Protección de Datos para veterinarios

Guía 2021

Aunque para muchas personas, sus mascotas son un miembro más de su familia, la normativa de protección de datos no se les aplica, sin embargo, esto no quiere decir que las clínicas veterinarias no tengan que adaptarse también la Ley de Protección de Datos, puesto que sí manejan datos personales de los dueños de los animales. En esta guía veremos las principales obligaciones para veterinarios en protección de datos.

Normativa de Protección de Datos que afectan a veterinarios

Cuando hablamos de la normativa de protección de datos para veterinarios (y cualquier otro tipo de empresa u organización), nos estamos refiriendo en concreto a Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales (LOPDGDD) y al Reglamento General de Protección de Datos (RGPD).

En ambas leyes encontraremos todos los aspectos que regulan la protección de datos tanto en España como en el territorio de la UE.

Además, las clínicas veterinarias, especialmente aquellas que tienen página web, también deben tener en consideración la Ley de los Servicios de la Sociedad de la Información y el Comercio Electrónico (LSSI-CE).

LOPDGDD en clínicas veterinarias

La LOPDGDD es la evolución de la antigua LOPD para veterinarios, puesto que a través de ella se adapta el RGPD al ordenamiento jurídico español, introduciendo las obligaciones y regulaciones que hasta su entrada en vigor en diciembre de 2018, no formaban parte de la legislación de protección de datos española.

Aspectos como el registro de actividades de tratamiento, la figura del delegado de protección de datos o la inclusión de nuevos derechos para los ciudadanos respecto a sus datos personales (derecho de portabilidad y derecho al olvido), así como la obligación de recabar el consentimiento expreso para el tratamiento de datos personales de los interesados.

Además, esta Ley también regula los derechos digitales de los ciudadanos, como el derecho a la desconexión digital.

Cumplir con la LOPDGDD implica cumplir con el RGPD, aunque también matiza y concreta algunos aspectos del Reglamento, que son de carácter más general y que cada Estado miembro tiene libertad para adaptar según su propia legislación.

Así mismo, la LOPDGDD establece a la Agencia Española de Protección de Datos como autoridad de control competente en materia de protección de datos, con potestad para gestionar denuncias, llevar a cabo investigaciones e inspecciones, así como imponer sanciones administrativas cuando proceda.

RGPD para veterinarios

Este reglamento de protección de datos europeo se desarrolló con el objetivo de crear un marco único de protección de datos para toda la UE y con el fin de dar mayor control sobre sus datos personales a los ciudadanos.

A través de una serie de principios generales de protección de datos, obligaciones y un régimen sancionador endurecido, el RGPD establece los requisitos que toda organización privada o pública debe cumplir para garantizar la protección de datos personales de los ciudadanos, dividiendo estos en dos categorías: datos de categorías generales (identificativos, educativos, financieros, etc.) y datos de categorías especiales o datos sensibles (sexo, orientación sexual, salud, ideología, religión, etc.), que en principio no se pueden tratar, salvo las excepciones recogidas en el artículo 9 del Reglamento.

Como ya hemos dicho con la LOPDGDD, al cumplir el RGPD los veterinarios cumplen también con la legislación española en gran medida.

¿Cómo deben adaptarse las clínicas veterinarias a la Ley de Protección de datos?

Para adaptarse a la Ley de Protección de datos, la clínica veterinaria debe cumplir con una serie de obligaciones documentales y organizativas que garantizarán no solo el correcto tratamiento de datos personales, sino su obtención legítima, su salvaguarda y protección y una adecuada gestión y eliminación de los mismos una vez hayan cumplido la finalidad para la que fueron recabados.

A lo largo de los siguientes puntos, describiremos estas obligaciones.

Registro de actividades de tratamiento

Si en la clínica veterinaria se van a tratar grandes cantidades de datos o entre los datos a tratar alguno pertenece a categorías especiales, es obligatorio llevar un registro de actividades de tratamiento.

Se trata de un documento que lista toda la información relacionada con los tratamientos de datos personales que se llevan a cabo por parte de la clínica veterinaria, que es la responsable del tratamiento. Por cada tratamiento de datos es necesario hacer uno de estos registros, en los que debe aparecer la siguiente información:

  • Nombre (o razón social) y datos de contacto del responsable del tratamiento y, si lo hay, del corresponsable, del encargado del tratamiento y del delegado de protección de datos (DPO)
  • La base legitimadora del tratamiento
  • La finalidad del tratamiento
  • Descripción de las categorías de datos e interesados
  • Descripción de las categorías de destinatarios (es decir, las cesiones de datos a terceros)
  • Si se producen transferencias internacionales de datos personales, toda la información relativa a ellas
  • Descripción de las medidas de seguridad implementadas
  • Plazo de conservación de los datos

El registro de actividades de tratamiento es un documento de carácter interno, pero que siempre debe estar actualizado y a disposición de la AEPD, si esta lo pide en el proceso de una inspección.

