7 Consejos para cumplir con la Ley de Protección de Datos en las Consultas Médicas

En este nuevo post de los 7 Consejos para cumplir con la Ley de Protección de Datos en Consultas Médicas de RgpdDoctor no encontrarás una receta mágica para cumplir con la Ley de Protección de Datos en consultas médicas, ni tampoco un listado de trucos de magia que puedan salvarte de males mayores.

Lo que sí encontrarás son algunos consejos fundamentales fruto de nuestra experiencia y que te ayudarán a cumplir con aspectos básicos de la ley de protección de datos (Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales – LOPDGDD) y, sobre todo, orientaciones prácticas que te servirán de guía en problemas cotidianos.

¡Vamos con ellos!

1.- Política de Privacidad de Pacientes

Ya lo hemos comentado en ocasiones anteriores: lo primero y fundamental que debes hacer cuando un paciente llegue por primera vez a tu consulta es pedirle que firme la política de privacidad de pacientes.

Todo el énfasis que ponga en este punto es poco. Si no dispones de este documento firmado por tu paciente no puedes demostrar que le has informado tal y como exige la ley y, por tanto, entras en terreno minado…

Me adelanto a algunas preguntas que seguro que empezarán a rondar por tu cabeza:

¿Siempre que venga el paciente a la consulta tiene que firmar la política de privacidad o solo la primera vez? En principio, si las circunstancias no han cambiado, bastará con que lo firme la primera vez que acude a tu consulta. Sin embargo, si cambias la consulta de domicilio o introduces nuevos usos o tratamientos a los datos personales de tus pacientes (por ejemplo, implantas un sistema de avisos de citas por SMS) deberás pedirle que vuelva a firmar la política de privacidad. Ten en cuenta que éste es un documento vivo.

¿Qué pasa si se niega a firmar la política de privacidad? En la práctica, la solicitud de firma no es para conseguir el consentimiento o permiso del paciente, sino únicamente como medio de prueba para acreditar que has cumplido con los deberes de información y transparencia y has informado a tus pacientes de todos los puntos exigidos por la ley.

Normalmente, la legitimación legal de un profesional sanitario para tratar los datos de sus pacientes descansará sobre la prestación de servicios de diagnóstico y asistencia médica (Art.9.2.h del RGPD) y no en el consentimiento expreso del paciente, por lo que bastará con buscar otros medios para acreditar que se ha cumplido con este deber de información (Ej. Envío de un email certificado …etc.).

2.- Sistemas de Citas que cumplan con el RGPD

Varios consejos sobre los sistemas de citas y recordatorios de citas para consultas:

Suscríbete a nuestro Blog RGPDdoctor


Recibe por email las novedades y consejos legales de RGPDdoctor

Política de Privacidad Formularios de Suscripción a la newsletter Rgpddoctor

Política de Privacidad

Responsable del Tratamiento: Techlegal Servicios Jurídicos y Tecnológicos SL

Finalidad: Responder a la consulta o información que nos pides y si lo autorizas enviarte por email información sobre nuestras novedades y consejos legales.

Legitimación: Tu consentimiento

Destinatarios: No cederemos tus datos a terceros. Disponemos de encargados de tratamiento fuera de la Unión Europea acogidos al acuerdo de Privacy Shield

Derechos: Tienes derecho a acceder, rectificar y suprimir los datos, así como otros derechos que podrás consultar en nuestra política de privacidad.

Información Adicional: Puedes consultar la información adicional sobre nuestra política de protección de datos en esta dirección https://rgpddoctor.com/politica-de-privacidad-y-cookies

1.- Si tienes previsto emplear un sistema de recordatorio de citas (Ej. SMS, Email…etc.), debes contar primero con el consentimiento escrito del paciente para poder emplear este sistema. En caso contrario, ya estás corriendo un riesgo importante.

