Clínicas

Guía para cumplir con el RGPD y la nueva LOPD en una Clínica

¿Estás perdido con la nueva Ley de Protección de Datos (LOPDGDD)?

¿Te gustaría cumplir con el RGPD en tu clínica y no sabes como?

LOGOTIPO RGPD LOPD DPD LOPDGDD RGPDDOCTOR

By RgpdDoctor

Has llegado al lugar correcto; en esta página encontrarás la guía más completa sobre protección de datos para clínicas, donde encontrarás toda la información que necesitas para aclarar tus dudas y saber todo lo que necesitas para que tu clínica cumpla con la legislación sobre protección de datos de carácter personal.

Comenzaremos con un pequeño resumen de las obligaciones que debes cumplir, para a continuación ir detallando cada una de ellas.

Resumen de las Principales Obligaciones de una Clínica en Protección de Datos Personales

Clínica: En RGPDDOCTOR.COM siempre que nos refiramos a una clínica entenderemos como tal a aquel establecimiento sanitario incluido en la categoría C.2. del R.D. 1227/2003 (Proveedores de asistencia sanitaria sin internamiento) salvo en los supuestos que el profesional sanitario ejerza su actividad a título individual, en cuyo caso a efectos de esta web lo consideraremos como Consulta Médica.

Políticas de Privacidad: Obligatorias para todas las recogidas de datos personales (Pacientes, empleados, proveedores …etc)

Registro de Actividades de Tratamiento: Obligatorio

Evaluación de Impacto en Protección de Datos Personales: Obligatoria

Análisis de Riesgos: Obligatorio

Delegado de Protección de Datos: Obligatorio

RGPD y Nueva LOPD en el 2018

El año 2018 ha sido sin duda un año histórico para el ámbito de la protección de datos de carácter personal. Si en mayo entraba en vigor el tan temido Reglamento General de Protección de Datos (RGPD).

En el mes de diciembre finalizábamos el año con la de la nueva Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).

Ambas normas son de obligado cumplimiento para una clínica pero sin duda la norma que sirve de guía fundamental para conocer las obligaciones que debemos cumplir en una clínica es el RGPD

Debemos tener claro que un Reglamento es un tipo de norma jurídica de la Unión Europea que implica una aplicación directa en todos los países miembros, sin necesidad de que ninguna norma nacional la desarrolle, sin embargo hay un cierto margen de actuación que se deja a cada país y que en nuestro caso ha sido regulado en la nueva LOPDGDD.

Los Datos de Salud en el RGPD y la LOPDGDD

El nuevo RGPD establece los datos de salud como una categoría especial de datos personales, es decir le otorga junto a otros (convicciones religiosas, orientación sexual …etc) el mayor grado de protección jurídica.

Tal es así que se prohíbe expresamente la recogida y tratamiento de estos datos personales si la entidad que los trata no está legitimada por alguna de las circunstancias del artículo.9.2 del RGPD.

Por lo que respecta a los datos de salud, las circunstancias en las que habitualmente podremos basar el tratamiento de los datos de salud son:

  • – Consentimiento Expreso del paciente.
  • – El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona, en el supuesto de que el interesado no esté capacitado, física o jurídicamente para dar su consentimiento.
  • – El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social o en virtud de un contrato con un profesional sanitario.
  • – El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.

Es muy importante que nos fijemos en esta cuestión ya que tal y como veremos en el apartado siguiente, en muchas ocasiones se piensa que es obligatorio pedir el consentimiento expreso a los pacientes para poder tratar sus datos cuando como hemos visto el propio RGPD reconoce otras fórmulas más cómodas para aplicar a los pacientes de una clínica.

Tratamiento de datos de los Pacientes

Con la nueva normativa la clínica está obligada a demostrar que cumple con sus obligaciones, de esta forma si tengo el deber de informar de sus derechos a los pacientes, tengo que estar siempre en condiciones de probar que he informado a todos y cada uno de los pacientes.

Esto aparte de generar una carga de burocracia importante, significa que debemos de disponer de una política de privacidad para pacientes que cumpla con las exigencias del RGPD y de la nueva LOPD.

Por tanto, si tenéis algún texto para que firmen vuestros pacientes en el que se pueda leer algo como esto “En cumplimiento de lo establecido en la L.O. 15/1999 de Protección de …..” ya podéis ir jubilando ese texto porque está obsoleto y no os protege en nada.

