Blog de Fisioterapia Fisioterapia
Artículos relacionados
Entrada en vigor del Reglamento General de Protección de Datos: 25 de Mayo
Los fisioterapeutas que ya venían cumpliendo la LOPD mediante el mantenimiento periódico de su auditoría, no tendrían más que pasar una mera transición al Reglamento, sin necesidad de nuevas auditorías.
Por el contrario, si no cumplías la LOPD o si la cumpliste algún día, pero no la has actualizado, es el momento para ponerte al día con tus obligaciones a raíz de la aplicación del nuevo Reglamento.
1. ¿Estoy obligado a cumplir la LOPD?
Sí, siempre. Ya que como actividad profesional sanitaria se tratan datos de terceras personas.
2. ¿Cómo sé que estoy tratando datos de carácter personal?
Siempre que se traten datos que permitan identificar a una tercera persona física, como un paciente o empleado, estoy tratando con datos de carácter personal.
3. ¿Tengo necesariamente que contratar a una empresa especializada?
Igual que hasta ahora, resulta lo más conveniente, pero no es obligatorio.
El RGPD es una de las normas más complejas, enrevesadas y transversales que existen en la actualidad, a lo que además hay que unir otras normativas relacionadas como la Ley 34/2002 (de Servicios de la Sociedad de la Información y Comercio Electrónico) o la Ley 41/2002 de Autonomía del Paciente.
4. Registro de Actividades de Tratamiento, ¿qué es? ¿es obligatorio?
El Registro de Actividades de Tratamiento (RAT) es un registro interno donde debes describir el tratamiento que realizáis con los datos de los pacientes, la finalidad de los mismos, plazos de conservación, porqué estáis legitimados a tratarlos, categorías, etc. Es un registro obligatorio para las clínicas de fisioterapia y puede ser solicitado por la propia Agencia Española de Datos (AEPD).
Desde la página de la AEPD puedes solicitar este registro siempre y cuando previamente hayáis inscrito los ficheros, dado que, desde el pasado 14 de mayo, la AEPD ya no admite la inscripción, modificación o supresión de ficheros en este registro.
Si aún no has realizado este registro, la Agencia Catalana de Protección de Datos ha creado una ampliación para la gestión del mismo. http://apdcat.gencat.cat
5. ¿Cuáles son los aspectos principales que debe cumplir un centro de fisioterapia según el Reglamento General de Protección de Datos?
–Consentimiento: Cuando recojaas los datos de los pacientes deben ser de carácter inequívoco y expreso, no tácito.
–Cláusulas: Es necesario actualizar las cláusulas de los contratos, ya que se exige una mayor vigilancia con respecto a los terceros que contratamos para que nos presten un servicio también cumpliendo con la normativa.
–Confidencialidad: los datos que se tratan en un centro de fisioterapia pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad que deben firmar los trabajadores así como también las repercusiones si faltan al mismo.
–Notificación brechas de seguridad: Estamos obligados a notificar la violación de seguridad si la misma afecta a los datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas. Por ello, es probable que hubiera que notificarlo a la AEPD en un plazo no superior a 72 horas. Si no hemos aplicado las medidas de seguridad que establece el RGPD, es probable que tuviéramos responsabilidades.
– Medidas de seguridad: Aunque el RGPD deja bastante libertad al respecto, hay dos medidas fundamentales que se deben cumplir: el cifrado y las copias de seguridad. Éstas, como ya lo haréis debes realizarse en un soporte removible y, siempre que salgan del centro, con su cifrado correspondiente.
El cifrado de información que contenga datos de salud será también obligatorio siempre que compartamos esta información a través de correo electrónico.
–Proveedores: Elección responsable de los proveedores externos que accedan a los datos. Deben cumplir igualmente la normativa vigente. Ya no vale con simplemente firmar un contrato: la elección de un correcto gestor fiscal, laboral, gestor informático, etc, que sea cuidadoso con los datos que ponemos en sus manos es una tarea fundamental, y que puede derivar en responsabilidades
–Delegado de Protección de Datos es la persona encargada informar a la entidad responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos.
