Todo lo que debes saber sobre protección de datos en el sector sanitario
Si eres dentista, fisioterapeuta, psicólogo, ginecólogo, podólogo u otra profesión sanitaria, este artículo te va a interesar, y mucho.
El sector de la salud es especialmente sensible respecto a la protección de datos. La información sobre usuarios es muy sensible, y suele ser objetivo de robos y ataques.
Por fin vamos a resolver tus dudas sobre aspectos a tener en cuenta para cumplir la normativa de RGPD y LOPD en clínicas y centros sanitarios.
Si gestionas una clínica de servicios sanitarios, probablemente hayas oído hablar de la Protección de Datos. De hecho, es probable que ya estés tomando medidas para adecuarte a la normativa, pero… ¿Qué obligaciones tienes?
El sector sanitario engloba muchas ramas: Fisioterapia, ginecología, odontología, psicología, psiquiatría, logopedia, y un largo etcétera de servicios. Lo que tienen en común todas estas ramas son los pacientes o usuarios, y sus datos.
Si tienes dudas sobre qué normas debes cumplir y cómo hacerlo, este artículo es para ti.
Comencemos por el principio: ¿Qué es la Protección de Datos?
Es un conjunto de normas que protegen los derechos del usuario en cuanto a privacidad y que tienen como objetivo garantizar el tratamiento de información sensible de forma correcta.
Las normas vigentes en la actualidad son las siguientes:
- RGPD 679/2016: De obligado cumplimiento en el marco europeo desde mayo de 2018.
- LOPD: Ley Orgánica vigente en España. Si cumples la RGPD estás cumpliendo la LOPD, ya que la primera es de carácter superior. El Real Decreto-Ley 3/2018 es un puente que permite la adaptación de la LOPD a la RGPD.
- Ley 41/2002, de Autonomía del paciente. Vela especialmente por los derechos del paciente.
¿Es necesario que cumpla la Protección de Datos?
Rotundamente sí. Pero si tienes alguna duda, responde a estas preguntas:
- ¿Recopilas datos personales de tus pacientes?
- ¿Tienes acceso a datos sensibles, como historial médico, datos genéticos o biométricos?
- ¿Compartes esos datos con otros, como laboratorios protésicos o proveedores de algún tipo?
- ¿Recopilas datos a través de tu web?
- ¿Utilizas un sistema de gestión de pacientes, como un ERP o similar?
- ¿Trabajas con mutuas o compañías de seguros?
Si has respondido SÍ a cualquiera de estas preguntas, necesitas adoptar medidas para garantizar la seguridad de estos datos.
¿Qué pasa si no cumplo la RGPD?
Las sanciones recogidas en la RGPD son muy elevadas, y pueden llegar hasta el 4% de la facturación anual o 20 millones de euros en casos muy graves.
Incluso si la empresa es pequeña o no ha habido fuga de datos, no estar al día de la normativa puede conllevar un perjuicio económico letal para la empresa. Más vale prevenir que curar.
Vayamos paso a paso. ¿Qué te exige la ley exactamente?
Si ya cumplías la LOPD deberás llevar a cabo una simple adaptación a la RGPD. Si no la tenías al día, es el momento perfecto para corregir errores y protegerte frente a sanciones.
Los pasos que debes dar para garantizar la Protección de Datos consta de 8 pasos:
1. Registro de actividades de tratamiento.
Debes elaborar una lista de los datos que recopilas, qué cantidad y el uso que haces de ellos. Ten en cuenta aspectos relativos a la política de almacenamiento (fijo o en la nube, durante cuánto tiempo los almacenas…), si existe cesión de datos o se transfieren a otros países.
Este documento puede ser físico o digital, y debe actualizarse ante cualquier cambio que se produzca en el procedimiento.
2. Análisis de riesgos.
Este documento tiene como finalidad evaluar los puntos débiles para poder implementar medidas de corrección.
Responde a preguntas como dónde se almacenan los datos, cómo se almacenan, qué equipos tienen acceso a ellos, la naturaleza de los datos (personales, sanitarios, bancarios…), y el número de afectados por los mismos.
El análisis de riesgos designará una serie de medidas de protección que deberás implementar para garantizar la seguridad de la información frente a ataques informáticos.