– ¿Qué requisitos debe cumplir la política de privacidad de mis pacientes?

Con la nueva legislación se permite un nuevo formato de política de privacidad por capas o niveles.

Es decir, se permite que en el momento de la recogida se ofrezca al paciente una información básica sobre protección de datos y además se le facilite un medio donde pueda obtener información complementaria sobre el resto de aspectos relativos al tratamiento de sus datos personales (Ej. A través de una dirección web).

De esta forma tendríamos en la Capa inicial (momento de la recogida) el siguiente contenido mínimo y obligatorio:

  • – Identidad del Responsable del Tratamiento: Nombre o denominación social del titular de la clínica.
  • – Finalidad del tratamiento de los datos: Descripción sencilla de los fines del tratamiento. Ej. Prestar los servicios de asistencia sanitaria solicitados y gestión de su historia clínica …etc.
  • – Legitimación: Base jurídica del tratamiento. Ej. El contrato de prestación de servicios sanitarios solicitados por el interesado.
  • – Destinatarios: Previsión o no de cesiones de los datos personales. Ej. Sus datos serán comunicados a las compañías aseguradoras, mutualidades y cualquier tercero que resulte obligado al pago de los servicios sanitarios prestados.
  • – Derechos de los pacientes: Hay que informar al paciente sobre la posibilidad de ejercer sus derechos (Acceso, rectificación, cancelación …etc) y los mecanismos previstos para poder ejercerlos.
  • – Finalmente debe incluirse información sobre donde y como puede accederse al resto de información adicional sobre la política de protección de datos de la clínica. Ej. Puede consultar la información adicional y detallada sobre nuestra política de protección de datos en la dirección web (aquí cada clínica tendrá que incluir la URL de su política de privacidad).

Respecto a la segunda capa o información adicional, el contenido mínimo debe ser el siguiente:

  • – Identidad y datos de contacto del Responsable del Tratamiento y del Delegado de Protección de Datos: Nombre o denominación social del titular de la clínica sus datos de contacto, así como los datos de contacto del DPD de la clínica (Delegado de Protección de Datos).
  • – Finalidad del tratamiento de los datos, plazos de conservación y en su caso realización de técnicas de perfilado o decisiones automatizadas. En este punto se deberá informar de los plazos de información de los datos de los pacientes (5 años mínimo).
  • – Legitimación: Detalle de la base jurídica del tratamiento.
  • – Destinatarios: Detalle de los destinatarios de los datos (a quien se van a comunicar los datos de los pacientes).
  • – Derechos de los pacientes: Los mecanismos para ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento, así como el derecho a reclamar ante la autoridad de control. (Agencia Española de Protección de Datos – AEPD).
  • – Por último, debe incluirse información sobre la procedencia de los datos, origen y categorías de datos que se tratan.

Por tanto, debemos tener claro que debemos organizar el cumplimiento de nuestros deberes de información respecto a nuestros pacientes a través de una política de privacidad que deberán firmar todos aquellos que acudan a nuestra clínica.

Mientras no cambien las circunstancias solo es necesario que la política la firme el paciente la primera vez que acude a la clínica y si disponemos de políticas de privacidad firmadas por nuestros pacientes bajo la anterior normativa, deberemos procurar que reciban y firmen la nueva política de privacidad cuando acudan nuevamente a nuestro centro médico.

– ¿Qué requisitos debe cumplir la política de privacidad de mis pacientes?

Con la nueva legislación se permite un nuevo formato de política de privacidad por capas o niveles.

Es decir, se permite que en el momento de la recogida se ofrezca al paciente una información básica sobre protección de datos y además se le facilite un medio donde pueda obtener información complementaria sobre el resto de aspectos relativos al tratamiento de sus datos personales (Ej. A través de una dirección web).