Contratos con terceros

¿Tienes contratado los servicios de una gestoría para gestionar las nóminas de los empleados en tu clínica veterinaria? ¿O tienes usas una plataforma de almacenamiento en la nube para guardar los informes e historiales de los animales de tus clientes? ¿O cualquier otro servicio externo que necesite acceder a los datos personales de tus clientes o empleados para poder gestionarlo?

En esos casos estás cediendo datos personales a terceros, algo que la ley permite hacer siempre y cuando esté legitimado, se informe a los interesados cuyos datos van a ser cedidos y se haya firmado con esos terceros un contrato de encargo del tratamiento.

A través de este contrato el responsable del tratamiento establece las obligaciones y responsabilidades del encargado del tratamiento respecto a los datos personales que se le ceden y el tratamiento que se le encarga hacer.

Los textos legales en la página web

Muchas empresas y negocios cuentan actualmente con su propia página web para promocionar sus servicios y darse a conocer e, incluso, en algunos casos, llevar a cabo la venta de productos o la contratación de servicios.

Si tu clínica veterinaria tiene una página web, incluso si solo es informativa, debes incluir una serie de textos legales, tal y como recogen tanto la normativa de protección de datos como la LSSI-CE.

Estos textos legales son:

  • Aviso legal: Este apartado debe contener toda la información respecto a la identidad del propietario de la web, es decir, la clínica veterinaria o el veterinario si se trata de un autónomo:
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • Nº de inscripción en el Registro Mercantil / Nº de colegiado
  • Política de privacidad: En esta sección se debe incluir toda la información relativa a la gestión y tratamiento de datos personales que se hará a través de la página web. Al menos debe incluir:
    • Nombre del responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Descripción de la forma en que se gestionarán los datos personales
    • El plazo de conservación de los datos
    • Si se producirán cesiones a terceros y cuáles son estos
    • Vías para que los interesados ejerzan sus derechos
  • Política de cookies: Ten en cuenta que cualquier página web genera cookies, las propias (denominadas muchas veces técnicas) y las de terceros (por ejemplo, si empleas Google Analytics); las cookies registran datos personales, motivo por el cual es necesario informar sobre ellas y dar al usuario la opción de aceptarlas o no o configurar aquellas que acepte que se usen. La política web debe recoger toda la información relativa a estas cookies (su finalidad, quién es el titular, su duración, etc.), tal y como recoge la ley de cookies actual.

Y si además llevases a cabo la venta de algún producto para mascotas, también debes incluir:

  • Términos y condiciones de venta: En este texto legal se detallan las condiciones de venta de productos. Debe incluir:
    • Precios
    • Plazos y políticas de venta
    • Métodos de pago
    • Condiciones particulares
    • Política de devolución
    • Derechos de desistimiento

Los textos legales deben ser accesibles desde cualquier lugar de la página web, por lo que es habitual que aparezcan siempre en el pie de la página.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

Consentimiento de clientes

Ya lo mencionamos más arriba, pero desde la entrada en vigor del RGPD, es obligatorio recabar el consentimiento expreso de los interesados para poder llevar a cabo cualquier tipo de tratamiento de datos.

En el caso de los veterinarios, este consentimiento expreso puede recogerse a través de un documento de consentimiento, que debe firmar y en el que se informe al cliente de:

  • Los datos que se van a recoger
  • La identidad del responsable del tratamiento
  • La finalidad del tratamiento
  • Si los datos recogidos se cederán a terceros e identificación de los mismos
  • Y los mecanismos para poder ejercer sus derechos

Si en la página web tienes formularios de contacto, estos deben incluir una casilla desmarcada de «acepto política de privacidad», con enlace a dicha política de privacidad, que el interesado tendrá que marcar para dar su consentimiento.

Cada vez que lleves a cabo un nuevo tratamiento de datos o cambie la finalidad para la que fueron recabados esos datos, deberán volver a solicitar el consentimiento de tus clientes.

Contratos con empleados

Si los empleados de la clínica veterinaria van a tener acceso a los datos personales de tus clientes, es importante que ellos también cumplan con las obligaciones de la normativa de protección de datos, porque sus infracciones serán las infracciones de tu clínica.

Por lo tanto, aparte de concienciarles de la importancia de la confidencialidad y de respetar y observar las medidas de seguridad implantadas en la clínica para salvaguardar la información personal de tus clientes, puedes reforzar el cumplimiento de estas obligaciones mediante la firma de un acuerdo de confidencialidad o incluirlas en una cláusula de confidencialidad dentro del contrato de trabajo.

Realizar un Análisis de riesgos

Independientemente de la cantidad de datos personales que manejes, es obligatorio llevar a cabo un análisis de riesgos con carácter previo a realizar ningún tratamiento de datos.

Al realizar un tratamiento de datos personales, los datos pueden quedar expuestos a una serie de riesgos derivados de la propia naturaleza de los datos, los medios empleados para llevar a cabo el tratamiento, la forma o soporte en que se guardan esos datos o si se producen cesiones a terceros.

