El nuevo Reglamento General de Protección de Datos (RGPD) ha cambiado algunos paradigmas en cuanto a protección de datos se refiere. Los médicos resultan ser una de las profesiones con más modificaciones en su cumplimiento. Al haber aumentado las posibles sanciones, es muy importante que médicos y clínicas cumplan correctamente el Reglamento General de Protección de Datos (GDPR en sus siglas en inglés). Te explicamos a continuación lo que debes saber y qué tienes que cumplir.

El RGPD en médicos y clínicas, por qué es especialmente importante

La protección de datos en el caso de los médicos y clínicas de salud se hace especialmente importante debido al tipo de datos que se tratan. En concreto, y al ser datos personales relacionados con la salud, nos encontramos con los recogidos como datos especiales por el propio reglamento.

Consulta con nosotros cómo cumplir el RGPD

En este artículo vamos a centrarnos en los tratamientos relacionados con los pacientes (dejando otros de lado como pueden ser los tratamientos relacionados con empleados, etc.), ya que son los que les diferencian de otros casos.

Así, el artículo 6 del GDPR recoge que son datos de carácter especial los siguientes:

Datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Estos datos son especialmente sensibles y, por tanto, se protegen de manera más activa por parte de la normativa.

En la nueva Ley de Protección de Datos española que desarrolla este Reglamento Europeo nos encontramos con que estos datos, además de reconocerse como de especial sensibilidad, tienen prohibido tratarse por el mero consentimiento de los interesados. En pocas palabras: no es legitimación suficiente que los afectados, es decir, los pacientes, den su consentimiento para que traten este tipo de datos.

Cumplimiento en cuanto a la legitimación del tratamiento de datos en médicos y clínicas

Los médicos y clínicas, como se ha expuesto en el punto anterior, deben prestar especial cuidado a la hora de tratar los datos. De todas las ‘razones’ o causas de legitimación por las que se pueden tratar datos de carácter personal (y que se encuentran recogidas en el artículo 6 del RGPD) los médicos y clínicas sólo pueden basarse en una: que el tratamiento es necesario para la consecución de un contrato firmado entre el responsable y el afectado.

Por esta razón los médicos y clínicas, si quieren cumplir el reglamento europeo de protección de datos, deberán tener evidencias de que existe ese contrato. A pesar de ello no suele ser habitual disponer del contrato firmado con el paciente, ya que estos suelen llegar a nuestra consulta por medio de otras vías (aseguradoras, la propia clínica, otros especialistas, etc.). En estos casos deberemos disponer de las evidencias que muestren que, o bien somos encargados del tratamiento (caso, por ejemplo, de las aseguradoras), o bien nos han transferido estos datos legítimamente como responsables del tratamiento.

En pocas palabras: que existe un contrato en el que nos basamos para dicho tratamiento.

Cumplimiento en cuanto a la información correcta a los pacientes

El Reglamento General de Protección de datos y la nueva Ley de Protección de datos española recogen ciertos deberes de información a los afectados. En el caso de los médicos y clínicas, por el tipo de datos que se tratan, esta información es especialmente importante.

Si queremos cumplir el deber de información de manera adecuada deberemos añadir una serie de cláusulas a los contratos que firmemos con los pacientes donde se indique, entre otros, quién es el responsable del tratamiento, cómo pueden ejercitar sus derechos, etc. Puedes ver los requisitos un poco más desglosados en la guía publicada por la propia Agencia Española de Protección de Datos en relación al deber de informar.

Recuerda que puedes cumplir esta obligación sencillamente indicando una primera capa sencilla, para luego referirnos a la información completa de alguna manera sencilla para el afectado. En el caso de médicos y clínicas esto puede realizarse, por ejemplo, por medio de una página web pública, o de un documento que se encuentre a disposición de los pacientes que acudan a la consulta.

Cumplimiento en cuanto al documento de seguridad de médicos y clínicas

El RGPD recoge el principio de ‘Accountability’ o, lo que es lo mismo, que somos nosotros los que, de forma proactiva, debemos cumplir con los requisitos de seguridad suficientes para que la información esté ‘a buen recaudo’. En el caso de una persona que no es técnica en este tipo de aspectos, como puede ser habitual en caso de médicos y clínicas, puede ser un poco más difícil. Pero, aun así, debemos prestar atención a los criterios mínimos.

Para ello no solo tenemos que cumplir con una serie de prácticas recomendadas de seguridad, sino que debemos recogerlas en un documento. El mismo suele conocerse como ‘Documento de seguridad’, aunque muchos especialistas lo incluyen en algún otro documento como el de ‘Registro de Actividades’. En cualquier caso debe existir, y debe recoger la manera de recabar evidencias suficientes que demuestren que estamos cumpliendo con lo que la norma exige.

En el caso de médicos y clínicas, por el tipo de información, tendremos que tener en cuenta que el riesgo en el caso de que la información se pierda, modifique o llegue a un tercero es crítica, por lo que habrá que cumplir con medidas especialmente sensibles. No tiene por qué ser difícil, pero sí tenemos que conocerlas para no ‘meter la pata’ y encontrarnos desprotegidos en el caso de que ocurra cualquier eventualidad.

Deberás tener en cuenta que, si utilizas servicios externos, es posible que debas ampliar un poco esta información. En Ley Actual ya hemos tratado, por ejemplo, el caso de Dropbox en relación al Reglamento General de Protección de Datos. También es recomendable tener mucho cuidado si utilizamos las redes sociales como Facebook, ya que es bastante probable que no cumplamos el nuevo reglamento.

