Obligaciones de privacidad en las clínicas dentales

Como ya es conocido a causa del envío masivo de correos que sufrieron los buzones de correo electrónico de la mayoría de la población, el pasado 25 de mayo, entró en aplicación el Reglamento General de Protección de Datos (en adelante, RGPD). Este Reglamento, deroga la normativa anterior de protección de datos tanto a nivel europeo como en los Estados miembros, el que supone que se tienen que aprobar nuevas leyes de protección de datos para adaptar los regímenes estatales a esta nueva normativa. En España, se prevé que esta normativa se apruebe a finales de este año 2018.

El RGPD introduce cambios importantes que todas las clínicas deberán tener presentes y aplicar cuando recojan y traten los datos de los pacientes, así como de los proveedores y colaboradores. La protección de los datos personales de los pacientes resulta ser de especial relevancia, puesto que se trata de datos contenidos en historias clínicas, relativas a la salud o a las prestaciones de servicios de atención sanitaria, consideradas como datos que requieren una mayor protección según el RGPD.

En base a este hecho, es conveniente aclarar algunos conceptos y determinar cuáles son las principales obligaciones de los odontólogos, en aras de respetar la protección de los datos personales.

El principio de responsabilidad proactiva, implica un mayor compromiso en la gestión de los datos personales, mediante una actitud consciente, diligente y proactiva, sobre todo las relativas a pacientes, estableciendo medidas para prevenir los riesgos respecto a la protección de datos de que disponen las clínicas, pudiendo demostrar el efectivo cumplimiento de la normativa. El RGPD considera que una vez tenga lugar una incidencia, es demasiado tarde para actuar y tomar medidas para proteger las mismas. Por ello, es preciso tomar medidas para que esta incidencia no tenga lugar.

El RGPD establece que las medidas de seguridad, tanto técnicas como organizativas, se tienen que establecer y ser apropiadas teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y las finalidades del tratamiento, así como de los riesgos para los derechos y libertades de las personas físicas, garantizando un nivel de seguridad adecuado al riesgo.

Así pues, es necesario que las clínicas analicen los riesgos de los tratamientos que lleven a cabo para poder determinar qué medidas tienen que aplicar y como tendrán que aplicarles para que sean efectivas.

Para valorar los riesgos a los que están expuestos los datos de nuestra clínica y los tratamientos de datos que llevamos a cabo, es recomendable realizar auditorías periódicas con expertos que nos aconsejen, puesto que las medidas de seguridad, así como toda la documentación, se deberán de actualizar regularmente para cumplir con la normativa de protección de datos.

En todo caso, las clínicas tendrán que poder demostrar qué medidas de seguridad aplican, y una de las maneras de poder demostrarlo es mediante la adhesión a códigos de conducta o mecanismos de certificación que, todavía ahora, están en proceso de elaboración por parte de las autoridades europeas.

En definitiva, las medidas de seguridad son medidas que se tienen que implementar y reflejar en los protocolos elaborados por la clínica, junto con la documentación de protección de datos necesaria por cumplir con la normativa de protección de datos, como por ejemplo: el Registro de Actividades del Tratamiento, el Documento de Seguridad, los Contratos con los Encargados del Tratamiento (proveedores, colaboradores, laboratorios), Manual de Funciones y Obligaciones del Personal, compromisos de confidencialidad, etc.

Esta documentación, y siguiendo con el principio de responsabilidad proactiva, se tendrá que mantener actualizada en todo momento.

Uno de los protocolos que deben elaborar las clínicas, es el protocolo de recogida del consentimiento para el tratamiento de los datos, sobre todo de los pacientes, pero también de los trabajadores y otras personas que puedan tener relación con las clínicas.

¿Cómo tenemos que recoger el consentimiento en las clínicas?

El RGPD considera que el consentimiento tiene que ser:

  • Específico e informado: El consentimiento tiene que ser específico para el tratamiento de datos personales de los pacientes puesto que se trata de datos relativos a la salud, es decir sensibles, para los cuales se prevé esta obligación. La finalidad del tratamiento también tiene que ser específica y determinada. No podemos utilizar el consentimiento recogido para el tratamiento de datos, para prestar el servicio de atención sanitaria para hacer comunicaciones comerciales o envíos masivos de información. Además de esta información sobre el tratamiento y la finalidad del mismo, tendremos que proporcionar más información a los pacientes en el momento que nos den su consentimiento como: la identidad del responsable del tratamiento, la posibilidad de ejercer los derechos previstos por el RGPD o presentar una reclamación ante la autoridad de control, como contactar con el Delegado de Protección de Datos, el tiempo de conservación de los datos y las posibles cesiones de los datos proporcionados y la finalidad de las cesiones.
  • Libre, inequívoco, obtenido mediante una acción afirmativa o manifestación del interesado: El consentimiento tiene que ser expreso, no se admite el consentimiento para el tratamiento de datos personales argumentando que el paciente pagó o que no dijo nada al respecto. Esto serían consentimientos tácitos que no se admiten por el RGPD. El consentimiento tiene que suponer una acción afirmativa por parte del paciente o interesado. Si el consentimiento al tratamiento de los datos de los pacientes ya fue dado de manera expresa y no de forma tácita, y somos capaces de demostrarlo, no será necesario volver a solicitar el consentimiento de estos.

 

Finalmente, tener presente que la correcta recogida del consentimiento se debe demostrar por parte del responsable del tratamiento de los datos. Es decir, las clínicas tienen que ser capaces de demostrar que el paciente en cuestión ya facilitó su consentimiento.

Para actualizar y recoger los consentimientos de acuerdo con el RGPD, es pues necesario que las clínicas dentales revisen los sistemas de recogida y registro del consentimiento, así como las cláusulas informativas proporcionadas en el momento en que se solicita el mismo.

 

 

No Comments

Sorry, the comment form is closed at this time.

error: Content is protected !!