Con fecha 6 de diciembre del 2018, se publicó en el BOE la largamente esperada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, nueva LOPD). El texto establece nuevas obligaciones para todos los responsables del tratamiento de datos e incide especialmente en los centros sanitarios obligados a custodiar el historial clínico de sus pacientes. Esta ley era necesaria porque el Reglamento General de Protección de Datos (RGPD) dejó determinados aspectos abiertos a los legisladores de los países europeos. Lo que sigue es un pequeño resumen de la nueva Ley de Protección de Datos que las clínicas de fisioterapia deberían de tener en cuenta para ver cómo afecta y para asegurar el cumplimiento de la normativa de privacidad y protección de datos.
Redacción de consentimiento
Uno de los aspectos que más me suelen pedir es la “redacción de un consentimiento” para la recogida de tratamiento de datos de los pacientes. Desde siempre, he defendido que tal consentimiento no es necesario, y lo que debemos hacer es revisar para qué queremos esos datos. Para organizar la historia clínica, para mandarles un SMS recordatorio de una citación, para gestión de agenda, para facturar… Y en base a ello, elaborar un documento específico informativo, lo más aclaratorio posible, que informe realmente de “para qué” queremos los datos del paciente. La nueva LOPD así lo reconoce.
En síntesis, establece que el profesional sanitario reconocido como tal (Ley 44/2003, de ordenación de profesiones sanitarias, siendo el fisioterapeuta el profesional que se dedica “a la prestación de los cuidados propios de su disciplina, a través de tratamientos con medios y agentes físicos, dirigidos a la recuperación y rehabilitación de personas con disfunciones o discapacidades somáticas, así como a la prevención de las mismas” ) está obligado a conservar el historial clínico del paciente (Ley 41/2002, de Autonomía del Paciente). La base jurídica para la cual necesita los datos del paciente no debe ser el consentimiento, sino el cumplimiento de la citada obligación legal.
Debemos revisar los documentos que se entregan en las clínicas para evitar infracciones
Es «curioso» que un fisioterapeuta extienda un documento de protección de datos al paciente donde se le “solicite un consentimiento” que está obligado a darnos, ya que existe la obligación legal de tratamiento de esos datos. Lo cierto es que no encaja en absoluto, por tanto, pedir tal permiso al mismo si el paciente no se puede negar. Esto queda más que claro con la nueva LOPD, que cita las dos leyes anteriores como bases legitimadoras para el tratamiento de los datos. Por tanto, resulta imprescindible revisar esos documentos que extendemos a los pacientes porque podemos estar cometiendo una infracción si solicitamos algo que el paciente nos tiene que entregar: su información personal.
El citado consentimiento, entendido como un “permiso” que el paciente puede o no puede darnos en base a sus preferencias, debe destinarse sola y exclusivamente a aspectos accesorios y sobre los que el profesional tiene capacidad de decisión. Por ejemplo, el envío de promociones por email no es un tratamiento obligatorio y requiere por tanto que el cliente lo apruebe con la marcación explícita de una casilla. El envío de un recordatorio de una citación por Whatsapp, siendo éste un medio bastante intrusivo para el tratamiento también lo requiere. En definitiva: revisemos para qué queremos los datos, y facilitemos un documento lo más definitorio posible para el paciente. No existen modelos unívocos: el documento informativo de una clínica no tiene porqué valer para otra clínica.
El Delegado de Protección de Datos
La nueva LOPD establece también cuándo debe existir un Delegado de Protección de Datos. En anteriores redacciones de la ley parecían establecer que los centros sanitarios obligados a conservar el historial clínico deberían contar con este Delegado. En el texto final se ha añadido la excepción en relación al tratamiento “a título individual” de un profesional sanitario. A la espera de futuras interpretaciones por la autoridad de control, parece que las pequeñas clínicas -solo un profesional fisioterapeuta- no estarán obligadas a implementar esta figura ni a tener que contratar ningún delegado externo.
Como siempre, habrá que ver la situación concreta de la clínica. Ante supuesto de corresponsabilidad del centro es imperativo el establecimiento de este delegado, así como en centros sanitarios donde convivan varios profesionales. Para clínicas unipersonales también existe la posibilidad de implantar esta figura de forma voluntaria, lo que confiere indudables beneficios para la misma. Además de la imagen de seriedad y garantías en relación al cumplimiento de esta importante normativa que el cliente percibe. No olvidemos finalmente que, si una clínica cuenta con un Delegado de Protección de Datos, el mismo debe inscribirse en el registro de la AEPD. Mi consejo en todo caso es que se implante de forma generalizada en las clínicas, incluso, aunque no exista obligatoriedad.
En el 2018 han aparecido muchísimas consultoras con malas prácticas
Resulta llamativo también la mención que se hace en la nueva LOPD a determinados servicios de protección de datos que podemos considerar de fraudulentos. Desgraciadamente, con los cambios normativos que ha habido en el 2018 han aparecido consultoras que han intentado “vender” servicios, muchos de ellos con cargo a fondos de formación. He recibido muchas consultas de clientes que han recibido llamadas de empresas que se han hecho pasar por la administración pública, indicando que no cumplían con la ley y que estaban obligadas a hacer un “curso” en materia de protección de datos.
Ha habido otros casos en los que se han hecho pasar por la Agencia Española de Protección de Datos (falseando nombres y utilizando logotipos oficiales). La ley trata de dar las herramientas suficientes para luchar contra estas malas prácticas. De hecho, “realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones” o “actuar con la intención de suplantar la identidad de la Agencia Española de Protección de Datos” son prácticas consideradas a partir de ahora como “agresivas”. Y pueden ser constitutivas de sanción según la normativa de competencia. La AEPD ha habilitado un canal de denuncia al respecto.
Os animo a que si recibís llamadas intimidatorias en relación al cumplimiento de esta normativa me lo hagáis saber o lo pongáis en comunicación de COFICAM. Lo he repetido desde siempre: la única forma que existe hoy en día de cumplir con la normativa de protección de datos es que alguien vaya a vuestra clínica, os la explique y os de la formación necesaria.
Cómo afectan las sanciones de la nueva Ley de Protección de Datos a las Clínicas
Desgraciadamente toca hablar a continuación de sanciones. Existe un antes y después del pasado 25 de mayo de 2018. La enorme “campaña divulgativa” que muchas empresas realizaron informando del tratamiento de nuestros datos no han hecho sino “despertar” las reclamaciones ante la AEPD. Se calcula que las mismas han aumentado un 35 por ciento, según fuentes de la propia autoridad de control.
Existe una tendencia clara a “instrumentalizar” la protección de datos. El caso típico es el del paciente que acude a la AEPD (vía telemática) y realiza una denuncia contra una clínica por un supuesto incumplimiento (según su punto de vista). Muchas denuncias no prosperan y en todo caso es necesaria la redacción de una serie de escritos que acrediten el cumplimiento cuando nos lo requieran. Las sanciones pueden llegar a suponer un porcentaje importante de la facturación anual de la clínica.
La pérdida de la copia de seguridad si la misma no está cifrada, el envío de emails con datos sanitarios con informaciones “en texto plano” (sin mecanismos de cifrado) o ataques informáticos (tipo “ransoware”, con cifrado de documentos) que podamos recibir son un verdadero quebradero de cabeza ahora también ante la autoridad de control que pueden desembocar en cuantiosas sanciones si no se consigue demostrar que hemos tomado precauciones.
Alfonso Villahermosa Iglesias. Como siempre, quedo a disposición de todos vosotros (609170540, info@legaltech.es, o ante los medios habituales del colegio) ante las dudas que os pueda producir esta compleja normativa.