Tratamientos obligatorios en la protección de datos de médicos y clínicas

Además de los datos comúnmente tratados por los médicos en relación a los pacientes y su historial clínico, el RGPD nos obliga a añadir, como mínimo, los tratamientos de “Atención de derechos de las personas” y “Notificación de una quiebra de seguridad de los datos personales”.

Esto es así por el nuevo principio de responsabilidad proactiva (accountaility), de comunicación de información y derechos de las personas y, por supuesto, de nuestra obligación de comunicar a la AEPD en el caso de que exista una brecha de seguridad.

¿Necesita un médico o clínica y delegado de protección de datos?

La obligación de tener un delegado de protección de datos (DPD por sus siglas en español, DPO por sus siglas en inglés) no es necesario en el caso de los médicos. Esto es así porque, conforme al artículo 37 del propio RGPD, no tratan datos especiales a gran escala.

A pesar de ello, si eres médico puede ser interesante disponer de esta figura, ya que su contratación es un indicio, en caso de suceder un incidente, del cumplimiento de la normativa. Disponer de un DPO o DPD puede ser un seguro añadido para evitarnos problemas.

En el caso de las clínicas, sobre todo aquellas que son muy importantes a nivel local, sí que resultaría necesaria esta figura. Esto es así porque, además de tratar datos de carácter especial (aquellos relacionados con la salud de las personas), sí que cumplen el requisito de gran escala. Recordemos que ‘gran escala’ se puede medir por porcentaje en función de una determinada población, por cantidad bruta de personas, por porcentaje en un determinado sector, etc.

Si necesitas un delegado de protección de datos como clínica, o bien eres médico y por la cantidad de pacientes que tratas quieres disponer de esta figura, ponte en contacto con nosotros. En Ley Actual ofrecemos un servicio de protección de datos avanzado.

Cumplimiento de la protección de datos de médicos y clínicas cuando hay brechas de seguridad

En el caso de que seamos médicos o clínicas no estamos exentos de comunicar a la AEPD la existencia de una situación de brecha de seguridad. Si vemos que nuestros datos se han expuesto (por ejemplo por parte de un hacker o virus informático, etc.) y pueden dañar el interés y los derechos y libertades de los afectados tendremos que comunicarlo a la mayor brevedad.

Si dispones de un Delegado de Protección de Datos no tienes más que comunicarle lo sucedido, él hará todo lo necesario para cumplir con esta obligación.

Obligaciones con los pacientes en relación a sus derechos

El nuevo RGPD reconoce una serie de derechos de los afectados que, en el caso de médicos y clínicas, son los pacientes. En general tienen que ver con el derecho de acceso, de rectificación, de supresión, de oposición y de portabilidad. Si cumplíamos la antigua normativa es muy probable que nos suenen.

En general, debemos dar contestación a cualquier solicitud por parte de los interesados en un mes, aunque puede prorrogarse otros dos meses en caso de que sea una solicitud compleja.

Consulta con nosotros cómo cumplir el RGPD

Lo que debemos tener en cuenta como médicos es que, para cumplir con la normativa de protección de datos, lo más adecuado es contestar sin mayores dilaciones. A ser posible, si la solicitud nos la han realizado por medio electrónico, debemos contestar por el mismo medio (a no ser que el interesado pida otros medios que también estén en nuestra mano).

Seguimiento y auditorías internas de protección de datos en médicos y clínicas

Cumplir con el RGPD no se limita a una implementación inicial. Como el mismo reglamento nos indica, este cumplimiento debe estar en constante evolución. Todo ello, además, se ve apoyado por el principio que hemos comentado anteriormente de responsabilidad proactiva.

Las auditorías que evidencien que cumplimos el principio de proactividad son indispensables para adaptarnos a los cambios que vayan sucediendo. Esto se vuelve todavía más urgente si aplicamos algún cambio en nuestra manera de trabajar (por ejemplo si cambiamos nuestro programa de gestión, ampliamos nuestras acciones comerciales para conseguir más pacientes, etc.).

Qué ha cambiado con respecto a la anterior ley de protección de datos

La implementación por parte del RGPD es similar a la antigua LOPD, aunque hay algunos cambios que debemos tener en cuenta. En el caso de médicos y clínicas, podemos destacar:

• Ya no existen ficheros que presentar en la AEPD. Esto se sustituye por el principio de responsabilidad proactiva.
• Los consentimientos que tuviéramos recabados anteriormente, por ejemplo para enviar notificaciones comerciales, pueden no ser válidos.
• No es suficiente el consentimiento de los pacientes, necesitamos que medie un contrato.
• Necesitamos disponer de contratos de encargados de protección de datos en el caso de que lo seamos. Esto puede suceder, por ejemplo, en el caso de los pacientes que provengan de una aseguradora.

¿A cuánto asciende una sanción en caso de que un médico o clínica incumpla el RGPD?

El nuevo Reglamento Europeo de Protección de Datos establece unas sanciones más elevadas que las que existían anteriormente. Ahora, además de las indemnizaciones por daños que puedan darse, se podrán imponer multas administrativas de hasta 20 millones de euros. Puedes ampliar esto en el artículo 83 del RGPD.

Por esa razón, si somos médicos o clínicas lo mejor es no arriesgarnos, ya que cumplir con el reglamento es relativamente sencillo si lo hacemos con tiempo.

Ponte en contacto con nosotros si necesitas ayuda en este aspecto. Estaremos encantados de asesorarte.

Artículo escrito por Rodrigo Tovar Monge.

Consulta con nosotros cómo cumplir el RGPD