El análisis de riesgos servirá para determinar el nivel de riesgo que sobre los derechos y libertades de los interesados (tus clientes) tiene el hecho de realizar el tratamiento de datos, de manera que se puedan diseñar e implantar las medidas de seguridad adecuadas para reducir las posibilidades de que dichos riesgos se materialicen o, en caso de hacerlo, se pueda minimizar su impacto (por ejemplo, si los datos personales han sido anonimizados, su filtración puede producir menos perjuicios a los interesados afectados, que si no lo hubieran sido).

Además, si el riesgo resultara ser especialmente alto, se deberá llevar a cabo una evaluación de impacto, aunque es raro que una clínica veterinaria necesite hacerla, pero puede darse el caso si se manejan datos sensibles o se traten grandes cantidades de datos personales de manera sistemática.

Derechos de los usuarios

Para adaptarse a la normativa de protección de datos, los veterinarios también deben facilitar a sus clientes los mecanismos para poder ejercer sus derechos ARCO (o ARSLPO):

  • Acceso
  • Rectificación
  • Supresión
  • Limitación del tratamiento
  • Portabilidad
  • Oposición

Estos derechos tienen como objetivo permitir a los ciudadanos tener un mayor control sobre sus datos personales. Los mecanismos para su ejercicio deben aparecer en el documento de consentimiento.

No responder a las solicitudes de estos derechos u obstaculizarlos de alguna manera, son motivo de sanción por parte de la AEPD.

Notificar violaciones de seguridad

Si en algún momento se produce un incidente de seguridad relativo a los datos personales que se tratan en la clínica veterinaria, que pueda poner en riesgo los derechos y libertades de los interesados, es obligatorio notificar a la autoridad competente del incidente.

El plazo para notificar a la AEPD de una de estas brechas de seguridad es de 72 horas, sobrepasar dicho plazo o no informar, es motivo de sanción.

También se debe informar a los interesados cuyos datos puedan haberse visto afectados.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Modelos de ayuda a Clínicas veterinarias

Si necesitas alguno de los documentos que hemos mencionado para adaptar tu clínica veterinaria a la protección de datos, a continuación puedes encontrar varios modelos y plantillas que te pueden servir de ayuda.

Sanciones por incumplir la normativa vigente

Hemos mencionado ya en varias ocasiones acciones que pueden ser motivo de sanción; el RGPD y la LOPDGDD establecen un régimen sancionador para aquellas entidades que no cumplen debidamente con la normativa de protección de datos, tanto si es por negligencia (es decir, no cumplir de manera adecuada y suficiente con las obligaciones que exige la ley) como si existe intencionalidad.

Las infracciones y las cuantías de las sanciones correspondientes se gradúan basándose en una serie de factores, como el número de personas afectadas, el tipo de infracción o la duración en el tiempo.

La LOPDGDD establece las siguientes infracciones y sanciones:

  • Infracciones leves (art. 74) = hasta 40.000 euros de multa
  • Infracciones graves (art. 73) = desde 40.000 a 300.000 euros de multa
  • Infracciones muy graves (art. 72) = desde 300.000 a 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte mayor)

Enviar comunicaciones comerciales a tus clientes sin su consentimiento, compartir sus datos personales con terceros sin informarle o no atender una solicitud de derecho de acceso a sus datos personales, son ejemplos de acciones infractoras por las que tu clínica veterinaria puede ser sancionada.

protección de datos veterinarios

Preguntas frecuentes

Si ya tenéis claro cómo deben adaptarse a la normativa de protección de datos los veterinarios, vamos a dar respuesta a algunas de las preguntas más habituales sobre el tema.

¿Qué datos personales recogen los veterinarios?

Los datos personales que recogen los veterinarios son en la gran mayoría de los casos datos de categorías generales, es decir, datos identificativos (nombre, dirección postal, dirección de email, teléfono…) y datos bancarios.

¿Los historiales clínicos de los animales recogen datos personales?

No. La normativa de protección de datos se aplica exclusivamente a las personas físicas por lo que los historiales clínicos por contener datos de los animales quedan fuera de su aplicación.

¿Para publicar las fotografías de las mascotas de mis clientes en un tablón de la clínica, necesito su autorización?

Tratándose de animales no se aplicaría la normativa de protección de datos. Pero si en estas fotografías apareciesen sus dueños, debería contarse con su consentimiento.

¿Qué debo hacer con los currículums que me dejan en recepción?

En el caso de que una persona nos entregue su curriculum debemos:

  • Informarle de que lo vamos a guardar
  • Facilitarle el ejercicio de sus derechos ARCO, en caso de que quiera cancelar o rectificar sus datos.

Para ello debe firmar un consentimiento para tratar sus datos personales. Si no lo hacemos, nos enfrentamos a importantes sanciones en caso de denuncia. El hecho de que nos deje su CV no es consentimiento suficiente.

Ahora que ya conoces los pasos, comienza cuanto antes la adaptación de tu clínica veterinaria a la nueva normativa de Protección de Datos.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.