Un ejemplo práctico: imagínate que un paciente llama a tu consulta para pedir cita, le tomas los datos básicos: nombre y apellidos, compañía aseguradora, email y teléfono. Unos días antes de la consulta, decides enviarle un email recordándole la cita. Pero imagínate que el paciente te ha dejado una dirección de email de su empresa y que está compartida con varios compañeros de trabajo Ej. info@empresa.com

El resultado de esta buena iniciativa es una situación potencial de riesgo para ti por no haberte asegurado de que podías utilizar ese canal de comunicación para esos fines. Por eso, antes de emplear cualquier sistema de recordatorio de citas, procura obtener el consentimiento escrito para ello.

P.D. Ni se te ocurra utilizar WhatsApp para este fin salvo que utilices sistemas profesionales de encriptado sobre esta plataforma, que alguno hay por ahí.

2.- Vale: ya hemos conseguido citar correctamente a nuestro paciente, ha acudido a su hora, lo tenemos sentado en la sala de espera; pero ahora, ¿cómo lo hago pasar? Porque, según la Agencia de Protección de Datos (AEPD), si lo cito por su nombre y apellidos estoy revelando sus datos a terceros (el resto de pacientes).

Tranquilidad. Obviamente la Ley de Protección de Datos no se inventó para facilitar la vida a los profesionales sanitarios, pero tampoco para fastidiarlos: siempre hay soluciones.

La AEPD recomienda que se utilice un sistema de tickets mediante números (como en supermercados), pero comprendo que en muchas consultas este sistema será desproporcionado. En caso de no poder tener otras alternativas, puedes nombrarlo utilizando la hora de cita o, si no queda más remedio, puedes nombrarlo únicamente por su nombre sin necesidad de facilitar también sus dos apellidos

3.- Identifica al Paciente para cumplir con la LOPDGDD

Sé que no es un escenario a veces agradable, pero debes cerciorarte de que tu paciente es quien dice ser. Pide siempre algún documento que lo acredite.

Ponte en situación: un paciente con una patología crónica muy clara acude por primera vez a nuestra consulta. Tras una serie de pruebas que nos demuestran que ese paciente sufre esa enfermedad, nos solicita que le demos un informe médico en el que se indique el diagnóstico. ¿Qué ocurriría si no hemos verificado la identidad del paciente? Pues que va a salir por la puerta con un documento firmado por nosotros diciendo que un señor al que no hemos visto nunca padece una enfermedad «x».

Seguramente no nos gustaría vernos envueltos en este tipo de situaciones, así que, por precaución, solicita siempre un documento de identificación del paciente.

4.- No facilites datos personales del paciente a terceros

Si no tienes el consentimiento del paciente en forma de autorización expresa, cada vez  que alguien te pida información de un paciente se te tendría que encender en tu consulta una luz de alerta como la de las películas de submarinos cuando entran en combate.

Ése es precisamente uno de los mayores riesgos a los que te puedes enfrentar como profesional sanitario en materia de protección de datos: el de facilitar información a terceros sin el consentimiento del paciente; así que en esos supuestos deberás mantenerte especialmente alerta y no dar un paso sin el consentimiento del paciente.

Está claro que esta no es una regla absoluta, ya que hay excepciones, por ejemplo menores, incapaces, familiares directos de pacientes fallecidos…, etc. Pero son eso: excepciones, y deberás tratarlo como tales y asegurarte que cumplen con la ley.

5.- Consejos si sales de la consulta

Algunos consejos para otra situación de riesgo: salir de la consulta con el paciente dentro. Sí, ya sé que va a ser un minuto y que vas a volver enseguida, pero no estaría de más que siguieras estos consejos:

  1. No dejes a ningún paciente solo en una consulta con historias de otros pacientes a su vista o alcance. De hecho, aunque no estuviera solo un paciente no debería tener a su vista ni alcance historias de otros pacientes. La sensación de estar viendo carpetas con nombres de otros pacientes mientras te atienden no es la mejor del mundo.
  2. Asegúrate de bloquear la sesión de tu ordenador antes de abandonar el despacho.
  3. No dejes documentos con datos personales de otros pacientes en impresoras, armarios o cajones abiertos.