-Evaluación de Impacto en la Protección de Datos Personales (EIPD):
La EIPD una metodología para evaluar el impacto en la privacidad de un proyecto, política, programa, servicio, producto o cualquier iniciativa que implique el tratamiento de datos personales y, tras haber consultado con todas las partes implicadas, tomar las medidas necesarias para evitar o minimizar los impactos negativos.
¿Cuándo debe realizarse la Evaluación de Impacto de Protección de Datos?
No siempre es necesaria la redacción de una Evaluación de Impacto, aunque es recomendable que a la hora de realizar un nuevo tratamiento siempre se analicen los posibles riesgos que puede entrañar el mismo.
No obstante, la nueva regulación europea indica que es obligatoria cuando se trate de:
- Alto riesgo: Cuando el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de las personas físicas.
Por ejemplo en el empleo de nuevas tecnologías, o si atendemos a su naturaleza, contexto y alcance.
- Evaluación sistemática: En el momento que, sistemáticamente, se evalúe aspectos personales de personas físicas basadas en un tratamiento automatizado
Es el caso de la elaboración de perfiles.
- Tratamiento a gran escala de datos especialmente protegidos: Si se realiza un tratamiento a gran escalade las categorías especiales de datos del artículo 9, apartado 1 del RGPD, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 del RGPD. Incluimos en este apartado también los datos personales relativos a menores.
- Uso de tecnologías invasivas
-Nuevos derechos:
Los antiguos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son ampliados con dos nuevos:
- derecho al olvido
- portabilidad de los datos
Dado que este es un punto importante, podéis ampliar la información a través del documento de Evaluación de Impacto en la Protección de Datos Personales (EIPD), que proporciona la AEPD a través de este enlace:
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf
6. ¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?
En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.
7. ¿Qué tipo de consentimiento me tiene que firmar mis pacientes para que pueda tratar sus datos?
Al tratar datos sensibles, el consentimiento debe de ser expreso, es decir con una clara acción afirmativa por parte del paciente así como también específico para cada tratamiento.
Por ejemplo, si primeramente recabamos el consentimiento para tratar sus datos con fines médicos y, más adelante queremos utilizar dichos datos para una campaña de marketing u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.
8. Si trabajo con mutuas y/o aseguradoras, ¿por qué me están obligando a cumplir la normativa de protección de datos?
Por la sencilla razón de que sería sancionable para ellas contratar a una clínica que no cumpla con la normativa.
Estas compañías pueden establecer fuertes obligaciones, incluso llegar a realizar auditorías presenciales externas por parte de un tercero a nuestro centro, para comprobar qué medidas de seguridad aplicamos a los datos y la correcta actualización del Registro de Actividades de Tratamiento.
Aunque es lógico que estas compañías quieran asegurarse del cumplimiento de la normativa, sería abusivo que estas auditorías externas se realicen demasiado a menudo.
9. ¿Necesitaré nombrar a un Delegado de Protección de Datos?
Sí, parece que esta figura va a ser necesaria en las clínicas de fisioterapia, pero no de inmediato. El RGPD establece que se debe nombrar a un delegado en aquellas entidades cuyas «actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales». A todos efectos, en una clínica pequeña (incluso media), faltaría el componente de «gran escala». La consecuencia fundamental es que, de momento, no se necesita un delegado.
No obstante, el Anteproyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, extiende esta obligación a aquellos centros sanitarios obligados a custodiar la historia clínica de sus pacientes. Por lo tanto es muy probable que esta obligación se establezca cuando se apruebe la nueva LOPD, no cuando sea exigible el RGPD.
El Delegado es un «interlocutor de alto nivel» ante la Agencia Española de Protección de Datos, se debe notificar su existencia a la misma y es una garantías de los derechos de los pacientes y de las obligaciones de los responsables. Y es sancionable no haberlo nombrado. Se puede nombrar a nivel interno o contratar un delegado externo que preste servicios profesionales. También actuará de intermediario ante reclamaciones con los pacientes. Es posible que la AEPD se pronuncia en breve al respecto y añada una mayor seguridad en este punto. Un apunte: actualmente el anteproyecto de la LOPD está en tramitación y es posible que se apruebe en el actual periodo de sesiones…o que no se aprueba hasta próximamente. Tiene más de 400 enmiendas y el texto final puede sufrir bastantes variaciones.
Fuente: Colegio Profesional de Fisioterapeutas de Castilla y León
