Residencias de la tercera edad. Normativa 2024

Las personas mayores precisan de especial protección, ya que, en ocasiones, se encuentran en una situación que les impide conocer y ejercer sus derechos en igualdad de condiciones. Por ello, en este artículo te hablamos sobre la protección de datos en residencias de la tercera edad. ¿Qué deben hacer las residencias de mayores y centros de día para cumplir con el RGPD y la LOPDGDD?

Normativa aplicable

Las leyes que rigen la protección de datos en estas instituciones son:

RGPD, que es el Reglamento General de Protección de Datos, el marco europeo que todo Estado miembro de la UE ha debido adaptar a su ordenamiento jurídico.
LOPDGDD, Ley Orgánica de Protección de Datos y Garantías Digitales, la ley española que adapta el RGPD y que regula también los derechos digitales de los ciudadanos.
LSSI-CE, Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.
Ley 41/2002, de Autonomía del Paciente.
Ley 39/2006, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia.
Ley 7/1991, de Asistencia y Protección al anciano.

¿Cómo cumplir con la ley en el sector?

Desde la entrada en vigor del RGPD y la LOPDGDD en 2018 se requiere cumplir con varias obligaciones, que detallaremos en los siguientes puntos de esta guía.

Hay que tener en cuenta que los datos personales que se tratan habitualmente son datos sensibles o de categorías especiales (como se recoge en el artículo 9 del RGPD), como por ejemplo, los relativos a la salud, y que estos datos tienen una especial protección, que conlleva observar ciertas medidas técnicas y organizativas en cuanto a protección de datos, que en otro tipo de empresas u organizaciones no es necesario.

Registro de actividades de tratamiento

Una de las primeras obligaciones es elaborar un registro de actividades de tratamiento. Se trata de un documento que debe realizarse por cada tratamiento de datos que se lleve a cabo. Generalmente, en la base de datos tendremos los siguientes tratamientos:

Residentes
Empleados
Proveedores
Contabilidad
Recursos Humanos
Videovigilancia

El registro de actividades de tratamiento contendrá información concisa, pero detallada sobre todo lo relativo a dicho tratamiento de datos personales, en concreto:

Identidad y datos de contacto del responsable del tratamiento y, en su caso, del corresponsable, del encargado del tratamiento y del Delegado de Protección de Datos (DPO)
Legitimación del tratamiento
Finalidad del tratamiento
Categorías de interesados y datos
Categorías de destinatarios (cesiones a terceros)
Información relativa a transferencias internacionales de datos (si procede)
Descripción de las medidas de seguridad
Plazo de conservación de los datos

Asimismo, el libro de incidencias ha de contener todos los protocolos, programas, registros o incidencias diarias que tengan lugar en el centro.

Consentimiento de los residentes

Aunque su finalidad principal no es la prestación de atención sanitaria, entre las obligaciones se encuentran:

Proteger a los residentes de los riesgos que pudieran afectar a su salud y seguridad.
Potenciar la autonomía de las personas mayores.
Ofrecer, en la medida de lo posible, los tratamientos adecuados para el cuidado de la salud de los residentes.

Como ya hemos mencionado, para cumplir con sus responsabilidades las residencias de la tercera edad deben tener acceso a datos sensibles de los pacientes o residentes, como son los datos relacionados con la salud. Además, con el agravante de que puede haber ocasiones en las que los residentes pueden estar incapacitados para otorgar su consentimiento de forma consciente.

Entonces, ¿cómo recabar el consentimiento explícito?

Por un lado, la legislación señala que cualquier tipo de intervención debe ser consentida de forma expresa, inequívoca y voluntaria por parte del paciente.

En caso de que una persona mayor esté incapacitada para prestar consentimiento, este deberá ser otorgado por un representante, en este caso un tutor o un familiar próximo. La ley señala que esto no es impedimento para que se consulte la opinión a la persona afectada, ya que una persona incapacitada no es lo mismo que una persona incapaz. De la misma forma que no se puede llevar a una persona a una residencia sin su consentimiento, cuando este no está declarado incapaz por un juez.

Hay ciertos supuestos en los que podría no ser necesario recabar el consentimiento del residente o sus representantes, por ejemplo en caso de necesidad vital urgente o de riesgos para la salud pública. Si el residente o sus representantes no estuvieran de acuerdo con la decisión tomada en estos casos, se deberá someter a consideración judicial.

Análisis de riesgos

Otra de las obligaciones que establece la normativa de protección de datos en residencias de ancianos es la realización de un análisis de riesgos antes de comenzar un tratamiento de datos personales.

Con el análisis de riesgos se busca evaluar a qué peligros pueden exponerse los datos personales de los ancianos o empleados al ser tratados (por ejemplo, si vamos a guardar en una base datos los datos identificativos de los residentes y el número de teléfono de uno de sus familiares, ¿a qué tipo de riesgos podrían exponerse estos datos?).

Se trata de determinar el nivel de amenaza para la disponibilidad, integridad y fiabilidad de los datos, la posibilidad de que se produzca, así como del impacto negativo que podría tener en los derechos y libertades de los interesados (es decir, los ancianos o los empleados).

Evaluación de impacto

Se ha de hacer obligatoriamente una evaluación de impacto cuando vayan a tratar datos de categorías especiales, puesto que cuando se tratan este tipo de datos, existe un riesgo alto para los derechos y libertades de los interesados.