Imagino que alguno estará pensando que soy un poco paranoico. Os pongo un ejemplo que me sucedió hace ya algunos años:

Paciente que es citado a las 18:30 de la tarde para una consulta, día horroroso en el que todo se tuerce y las consultas se van retrasando; al final el paciente acaba pasando a la consulta con casi hora y media de retraso con el consiguiente cabreo. Al finalizar las consultas del día y organizar las del día siguiente, el médico cae en la cuenta de que le falta la agenda. «¿Pero dónde está?, si la he tenido encima de la mesa toda la tarde…». Una especie de sudor frío empieza a recorrer la espalda de nuestro protagonista cuando cae en la cuenta de que en la agenda están anotados los nombres, apellidos y teléfonos de todos sus pacientes.

Al cabo de una hora recibe una llamada de uno de sus pacientes informándole de que había secuestrado su agenda para que aprendiera cómo se sentía por haberle hecho perder el tiempo. El paciente acabó devolviendo la agenda, pero el susto para nuestro amigo fue monumental.

Moraleja: Como dijo Andy Grove (antiguo presidente de Intel) “Solo los paranoicos sobreviven”

6.- Consejos al finalizar la jornada

Aquí van algunos consejos prácticos al finalizar tu jornada en la consulta:

  1. Deja cerrados cajones y armarios que contengan documentos con datos de pacientes. El personal de limpieza o cualquier otro que pueda acceder a la consulta no tienen por qué tener acceso a los datos de los pacientes.
  2. Por supuesto: debes ser un fiel seguidor de la política de mesas limpias de documentos. No puede quedarse ningún documento o carpeta de pacientes encima de una mesa al finalizar la jornada.
  3. Apaga o bloquea el ordenador.
  4. Revisa la impresora y papelera. No debes dejar documentos de pacientes ni en la bandeja de la impresora ni en la papelera. No se te ocurra tirar ningún documento con datos de pacientes en la papelera; para algo se inventaron las destructoras de documentos y, en tu caso, su uso es obligatorio para destruir datos de pacientes.

7.- Comprueba que tus empleados y colaboradores cumplen con la protección de datos

Puedes tener todos los puntos anteriores perfectamente controlados, pero si tienes empleados o colaboras con otros profesionales y no les trasladas estos principios básicos, el riesgo acabará siendo el mismo.

¿Sabías que si tienes empleados es necesarios que les des formación sobre protección de datos? La nueva normativa sobre protección de datos va más allá de un mero listado de puntos a cumplir: exige responsabilidad proactiva en el cumplimiento de la normativa y, si no te preocupas porque tus empleados conozcan y cumplan con la normativa, la responsabilidad seguirá siendo tuya si son ellos los que cometen el error.

Revisa, además, que tengan firmados su correspondiente política de privacidad, manual de obligaciones y compromiso de confidencialidad.

Consejo Final

Recuerda que la mejor cura frente a una enfermedad es tener un buen diagnóstico y ponerte en manos de especialistas para seguir el tratamiento que necesitas. Pues, en este tema, pasa lo mismo: cumplir con la Ley de Protección de Datos en el ámbito sanitario requiere, primero, que sepas en qué situación te encuentras; segundo, que te pongas en manos de profesionales y, tercero, que implantes las medidas que te recomienden.

Si quieres ayuda profesional y especializada para cumplir con laLey de Protección de Datos en tu consulta, estaremos encantados de ayudarte con nuestros servicios específicos para tu Consulta Médica, Despacho o Gabinete RgpdCONSULTASfree y RgpdCONSULTASOnLine

RGPD LOPD LOPDGDD

¿Quieres recibir el blog de  RGPDdoctor ?

Es muy fácil: para recibir en tu email todas las novedades y consejos legales

de RGPDdoctor sobre la nueva Ley RGPD LOPD DPD LOPDGDD 2018-2019, solo debes suscribirte en nuestra lista de distribución siguiendo este enlace