Com implementar la protecció de dades en clíniques?


Cada sector necessita implementar la protecció de dades segons les necessitats que tingui. Però quan parlem de sectors sanitaris o de cura, com les clíniques, hem de saber que les obligacions que han d’assumir són variades i complexes, ja que en aquest àmbit es tracten dades sensibles.

És molt important garantir la privacitat i la seguretat de la informació personal i clínica dels pacients. Per això volem detallar-te quines són les principals responsabilitats i mesures que han d’implementar-se en aquest àmbit, com per exemple a clíniques de salut, clíniques dentals, clíniques d’estètica, clíniques de salut mental (psicòlegs o terapeutes), clíniques de salut reproductiva, fisioterapeutes, òptiques, dietistes…

Què necessita la teva clínica per complir amb el RGPD?

Política de protecció de dades

Com qualsevol altre negoci han de complir amb la protecció de dades interna (LOPDGDD i RGPD) i la política de privacitat a pàgines web (LSSICE). Aquestes serien les obligacions mínimes:

  • Document de seguretat intern o política de protecció de dades.
  • Avisos legals per la pàgina web i clàusules de primera capa per formularis web.
  • Contractes d’encarregats de tractament.
  • Signar acord de compromisos amb els treballadors.
  • Clàusules per procediments interns com les factures, pressupostos…
  • Tenir l’autorització del pacient per la gestió fiscal, administrativa i comptable del centre.

A més, al fer un tractament de dades personals sensibles també hauran de:

  • Realitzar un RAT (Registre d’Activitats de Tractament) com responsables de les dades que tractin o com encarregats del tractament.
  • S’hauria de fer obligatòriament una PIA (Avaluació d’Impacte) pel tractament de dades dels pacients i, a més, s’haurà de valorar per altres tractaments que puguin fer a la clínica.
  • Signar un descàrrec de responsabilitat.

Clàusula informativa en el full d’inscripció

Al moment de la inscripció d’un nou pacient o resident, és obligatori incloure una clàusula informativa sobre el tractament de les dades personals. Aquesta clàusula ha de detallar les finalitats del tractament, tals com el consentiment per generar la història clínica i la seva gestió, com també la gestió de l’estança de l’usuari en la residència. D’aquesta manera, es garanteix que els individus estiguin informats des del principi sobre com es tractarà la seva informació.

Autorització per la cessió de dades clíniques

És imprescindible obtenir una  autorització explícita del pacient per la cessió de dades clíniques en situacions d’urgència, quan intervinguin altres professionals externs en el procés o es requereixin en serveis concertats en el centre, com psicologia, fisioteràpia, entre d’altres.

Aquesta autorització ha d’estar clarament documentada per assegurar que es compleixin amb les normatives de privacitat i protecció de dades.

Autorització per la cessió d’imatges

La utilització d’imatges de pacients, especialment per la publicació d’activitats, requereix una autorització específica. Aquesta autorització ha de ser clara i explícita, assegurant que els individus o els seus representants legals estiguin completament informats i d’acord amb l’ús de les seves imatges.

Alguns consentiments relacionats amb la imatge que hauran d’autoritzar els pacients són:

  • Consentiment del tractament de fotografies per a l’abans, durant i després del procés (per fins educatius, clínics i mèdics).
  • Consentiment pel tractament d’imatges pel correcte diagnòstic.
  • Consentiment (per separat) per la publicació a xarxes socials, web, revistes, entre d’altres. I sempre que el pacient no sigui reconegut.
  • Consentiment per publicar vídeos de testimonis.
  • Aquests consentiments permeten que les imatges es puguin utilitzar sense termini temporal (també de forma internacional, si es publiquen a Internet).

Signatura de tutors legals per menors o persones incapacitades

En els casos de menors d’edat o persones incapacitades, és obligatori que l’autorització i qualsevol documentació relacionada amb la protecció de dades sigui signada pel seu tutor legal o representant legal. Això assegura que els drets d’aquestes persones estan protegits i que qualsevol decisió presa està en mans d’una autoritat responsable.

Mesures de seguretat

Les clíniques i residències treballen amb dades altament sensibles, com les dades clíniques. Per això, és crucial implementar mesures de seguretat robustes:

  • Protecció contra atacs de tercers: S’han d’establir sistemes de seguretat que protegeixin les dades contra accessos no autoritzats i ciberatacs. Això inclou l’ús de firewalls, sistemes d’encriptació i altres tecnologies avançades de seguretat.
  • Assignació de funcions i rols: Ha d’existir una política clara d’assignació de funcions i rols dins del centre, limitant l’accés a les històries clíniques únicament a aquells treballadors que el seu càrrec ho requereixi. Això minimitza el risc d’accés no autoritzat i garanteix que només el personal autoritzat tracti dades sensibles.

Canal de denúncies

Per centres amb més de 49 treballadors, és essencial disposar d’un canal de denúncies que permeti reportar pràctiques abusives o de corrupció de manera confidencial. Aquest mecanisme no només protegeix als treballadors, sinó que també contribueix a mantenir la integritat i l’ètica dins del centre.

Des de PymeLegal oferim aquest servei amb una plataforma de canal de denúncies perquè ho implementis en el teu negoci.

Duració de la conservació de les dades

La conservació de les dades ha de ser limitada i d’acord amb la normativa vigent. És crucial definir temps específics de retenció per les dades de l’historial clínic i altres dades personals, tenint en compte la regulació de les Comunitats Autònomes en aspectes sanitaris.

Es captarà el consentiment del pacient per conservar les dades fins que ja no siguin necessàries per als fins pels quals van ser recol·lectats i, per tant, han de ser eliminades de manera segura.

Drets dels pacients respecte al tractament de dades

Els pacients podran sol·licitar i accedir als seus drets d’accés, rectificació, portabilitat, supressió, limitació i oposició.

 

La implementació d’aquestes obligacions en clíniques és fonamental per garantir la protecció de les dades personals i de salut dels pacients.

Complir amb aquestes responsabilitats és obligatori per no infringir la normativa vigent i també per enfortir la confiança dels usuaris.

A més, si s’infringeixen aquestes obligacions l’AEPD (Agència Espanyola de Protecció de Dades) pot sancionar-te. Com en el cas recent d’una clínica dental que ha estat multada per 30.000€ en total.

La primera infracció de 20.000€ per sol·licitar la còpia del DNI, quan ja tenia totes les dades de la persona, incomplint l’art. 5.1.c del RGPD on es recull el principi de minimització de dades. I la segona infracció de 10.000€ per no atendre la reclamació de l’usuari que va enviar un correu electrònic a l’empresa, dirigit també al DPD, amb relació a la sol·licitud de la còpia del DNI i aquest mail no va ser respost ni llegit per part del DPD, infringint així l’art. 38 del RGPD.

Si tens una clínica i encara no compleixes amb tots aquests processos obligatoris, contacta’ns i et farem una proposta de consultoria a mida o DPD per les necessitats que tinguis.

L’equip de PymeLegal