con las que obtengas qué tipo de datos manejas y en qué cantidad:

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

Debes responder a preguntas como:

Tipo de datos que recopilo
Finalidad del tratamiento
Política de almacenamiento de esos datos
Si cedo esos datos o los transfiero fuera de nuestro país
Medios de tratamiento

El registro de actividades de tratamiento puede elaborarse tanto en formato electrónico como en soporte papel, pero en cualquier caso debe estar siempre actualizado, puesto que es uno de los documentos que la Agencia Española de Protección de Datos (AEPD) puede solicitarte en caso de inspección.

Análisis de riesgos

Para proteger adecuadamente los datos personales de los pacientes, antes debes conocer a qué riesgos están expuestos; para ello el siguiente paso debe llevar a realizar un análisis de los mismos.

A través de este análisis de riesgos tendrás que valor el tipo de contingencias de los tratamientos de datos que realices y cómo realices esos tratamientos. Una forma de llevarlo a cabo es respondiendo a esta lista de cuestiones:

Tipo de tratamiento:
- ¿Dónde se almacenan los datos?
- ¿Durante cuánto tiempo?
- ¿En un fichero o en una base de datos?
- ¿En qué equipos?
Naturaleza de los datos:
- Identificativos
- Financieros
- De salud
Número de afectados:
- 1.000
- 5.000
- 50.000

Este análisis debe llevarte a implementar las medidas de seguridad adecuadas para proteger la privacidad de tus pacientes y de sus datos personales. Es importante, sobre todo cuando se almacenan en medios informáticos, contar con las medidas de seguridad más actuales, puesto que carecer de ellas puede ser motivo de sanción, como por ejemplo no contar con un firewall adecuado o un antivirus desactualizado.

Descarga aquí todos los modelos gratis para tu clínica de fisioterapia

Evaluación de impacto

Aunque no todas las empresas deben llevar a cabo este paso, los profesionales de esta rama sí tendrán que hacer una evaluación de impacto RGPD de los riesgos más elevados, puestos que se están manejando datos de categoría especial, puesto que los datos de la salud de las personas se consideran sensibles.

Una vez más, realizar esta evaluación debería llevarte a implementar medidas de seguridad adecuadas, para asegurarte de que estos datos no corren riesgo de quedar expuestos ante terceros o de ser robados.

Contratos con terceros

En el día a día de una clínica se comparten o ceden datos de los pacientes o los empleados con terceros (como puede ser una gestoría, un colaborador externo, la empresa que te lleva el mantenimiento informático, el profesional que te envía un paciente, etc.). Es obligatorio elaborar una lista de esos terceros a los que se les pueden llegar a ceder datos personales de los pacientes y asegurarse de que cumplen también con la normativa vigente en la materia.

Con las empresas o profesionales recopilados en esa lista, deberás firmar un contrato de encargo de tratamiento para establecer las obligaciones de estos para proteger los datos personales a los que tengan acceso como consecuencia de vuestra relación profesional.

Así mismo, también debes informar al paciente de qué datos suyos vas a compartir con estos terceros y para qué serán usados.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Obligaciones RGPD/LOPDGDD en la página web

Si existe una página web en la que se informe de los servicios o se realice asesoramiento a posibles clientes, debes tener en cuenta que también debes adaptarla al RGPD y a la LSSI. Para ello debes incluir los textos exigidos por le ley:

Aviso legal: es el documento donde se identifica al propietario de la página web.
Política de privacidad: informa sobre a identidad del responsable, la finalidad del tratamiento, la cesión de datos a terceros, el plazo de conservación de datos o las vías para ejercer los derechos ARCO.
Política de cookies: para informar sobre el uso de cookies y solicitar consentimiento al usuario.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Consentimiento de pacientes

Contar con el consentimiento informado, como en cualquier procedimiento médico, es una de las obligaciones de las clínicas y profesionales que llevan a cabo estos tratamientos. Pues igual de importante en relación a la protección de datos es contar con el consentimiento de los pacientes para poder tratar sus datos personales.

