Durante el mes de mayo todos hemos estado recibiendo comunicaciones de nuestros proveedores en relación a las nuevas obligaciones en protección de datos. Estas derivan del nuevo Reglamento General de Protección de Datos (en adelante, RGPD), que entra en vigor a partir del 25 de mayo de 2018. Se trata de comunicados de nuestro banco o nuestra empresa de telecomunicaciones solicitando un nuevo consentimiento. Con el objeto de que esos comunicados puedan seguir produciéndose en idéntica forma, o simplemente una invitación a leer la nueva política de privacidad de la entidad.
Al mismo tiempo, los medios de comunicación están informando con bastante profusión, de todas las novedades que trae consigo la nueva normativa. Así pues, este tema está absolutamente en boca de todos. Sin embargo, no son pocos los medios que están mal informando sobre el mismo. A continuación voy a dar una serie de breves apuntes en relación a nuestro colectivo, fruto de las muchas consultas que suelo recibir. En ningún caso pretendo profundizar demasiado, tan solo que tengáis claro lo más importante:
Delegación de Protección de datos
Sí, parece que esta figura va a ser necesaria en las clínicas de fisioterapia, pero no de inmediato. El RGPD establece que se debe nombrar a un delegado en aquellas entidades cuyas “actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales”. A todos efectos, en una clínica pequeña (incluso media), faltaría el componente de “gran escala”. La consecuencia fundamental es que, de momento, no se necesita un delegado. No obstante, el Anteproyecto de Ley Orgánica de Protección de Datos, actualmente en tramitación, extiende esta obligación a aquellos centros sanitarios obligados a custodiar la historia clínica de sus pacientes.
Por lo tanto es muy probable que esta obligación se establezca cuando se apruebe la nueva LOPD, no cuando sea exigible el RGPD. El Delegado es un “interlocutor de alto nivel” ante la Agencia Española de Protección de Datos. Es necesaria la notificación de su existencia a la misma y es una garantía de los derechos de los pacientes y de las obligaciones de los responsables. Y es sancionable no haberlo nombrado. No obstante, es posible que la AEPD se pronuncie en breve al respecto y añada una mayor seguridad en este punto.
debemos dar información al paciente en relación al tratamiento de sus datos y probar que lo hemos hecho
Inscripción de ficheros
Es una obligación que desaparece. De hecho, con fecha 14 de Mayo, la AEPD ya no admite la inscripción, modificación o supresión de ficheros en el registro.
Registro de Actividades de Tratamiento
Nueva obligación que establece el RGPD. No todas las empresas deben de tenerlo, pero sí las clínicas de fisioterapia, al tratar datos de salud. Se trata de un registro que tenéis que tener a nivel interno donde se describan los tratamientos de datos que realizáis, finalidades, plazos de conservación, legitimidad para tratarlos, categorías de datos, etc. Se podrá exigir por parte del órgano de control (la citada AEPD). Para facilitar este cumplimiento, vosotros mismos podéis acudir a la web de esta entidad y solicitar el registro en base a la información anterior existente relacionada con la inscripción de ficheros (www.agpd.es). Lógicamente, para ello deberíais de haber inscrito los ficheros anteriormente, si no será imposible que la AEPD tenga información alguna sobre vosotros.
Sobre el consentimiento a los pacientes
Mucho se está hablando sobre la necesidad de tener que pedir un consentimiento “reforzado” a los pacientes que pasan a nuestra clínica. La realidad es otra: la base jurídica por la que tratamos los datos de ellos no es el consentimiento, es la ejecución de un servicio que ellos mismos nos solicitan. Por otro lado, el tratamiento de sus datos clínicos deriva de las obligaciones de conservación que establece la Ley 41/2002, de Autonomía del Paciente. No obstante, debemos dar una información al paciente en relación al tratamiento de sus datos y probar que lo hemos hecho, siendo lo mejor la firma de un documento específico. Insisto, informativo, no solicitando consentimiento salvo que queramos tratar sus datos para finalidades no relacionadas directamente con la prestación de servicios sanitarios, por ejemplo fidelización. Es muy importante que este documento esté correctamente redactado.
Sobre la relación con mutuas y entidades sanitarias
En estos meses muchos compañeros estáis recibiendo nuevos contratos de terceras compañías con las que tenéis una relación profesional. Estas compañías tienen la necesidad de contratar con colaboradores que cumplan con las obligaciones en protección de datos. De hecho sería sancionable para ellas contratar con una clínica que no cumpla con la normativa.
Para ello, estos contratos suelen establecer fuertes obligaciones incluso de auditoría por parte de las mismas, siendo posible que un tercero pueda comprobar “in situ” las medidas de seguridad que aplicamos a los datos que nos derivan, la correcta actualización del registro de actividades de tratamiento, etc. Si bien entiendo que es lógico que estas compañías quieran asegurarse del cumplimiento de la normativa estableciendo obligaciones de supervisión, es posible que muchas de ellas rebasen ciertos límites a los que no pueden llegar. Os recuerdo que desde el colegio podemos asesoramos al respecto, y podemos revisar los contratos que os hagan llegar.
Sobre las medidas de seguridad
Es muy importantes que hagáis una reflexión en relación al tratamiento de datos que realizáis. El RGPD deja bastante libertad al respecto, pero establece dos medidas básicas: el cifrado y las copias de seguridad, algo que seguro que os sonará y que seguro que estáis aplicando ya. Las copias de seguridad deben realizarse en un soporte removible, debiendo cifrarse los datos si salen del centro. El cifrado es especialmente exigible también en la transmisión de datos de salud por correo electrónico a terceras entidades.
Alfonso Villahermosa Iglesias, Legaltech Consulting