– ¿Qué requisitos debe cumplir la política de privacidad de mis pacientes?
Con la nueva legislación se permite un nuevo formato de política de privacidad por capas o niveles.
Es decir, se permite que en el momento de la recogida se ofrezca al paciente una información básica sobre protección de datos y además se le facilite un medio donde pueda obtener información complementaria sobre el resto de aspectos relativos al tratamiento de sus datos personales (Ej. A través de una dirección web).
De esta forma tendríamos en la Capa inicial (momento de la recogida) el siguiente contenido mínimo y obligatorio:
- – Identidad del Responsable del Tratamiento: Nombre o denominación social del titular de la clínica.
- – Finalidad del tratamiento de los datos: Descripción sencilla de los fines del tratamiento. Ej. Prestar los servicios de asistencia sanitaria solicitados y gestión de su historia clínica …etc.
- – Legitimación: Base jurídica del tratamiento. Ej. El contrato de prestación de servicios sanitarios solicitados por el interesado.
- – Destinatarios: Previsión o no de cesiones de los datos personales. Ej. Sus datos serán comunicados a las compañías aseguradoras, mutualidades y cualquier tercero que resulte obligado al pago de los servicios sanitarios prestados.
- – Derechos de los pacientes: Hay que informar al paciente sobre la posibilidad de ejercer sus derechos (Acceso, rectificación, cancelación …etc) y los mecanismos previstos para poder ejercerlos.
- – Finalmente debe incluirse información sobre donde y como puede accederse al resto de información adicional sobre la política de protección de datos de la clínica. Ej. Puede consultar la información adicional y detallada sobre nuestra política de protección de datos en la dirección web (aquí cada clínica tendrá que incluir la URL de su política de privacidad).
Respecto a la segunda capa o información adicional, el contenido mínimo debe ser el siguiente:
- – Identidad y datos de contacto del Responsable del Tratamiento y del Delegado de Protección de Datos: Nombre o denominación social del titular de la clínica sus datos de contacto, así como los datos de contacto del DPD de la clínica (Delegado de Protección de Datos).
- – Finalidad del tratamiento de los datos, plazos de conservación y en su caso realización de técnicas de perfilado o decisiones automatizadas. En este punto se deberá informar de los plazos de información de los datos de los pacientes (5 años mínimo).
- – Legitimación: Detalle de la base jurídica del tratamiento.
- – Destinatarios: Detalle de los destinatarios de los datos (a quien se van a comunicar los datos de los pacientes).
- – Derechos de los pacientes: Los mecanismos para ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento, así como el derecho a reclamar ante la autoridad de control. (Agencia Española de Protección de Datos – AEPD).
- – Por último, debe incluirse información sobre la procedencia de los datos, origen y categorías de datos que se tratan.
Por tanto, debemos tener claro que debemos organizar el cumplimiento de nuestros deberes de información respecto a nuestros pacientes a través de una política de privacidad que deberán firmar todos aquellos que acudan a nuestra clínica.
Mientras no cambien las circunstancias solo es necesario que la política la firme el paciente la primera vez que acude a la clínica y si disponemos de políticas de privacidad firmadas por nuestros pacientes bajo la anterior normativa, deberemos procurar que reciban y firmen la nueva política de privacidad cuando acudan nuevamente a nuestro centro médico.