3. Evaluación de impacto.
Tienes acceso a datos especialmente sensibles, que podrían afectar gravemente a la vida de los pacientes si estos se hicieran públicos. Por eso la evaluación es especialmente clave si:
- El tratamiento de datos es de alto impacto y entraña un alto riesgo para los derechos y libertades de las personas físicas. Un caso claro es la utilización de nuevas tecnologías para el almacenamiento.
- Realizas una evaluación sistemática y exhaustiva de aspectos personales de personas físicas, como la elaboración de perfiles. Si estos perfiles se utilizan para tomar decisiones con efectos jurídicos como condenas o infracciones penales, o les afecten significativa.
- Realizas un tratamiento a gran escala de las categorías especiales de datos, o de datos personales relativos a condenas o infracciones penales.
- Realizas una observación sistemática a gran escala de una zona de acceso público. Por ejemplo, mediante un sistema de videovigilancia.
4. Contratos con terceros.
Seguro que trabajas con empresas externas. Laboratorios protésicos, empresas de mantenimiento informático y ciberseguridad, software de gestión de pacientes… Es tu obligación exigirles que ellos también cumplan la normativa de Protección de Datos.
5. Datos recopilados a través de la web.
Si recopilas datos personales en tu web, debes informar al usuario de la Política de Protección de Datos e incluir todos los textos requeridos:
- Aviso legal, con un enlace visible desde cualquier lugar de la web, y en la que se identifique al propietario de la misma.
- Política de Privacidad, en la que se explique dónde y cómo se utilizan estos datos.
- Política de cookies. Las cookies se utilizan para obtener información sobre la navegación de los usuarios y para lanzar publicidad personalizada dentro de la página. Si las utilizas debes informar sobre cuáles son, su finalidad y la duración de las mismas.
6. Consentimiento expreso de los pacientes.
El consentimiento de los pacientes es crucial. Debe ser expreso y quedar registrado. Tanto si recopilas datos de forma física en la clínica como a través de la web, el usuario debe firmar un consentimiento.
7. Derechos de los usuarios.
La RGPD es muy clara sobre este tema. Además de los antiguos derechos ARCO (Acceso, Rectificación, Cancelación (que ahora se denomina Supresión) y Oposición, se añaden dos más: Olvido y Portabilidad de datos. Debes facilitar el acceso a estos derechos en el momento en que un paciente te lo solicite.
8. Contratos con empleados.
Tus empleados pueden tener acceso a información confidencial, que sea necesaria para el desempeño de su trabajo. Deben firmar un contrato de confidencialidad en el que se comprometan a no extraer datos con otros fines.
9. Notificar brechas de seguridad.
Nadie suele pensar en este punto, pero es uno de los cambios más importantes.
En caso de que detectes una brecha de seguridad de cualquier tipo, debes notificarla en un plazo inferior a 72 horas, y subsanarlo inmediatamente presentando un plan de respuesta ante incidentes.
10. Designar un DPD (Delegado de Protección de Datos).
El Delegado de Protección de Datos es el encargado de salvaguardar los procesos y políticas internas de Protección de Datos, y es el interlocutor designado para comunicarse con la Agencia Española de Protección de Datos (AEPD). Si tu clínica es pequeña, o no trata datos a gran escala todavía no es obligatorio, aunque sí muy recomendable. Puedes contratar a un DPD certificado que forme parte de tu plantilla, o puedes subcontratar el servicio. La segunda opción suele ser más económica.
En esto, nosotros podemos ayudarte. Puedes contactar con nosotros para resolver tus dudas.
Cuando comenzaste a leer este artículo posiblemente pensabas que la Protección de Datos solo implicaba incluir algunos textos legales y firmar consentimientos.
Lamentablemente no es tan fácil, tú eres el responsable de salvaguardar todos estos datos y esto conlleva implicaciones.
Pero no es tanto como parece. Con un poco de ayuda de un profesional, adaptar tu empresa a la normativa será sencillo. No implica un enorme gasto económico, pero sí implica mucha tranquilidad, para ti y para tus pacientes.
Si has decidido dar el paso y ponerte al día pero tienes algunas dudas, déjanos un mensaje en comentarios. Quizá haya más personas con la misma duda, y nos encantará ayudaros a resolverla.