Cada sector necesita implementar la protección de datos según las necesidades que tenga. Pero cuando hablamos de sectores sanitarios o de cuidado, como las clínicas, debemos saber que las obligaciones que deben asumir son variadas y complejas, ya que en este ámbito se tratan datos sensibles.
Es muy importante garantizar la privacidad y la seguridad de la información personal y clínica de los pacientes. Por eso queremos detallarte cuáles son las principales responsabilidades y medidas que deben implementarse en este ámbito, como por ejemplo en clínicas de salud, clínicas dentales, clínicas de estética, clínicas de salud mental (psicólogos o terapeutas), clínicas de salud reproductiva, fisioterapeutas, ópticas, dietistas…
¿Qué necesita tu clínica para cumplir con el RGPD?
Política de protección de datos
Como cualquier otro negocio debe cumplir con la protección de datos interna (LOPDGDD y RGPD) y la política de privacidad en páginas web (LSSICE). Estas serían las obligaciones mínimas:
- Documento de seguridad interno o política de protección de datos.
- Avisos legales para la página web y cláusulas de primera capa para formularios web.
- Contratos de encargados de tratamiento.
- Firmar acuerdo de compromiso con los trabajadores.
- Cláusulas para procedimientos internos como las facturas, presupuestos…
- Tener la autorización del paciente para la gestión fiscal, administrativa y contable del centro.
Además, al hacer un tratamiento de datos personales sensibles también deberían:
- Realizar un RAT (Registro de Actividades de Tratamiento) como responsables de los datos que tratan o como encargados del tratamiento.
- Se debería hacer obligatoriamente una PIA (Evaluación de Impacto) para el tratamiento de datos de los pacientes y, además, se deberá valorar para otros tratamientos que puedan hacer en la clínica.
- Firmar un descargo de responsabilidad.
Cláusula informativa en la hoja de inscripción
En el momento de la inscripción de un nuevo paciente o residente, es obligatorio incluir una cláusula informativa sobre el tratamiento de los datos personales. Esta cláusula debe detallar las finalidades del tratamiento, tales como el consentimiento para generar la historia clínica y su gestión, como también la gestión de la estancia del usuario en la residencia. De esta manera, se garantiza que los individuos estén informados desde el principio sobre cómo se tratará su información.
Autorización para la cesión de datos clínicos
Es imprescindible obtener una autorización explícita del paciente para la cesión de datos clínicos en situaciones de urgencia, cuando intervengan otros profesionales externos en el proceso o se requieran servicios concertados en el centro, como psicología, fisioterapia, entre otros.
Esta autorización debe estar claramente documentada para asegurar que se cumplan con las normativas de privacidad y protección de datos.
Autorización para la cesión de imágenes
La utilización de imágenes de pacientes, especialmente para la publicación de actividades, requiere de una autorización específica. Esta autorización debe ser clara y explícita, asegurando que los individuos o sus representantes legales estén completamente informados y de acuerdo con el uso de sus imágenes.
Algunos consentimientos relacionados con la imagen que deberán autorizar los pacientes son:
- Consentimiento del tratamiento de fotografías para el antes, durante y después del proceso (para fines educativos, clínicos y médicos).
- Consentimiento para el tratamiento de imágenes para el correcto diagnóstico.
- Consentimiento (por separado) para la publicación en redes sociales, web, revistas, entre otras. Y siempre que el paciente no sea reconocible.
- Consentimiento para publicar vídeos de testimonios.
- Estos consentimientos permiten que las imágenes se puedan utilizar sin plazo temporal (también de forma internacional, si se publican en Internet).
Firma de tutores legales para menores o personas incapacitadas
En los casos de menores de edad o personas incapacitadas, es obligatorio que la autorización y cualquier documentación relacionada con la protección de datos sea firmada por su tutor legal o representante legal. Esto asegura que los derechos de estas personas están protegidos y que cualquier decisión tomada está en manos de una autoridad responsable.
Medidas de seguridad
Dado que las clínicas y residencias trabajan con datos altamente sensibles, como los datos clínicos, es crucial implementar medidas de seguridad robustas:
- Protección contra ataques de terceros: Se deben establecer sistemas de seguridad que protejan los datos contra accesos no autorizados y ciberataques. Esto incluye el uso de firewalls, sistemas de encriptación y otras tecnologías avanzadas de seguridad.
- Asignación de funciones y roles: Debe existir una política clara de asignación de funciones y roles dentro del centro, limitando el acceso a las historias clínicas únicamente a aquellos empleados cuyo cargo lo requiera. Esto minimiza el riesgo de acceso no autorizado y garantiza que solo personal autorizado trate datos sensibles.
Canal de denuncias
Para centros con más de 49 trabajadores, es esencial disponer de un canal de denuncias que permita reportar prácticas abusivas o de corrupción de manera confidencial. Este mecanismo no solo protege a los empleados, sino que también contribuye a mantener la integridad y la ética dentro del centro.
Desde PymeLegal ofrecemos este servicio con una plataforma de canal denuncias para que lo implementes en tu negocio.
Duración de la conservación de los datos
La conservación de los datos debe ser limitada y acorde a la normativa vigente. Es crucial definir tiempos específicos de retención para los datos del historial clínico y otros datos personales, teniendo en cuenta la regulación de las Comunidades Autónomas en aspectos sanitarios.
Se captará el consentimiento del paciente para conservar los datos hasta que ya no sean necesarios para los fines para los que fueron recolectados y, por lo tanto, deban ser eliminados de manera segura.
Derechos de los pacientes respecto al tratamiento de sus datos
Los pacientes podrán solicitar y acceder a sus derechos de acceso, rectificación, portabilidad, supresión, limitación y oposición.
La implementación de estas obligaciones en clínicas es fundamental para garantizar la protección de los datos personales y de salud de los pacientes.
Cumplir con estas responsabilidades es obligatorio para no infringir la normativa vigente y, además, también fortalece la confianza de los usuarios.
Además, si se infringen estas obligaciones la AEPD (Agencia Española de Protección de Datos) puede sancionarte. Como en el caso reciente de una clínica dental que ha sido multada por 30.000€ en total.
La primera infracción de 20.000€ por solicitar la copia del DNI, cuando ya tenía todos los datos de la persona, incumpliendo el art. 5.1.c del RGPD donde se recoge el principio de minimización de datos. Y la segunda infracción de 10.000€ por no atender la reclamación del usuario que envió un correo electrónico a la empresa, dirigido también al DPD, con relación a la solicitud de la copia del DNI y este email no fue respondido ni leído por parte del DPD, infringiendo así el art. 38 del RGPD.
Si tienes una clínica y todavía no cumples con todos estos procesos obligatorios, contáctanos y te haremos una propuesta de consultoría a medida o DPD para las necesidades que tengas.
El equipo de PymeLegal