De esta forma tendríamos en la Capa inicial (momento de la recogida) el siguiente contenido mínimo y obligatorio:

  • – Identidad del Responsable del Tratamiento: Nombre o denominación social del titular de la clínica.
  • – Finalidad del tratamiento de los datos: Descripción sencilla de los fines del tratamiento. Ej. Prestar los servicios de asistencia sanitaria solicitados y gestión de su historia clínica …etc.
  • – Legitimación: Base jurídica del tratamiento. Ej. El contrato de prestación de servicios sanitarios solicitados por el interesado.
  • – Destinatarios: Previsión o no de cesiones de los datos personales. Ej. Sus datos serán comunicados a las compañías aseguradoras, mutualidades y cualquier tercero que resulte obligado al pago de los servicios sanitarios prestados.
  • – Derechos de los pacientes: Hay que informar al paciente sobre la posibilidad de ejercer sus derechos (Acceso, rectificación, cancelación …etc) y los mecanismos previstos para poder ejercerlos.
  • – Finalmente debe incluirse información sobre donde y como puede accederse al resto de información adicional sobre la política de protección de datos de la clínica. Ej. Puede consultar la información adicional y detallada sobre nuestra política de protección de datos en la dirección web (aquí cada clínica tendrá que incluir la URL de su política de privacidad).

Respecto a la segunda capa o información adicional, el contenido mínimo debe ser el siguiente:

  • – Identidad y datos de contacto del Responsable del Tratamiento y del Delegado de Protección de Datos: Nombre o denominación social del titular de la clínica sus datos de contacto, así como los datos de contacto del DPD de la clínica (Delegado de Protección de Datos).
  • – Finalidad del tratamiento de los datos, plazos de conservación y en su caso realización de técnicas de perfilado o decisiones automatizadas. En este punto se deberá informar de los plazos de información de los datos de los pacientes (5 años mínimo).
  • – Legitimación: Detalle de la base jurídica del tratamiento.
  • – Destinatarios: Detalle de los destinatarios de los datos (a quien se van a comunicar los datos de los pacientes).
  • – Derechos de los pacientes: Los mecanismos para ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento, así como el derecho a reclamar ante la autoridad de control. (Agencia Española de Protección de Datos – AEPD).
  • – Por último, debe incluirse información sobre la procedencia de los datos, origen y categorías de datos que se tratan.

Por tanto, debemos tener claro que debemos organizar el cumplimiento de nuestros deberes de información respecto a nuestros pacientes a través de una política de privacidad que deberán firmar todos aquellos que acudan a nuestra clínica.

Mientras no cambien las circunstancias solo es necesario que la política la firme el paciente la primera vez que acude a la clínica y si disponemos de políticas de privacidad firmadas por nuestros pacientes bajo la anterior normativa, deberemos procurar que reciban y firmen la nueva política de privacidad cuando acudan nuevamente a nuestro centro médico.

Registro de Actividades de Tratamiento

Otra de las obligaciones que introduce el RGPD y a la que deberemos hacer frente en nuestra clínica, es la obligación de disponer de un Registro de Actividades de Tratamiento.

¿Qué significa esto?. Pues que debemos llevar en cualquier tipo de formato un registro en el que se detallen todos los tratamientos de datos personales que realiza la clínica, algo similar al antiguo registro de ficheros de la LOPD pero sin necesidad de notificárselo a la AEPD, la obligación consiste únicamente en disponer de él y mantenerlo actualizado.

¿Cuál es el contenido mínimo del Registro de Actividades de Tratamiento para una clínica?

1.- Datos identificativos y de contacto del responsable legal de la clínica
2.- Datos identificativos y de contacto del Delegado de Protección de Datos
3.- Los Fines del tratamiento. Ej. Gestión de historias clínicas, recursos humanos …etc
4.- Descripción de las categorías de interesados y categorías de datos personales. Ej. Pacientes: datos identificativos, datos de contacto y datos de salud.
5.- Categorías de destinatarios a los que se ceden los datos
6.- En su caso transferencias de datos previstos a terceros países
7.- Los plazos previstos para la supresión de los datos
8.- Descripción general de las medidas técnicas y organizativas de seguridad.

Lo lógico será disponer de este registro en formato electrónico para poder actualizarlos según resulte necesario.

Por si te sirve de orientación la AEPD ha hecho público su registro que puedes consultar aquí —> (REGISTRO AEPD)

Evaluación de Impacto en la Protección de Datos

Otra de las obligaciones a la que deberemos hacer frente en la clínica es la de disponer de una evaluación de impacto en protección de datos personales (EIPD) realizada siguiendo la metodología propuesta por la Agencia Española de Protección de Datos.

Esta evaluación únicamente debe realizarse sobre aquellos tratamientos que cumplan con los requisitos establecidos en los artículos. 35 del RGPD o 28 de la LOPDGDD.