El consentimiento de los pacientes puede recogerse de dos formas:

Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.
En caso de que el paciente facilite sus datos personalmente en la clínica, debe firmar un documento en el que se le informe sobre:
- Responsable del tratamiento,
- Finalidad para la que se van a usar los datos,
- Si se van a ceder a terceros y
- El medio por el que puede ejercer sus derechos ARCO.

El RGPD tiene como uno de sus fines principales que los usuarios o clientes sean más conscientes de la información personal de la que disponen las empresas sobre ellos y para qué se utiliza esta. De manera que cualquier cambio sobre el tratamiento de datos personales que vayas a hacer, debes comunicárselo a los interesados (ya sean tus clientes o tus empleados), a través del medio más conveniente para llegar a todos (anuncio en la página web o través de tus redes sociales, por ejemplo).

Derechos de los usuarios

Desde que entró en vigor el RGPD, los interesados, que son quienes han cedido sus datos personales, pueden ejercer una serie de derechos sobre esos datos: Pero, ¿qué son los derechos ARCO?

Acceso a los propios datos personales;
Rectificación si los datos son inexactos;
Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
Limitación del tratamiento;
Portabilidad de los datos;
Oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Para facilitar el cumplimiento del derecho de portabilidad, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

También se han de implementar los mecanismos necesarios para que los interesados puedan ejercer estos derechos. Estos medios aparecerán indicados en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

Contratos con empleados

Aunque no a todos, es muy probable que tus empleados tengan acceso a algunos datos personales de los clientes. Por ello debes asegurarte que ellos también cumplen con la protección de datos, para lo que necesitas que firmen un documento legal que garantice la confidencialidad.

Además, ten en cuenta que los empleados pueden ser una vulnerabilidad en la seguridad de los datos que manejas, especialmente si tienen acceso al sistema informático en el que los almacenas. Por ello, debes informarles o, incluso, darles la formación necesaria para que puedan evitar los ciberataques a través de sus cuentas de correo internas o y usan los ordenadores de la empresa para navegar por Internet.

Notificar brechas de seguridad

Aun poniendo todos los medios para prevenir y evitar la pérdida o robo de datos, puede ocurrir que la base de datos sufra un ciberataque y los datos personales de tus pacientes puedan quedar al descubierto, ser robados o usados con fines fraudulentos.

Si esto ocurre, el RGPD establece que tienes un plazo máximo de 72 horas para notificar las brechas de seguridad tanto a los interesados (tus pacientes) como a la AEPD. Lo ideal para poder responder rápido ante este tipo de brechas en la seguridad es contar con plan de actuación para hacer frente a esta situación.

Además, ten en cuenta que si demuestras que has puesto y tomado todas las medidas de seguridad adecuadas para prevenir y evitar ataques, esto se considerará como un atenuante de la posible sanción que te puedan aplicar.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Nombrar a un DPO

La figura del delegado de protección de datos (DPD o DPO) no es obligatoria en todas las empresas, sin embargo, al tratar con datos de categoría especial sí existirá la obligación de contar con este profesional cualificado en caso de que trate datos a gran escala.

En caso de que ejerza a título individual, no será necesario contar con un DPO.

Podrás contratar aun DPD externo, tanto a un autónomo como a una empresa que se dedique a la protección de datos, como nombrar a un miembro dentro de la plantilla. En cualquier caso, tendrás informar de la designación a la AEPD, así como de los datos de contacto del mismo.

Auditorías periódicas

También es necesario realizar auditorías periódicas. El objetivo de dichas auditorías es determinar si las medidas de seguridad implantadas son las adecuadas y subsanar las deficiencias detectadas.

Modelos de ayuda

Aquí te dejamos todos los documentos que necesitarás para adaptar tu clínica a la normativa de Protección de Datos.

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.