La función de la evaluación de impacto de protección de datos (EIPD) es determinar qué amenazas existen por llevar a cabo el tratamiento de datos, qué posibilidades hay de que se materialicen y qué medidas de seguridad es necesario implantar para reducir esas posibilidades, eliminarlas completamente o reducir las consecuencias negativas si se produce una brecha de seguridad que afecte a esos datos personales.

Contratos con terceros

Muchas residencias recurren a contrataciones externas para poder cubrir todas las necesidades de sus residentes, además de llevar la gestión administrativa y de los empleados. Cuando estas empresas externas necesitan tratar datos personales de residentes o empleados para poder cumplir con su cometido, es necesario cederles dichos datos.

Para que esa cesión de datos a estos terceros esté conforme con la normativa de protección de datos, esta establece la necesidad de firmar un contrato de encargado del tratamiento.

Por otra parte, también se debe indicar cuál será el destino de los datos una vez que la relación contractual termine. En este caso, el responsable del tratamiento puede eliminar los datos o solicitar que el encargado los devuelva. Una vez finalizada la relación contractual, el tercero encargado de la prestación de servicios a la residencia no podrá seguir usando esos datos.

Así mismo, también se debe informar a los interesados de que sus datos van a ser cedidos a terceros, indicando la identidad de los mismos y la finalidad de dicha cesión.

Página web

La ley también establece un requisito muy concreto para las páginas web y es la inclusión de los llamados textos legales.

Aviso legal: Es el apartado donde figuran los datos identificativos del propietario de la web, que es la propia residencia de ancianos. Como mínimo debe contener la siguiente información:
- Nombre o razón social
- NIF
- Dirección
- Email
- Nº de inscripción en el Registro Mercantil
Política de privacidad: Aquí hay que describir toda la información relativa a la gestión que se hará de los datos personales que se recaben a través de la página web (formularios, comentarios, cookies, etc.). Al menos debe mostrar:
- Responsable del tratamiento
- Finalidad del tratamiento
- Legitimación
- En qué forma se gestionarán los datos personales
- Tiempo de conservación de los datos
- Cesiones a terceros, identificando a estos
- Vía para que los interesados ejerzan sus derechos
Política de cookies: Actualmente, todas las páginas web generan cookies técnicas (también llamadas propias), pero además, si incluye botones de compartir, utiliza Google Analytics o tiene anuncios de terceros, también está generando cookies de terceros. Todo esto obliga a incluir la información relativa a las cookies, tal y como recogemos en esta guía de uso de cookies (finalidad, titular, duración, etc.).

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

Derechos de los residentes/pacientes

Se debe proveer de los mecanismos para que puedan ejercer los derechos que les reconoce la normativa sobre sus derechos, los denominados ARSLPO (antiguos derechos ARCO):

Acceso a la información personal objeto del tratamiento.
Rectificación de aquellos datos inexactos o que no se ajustan a la realidad.
Supresión, en caso de que los datos hayan sido recabados de forma ilegal o no son necesarios para la finalidad por la que se recabaron
Limitación del tratamiento, o solicitar al responsable la toma de medidas necesarias para evitar la modificación o supresión de sus datos.
Portabilidad, por ejemplo para pedir la transmisión de los datos en caso de solicitar un cambio de residencia de ancianos.
Oposición a que sus datos sean tratados con determinados fines.

Los medios para ejercer estos derechos deben indicarse en el documento de consentimiento y en la política de privacidad de la página web.

Contratos con empleados

Algunos de los empleados podrán tener acceso a los datos personales de los residentes, por lo que deben cumplir con la obligación de mantener la confidencialidad respecto a esa información, así como observar y respetar las medidas de seguridad implantadas por el responsable del tratamiento. Puede que alguno de esos trabajadores incluso tenga el deber de mantener el secreto profesional (que no está regulado en la normativa de protección de datos, pero puede conllevar sanciones penales si se incumple).

Una forma de lograr el compromiso con la confidencialidad de los empleados, es incluir las denominadas cláusulas de confidencialidad en los contratos de trabajo. Otra forma es recurrir al contrato de confidencialidad, un documento independiente, en el que se pueden especificar todas las obligaciones para los empleados en cuanto a confidencialidad y protección de datos.

Notificar brechas de seguridad

Sufrir algún tipo de incidente informático o de otra índole que pueda poner en riesgo la confidencialidad de los datos personales de residentes y/o empleados, obligará al responsable del tratamiento a notificar lo antes posible del mismo a la autoridad de control.

Así, cuando se produzca una brecha de seguridad que pueda suponer un riesgo para los derechos y libertades de los interesados, se deberá informar a la AEPD de ello en un plazo máximo de 72 horas.

También es obligatorio informar a los interesados cuyos datos hayan podido verse afectados.

Delegado de Protección de Datos

Si se dan las condiciones para tener que elaborar el registro de actividades de tratamiento y la evaluación de impacto, también se dan para tener que designar obligatoriamente a un Delegado de Protección de Datos o DPO.

La ley permite nombrar de manera interna al DPO, así como contratar a un profesional externo para que se ocupe de estas funciones.

Modelos de ayuda

Aquí te dejamos todos los documentos que necesitarás para adaptarte a la normativa de Protección de Datos.

Contrato con terceros
Página web
Compromiso confidencialidad empleados
Consentimientos
- Consentimiento clientes
- Consentimiento CV
Videovigilancia
- Carteles Videovigilancia
- Información a trabajadores de instalación de Videovigilancia
Comunicaciones
- Correos electrónicos
- Facturas

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.