Una clínica está obligada a realizar una EIPD al menos sobre el tratamiento de datos de sus pacientes.

Encargados de Tratamiento

La obligación de disponer de un contrato de encargado de tratamiento firmado con aquellos de nuestros proveedores que realicen operaciones de tratamiento de datos de los que seamos responsables, es algo que ya estaba regulado en la anterior LOPD, sin embargo con la nueva legislación se dan una serie de circunstancias que deberemos tener en cuenta:

  • – Los contratos cambian de contenido. La AEPD publicó unas directrices para la elaboración de los contratos entre los Responsables y Encargados de tratamiento donde se detallaban los nuevos contenidos que deberían tener los estos contratos suscritos bajo la nueva legislación. Puedes consultar esta guía haciendo click aquí —> (GUÍA)
  • – Con la nueva legislación, el Encargado de Tratamiento debe acreditar que cumple con la nueva normativa, hasta el punto de que el RGPD exige que el Responsable del Tratamiento contrate únicamente con encargados que ofrezcan garantías suficientes.
  • – Los contratos de encargado de tratamiento firmados antes del 25 de Mayo de 2018, seguirán siendo válidos hasta el 25 de Mayo de 2022. Antes de esa fecha deberemos haber renovado esos contratos según los nuevos contenidos exigidos por el RGPD.

El Delegado de Protección de Datos en las Clínicas

Tal y como ya hemos adelantado, una clínica está obligada a contratar un Delegado de Protección de Datos (DPD)

La nueva LOPDGDD deja claro en su artículo 34.1.l) que deberán contar con un DPD “Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

No obstante exceptúa de esta obligación a “los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

Por eso en RGPDDOCTOR hemos querido distinguir a estos profesionales de la medicina que ejercen su actividad a título individual en consultas unipersonales, bajo la categoría de Médicos o Consultas Médicas, Despachos y/o Gabinetes.

Siempre Actualizado

Estos son solo algunos de los aspectos más destacados de la legislación sobre protección de datos personales y sus implicaciones en la vida diaria de una clínica.

Si trabajas en una clínica y quieres estar informado de cuales son tus obligaciones, en Rgpddoctor encontrarás toda la información que necesitas.

Si te ha gustado esta información, síguenos

en nuestras Redes Sociales y mantente informado

¿Todavía no te
has decidido?

Pincha en la imagen y comprueba nuestros Servicios de Implantación y Mantenimiento del RGPD y LOPDGDD para Clínicas y empresas del ámbito de la Salud.
Somos RGPDDoctor

Guía de Protección de Datos para Clínicas Sector Sanitario

Tratamiento de datos en la historia clínica:
TODO lo que debes saber.

DECÁLOGO DEL TRATAMIENTO DE DATOS EN LA HISTORIA CLÍNICA. ¿Sabes si tienes que pedir el consentimiento para el tratamiento de los datos personales de tus pacientes? ¿Sobre qué debes de informar al paciente en relación a sus datos? ¿Puedes facilitar la historia clínica de una persona fallecida? ¿Puedes ceder los datos de un paciente? Como profesional de la salud sabemos que estás continuamente tratando datos personales de infinidad de pacientes y como evidentemente no eres un experto

Leer Más >>

GRACIAS POR DAR VUESTRA VIDA POR NOSOTROS

GRACIAS POR DAR VUESTRA VIDA POR NOSOTROS. Cuando hablamos de un héroe normalmente nos referimos a un personaje principal de alguna película o saga que es inmortal, tiene superpoderes y salva a todo el mundo usando ese superpoder. También nos podemos referir como un héroe a una persona que se distingue por haber realizado una hazaña extraordinaria, especialmente si requiere mucho valor. Ahora une estas dos descripciones en la vida real, un superpoder unido a todo el

Leer Más >>

¿Necesito un Delegado de Protección de Datos para mi Clínica?

¿Quieres saber si estás obligado a nombrar un Delegado de Protección de Datos?, ¿tiene que ser alguien externo?, ¿puede ser el gerente de la clínica o el hospital? … En este post trataremos de ayudarte a resolver todas las dudas que plantea esta misteriosa figura que ha introducido el RGPD. RGPDdoctor te trae en este post…1.- Empezamos por el principio, ¿Qué es un Delegado de Protección de Datos?2.- ¿Es obligatorio para mi clínica? Todos los supuestos en

Leer Más >>