EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS PONE EN JAQUE A LAS CLÍNICAS DE SALUD

09 Oct 2017

La recopilación de datos de los pacientes no podrá hacerse de forma “tácita” y será necesario un consentimiento explícito, al existir datos de salud que quedarán reflejados en un documento

El nuevo Reglamento Europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos (RGPD), va a provocar el mayor cambio en la legislación de privacidad de los últimos años. Y una vez más, las clínicas de fisioterapia y centros sanitarios en general, serán las entidades que resulten más afectadas al respecto, como responsables de tratamiento de datos de pacientes.

Tratar los datos de forma correcta y legal redundará siempre en la obtención de una "buena imagen" de cara al exterior, pero también en una seguridad y tranquilidad ante una inspección de la llamada autoridad de control, en España la Agencia Española de Protección de Datos (AEPD), que desgraciadamente se caracteriza por la imposición de una gran cantidad de sanciones.

Uno de los cambios más importantes del nuevo reglamento en lo que puede afectar a las clínicas de fisioterapia es que la recopilación de datos de los pacientes no podrá realizarse de forma “tácita”, es decir, con la simple exposición pública de un cartel donde se detallen los tratamientos de datos previstos que vamos a realizar. Y es que, con esta opción, no tenemos ningún documento firmado del paciente y resultará muy difícil probar que hemos tratado sus datos lícitamente ante una inspección de la AEPD.

Será necesario por tanto obtener obligatoriamente de todos nuestros pacientes un consentimiento "explícito", al existir datos de salud, y plasmarlos en un documento hecho  a medida de la clínica donde se exprese de forma clara los tratamientos de datos que quiere realizar el titular de la clínica.

Los datos deben tratarse de forma segura. Los virus que cifran los datos de los ordenadores "disfrazados" de simples correos electrónicos han supuesto pérdidas económicas enormes a las empresas y la imposición de importantes sanciones por parte de la AEPD. Sin embargo, el nuevo RGPD es en este punto algo más benévolo que la anterior legislación y permite al fisioterapeuta establecer unas medidas de seguridad más apropiadas y flexibles en relación al tratamiento de los datos que realiza. Simplemente cita como medidas obligatorias el cifrado y las copias de seguridad, algo muy básico y que todas las clínicas deberían tener implantados ya.

Cuando se produzca un problema de seguridad (robos, virus, pérdidas de datos, fenómenos externos...), debemos notificarlo a la autoridad de control en un plazo máximo de 72 horas (salvo ciertos supuestos). De no hacerlo, la sanción puede ser importante, aunque si los datos de ese disco duro están cifrados, y podemos demostrarlo, (aquí resultará clave la documentación de protección de datos que nos haya preparado nuestro gestor de protección de datos) es probable que todo quede en un simple apercibimiento.

Recomendaciones

La nueva norma es compleja, pero la protección de los datos de los pacientes, y las consecuencias que puede tener no hacerlo de la forma correcta merece que tomemos en serio este asunto y que se tengan en cuenta ciertas recomendaciones:

- Cuando llegue el momento de renovar los servicios en protección de datos, se debe tener en cuenta que el modelo de consentimiento a utilizar con los pacientes debe incluir los requerimientos del nuevo reglamento. Lo recomendable es hacerlo a la medida de las necesidades de la clínica, sin olvidar un apartado específico para el tratamiento de datos de menores de 13 años.

- Solicitar un análisis de riesgos. No es más que un documento donde se plasmarán las fórmulas para tratar los datos y las medidas de seguridad, específicas y a la carta, que se deben implementar en la clínica.

- Informarse sobre las medidas de seguridad en protección de datos que tenga el programa de gestión de la clínica y si es preciso, pedir información al fabricante.

- Nombrar a un DPO (Delegado de Protección de Datos). Si no existe personal con la formación suficiente, contratar a uno externo.

- Redactar contratos adaptados al Reglamento Europeo de Protección de datos o solicitar a un gestor que los prepare.

- Tener en cuenta que las auditorías que se realicen en materia de protección de datos deben ser presenciales. “Es imposible auditar una clínica sin antes haberla visto”. Tampoco se puede hacer con cargo a fondos de formación.

-  Y finalmente, sentido común. Si antes era ilegal ceder datos a terceros, ahora lo es más  que nunca, ya que las sanciones se aplican en relación a la facturación del negocio.

Es necesario ponerse en la piel del paciente. Solo así podremos ser conscientes de ciertas cosas como: “puede que le moleste recibir un sms promocional de mis servicios” o “puede que tenga que apartar esa impresora del pasillo, desde donde cualquiera tiene acceso a los historiales clínicos de terceros...”

Alfonso Villahermosa Iglesias (email: info@legaltech.es / tel.: 609170540) es administrador de Legaltech Consulting S.L.U., abogado y auditor en privacidad. Colabora con el COFICAM asesorando a los colegiados en esta materia.

Si alguno de vosotros no ha tenido en cuenta esta normativa os recordamos que existe un Convenio de Colaboración con un despacho especializado en la materia, con unas tarifas reducidas. Podéis poneros en contacto en los siguientes números de teléfono: 926860529, 609170540 o en la dirección de e-mail info@legaltech.es