Para cumplir con la ley de protección de datos en España si tienes una clínica dental deberás seguir los preceptos de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales.
Esta ley se aprobó en 2018 y regula la recogida y tratamiento de los datos personales por parte de las empresas. Como ves no existe un código específico para clínicas dentales, las consultas deben acogerse a la misma ley que el resto de empresas.
Si eres dueño de una clínica dental pero no sabes cómo cumplir con todas las obligaciones legales en la recolección y tratamiento de datos, sigue leyendo, te damos todas las claves para evitar sorpresas. Porque Previsión Mallorquina siempre está del lado de los autónomos y te ayuda para que tu negocio vaya viento en popa.
Contents
¿Qué ley debe seguir una clínica dental para la protección de datos?
Como ya hemos comentado antes, existen dos normas que se deben respetar. Por un lado, se encuentra el Reglamento General de Protección de Datos (RGPD) esta normativa se aprobó por el Parlamento Europeo en 2016 para dotar de mayor protección jurídica la privacidad de los ciudadanos.
Esta normativa se adaptó al ordenamiento jurídico español en 2018 con la aprobación de la Ley Orgánica de Protección de Datos Personales y Garantía de Derechos Digitales (LOPDPGDD). En estas dos leyes encontrarás toda la información para implementar la protección de datos en tu clínica dental de acuerdo con la ley y son los documentos que hemos tomado como fuente para hacer este artículo.
Cómo implementar la Ley de Protección de Datos en tu clínica
Las clínicas dentales son negocios que tratan datos personales y sensibles de los pacientes. Por eso, en estos casos, su protección cobra aún más relevancia. Para asegurarte de que tu clínica cumple con todos los estándares exigidos por la ley, te dejamos los pasos que debes seguir.
Identificar datos personales
Para implementar con éxito un proceso que garantice la legalidad deberás analizar que tipos de datos vas a recabar. Esto implica también el cómo los vas a recolectar. En este apartado entra en juego las fuentes de datos que utilices: Tu CRM, registros en papel, bases de datos cubiertas por tus empleados, etc.
En esta fase deberás estructurar los datos y categorizarlos según su tipología. Así, existirán datos personales, demográficos, bancarios de salud…
Algunos de estos datos son tremendamente sensibles así que deberás implementar un procedimiento que garantice su seguridad.
Análisis de riesgos
Precisamente relacionado con el anterior punto. Se deberá elaborar un informe que tendrá en cuenta la forma en la que se tratan los datos. Debe seguir un modelo parecido a este:
- Tipo de tratamiento de datos: Ej.: Los datos se almacenarán en discos duros externos
- Riesgo asociado al tratamiento de datos: Ej.: Riesgo de pérdida del disco duro.
El tratamiento de datos se compone de varios procesos, cada proceso se hará de una manera y por tanto existirá un riesgo asociado.
Evaluación de impact
Al establecer los riesgos, también se deben establecer medidas para mitigarlos. Estas medidas se recogen en el informe de evaluación de impacto. Al establecer los riesgos también se debe establecer el nivel de daño del riesgo y la probabilidad de que ocurra.
En función de esto, se establecerán medidas que mitiguen el impacto del riesgo. Algunas de las medidas que se suelen implementar son:
- Minimización de datos: O sea, recoger solamente los datos estrictamente necesarios para garantizar el servicio.
- Creación de sistemas de autenticación robustos.
- Uso de contraseñas y claves de acceso
- Técnicas de pseudonimización
- Realizar copias de seguridad de forma periódica
- Crear políticas internas de seguridad
Por lo general, la evaluación de impacto solo se suele dar en empresas con un gran volumen de datos.
Registro de actividades de tratamiento
Otro de los pasos fundamentales es la elaboración del Registro de Actividades de Tratamiento. Este es el documento oficial que debe estar a disposición de la Agencia Española de Protección de Datos (AEPD).
A través de este documento, la AEPD puede controlar si se está cumpliendo la legislación por parte de la clínica dental. El RAT debe contener los siguientes datos:
- Nombre y datos de contacto del responsable o del delegado de protección de datos en su caso.
- Fines del tratamiento
- Descripción de las categorías de interesados y de los tipos de datos personales.
- Destinatarios de los datos recabados, sobre todo cuando los datos se ceden a terceros.
- Si los datos se ceden a organizaciones internacionales, se deberá especificar su ubicación
- Señalar los plazos para la supresión de los datos
- Descripción de las medidas técnicas y organizativas de seguridad
Firma de los encargados de tratamiento
Existen muchos casos en los que la clínica tiene que ceder los datos a terceras personas para su tratamiento. Por ejemplo, puede ocurrir que subcontrates ciertos servicios o que derives a tus pacientes a un profesional autónomo. En estos casos, estos profesionales tienen que acceder a los datos personales de los pacientes. Cuando esto ocurra, se deben firmar acuerdos que regulen el tratamiento de datos. Los acuerdos deben recoger:
- Finalidad del tratamiento
- Plazo de conservación de los datos
- Qué hacer con los datos una vez termine el servicio
Solicitar permiso de los pacientes
Como paso esencial, al recopilar los datos de los pacientes, se deberá solicitar su permiso. Esto implica informar a los pacientes sobre el propio procedimiento de recogida y recopilación de datos. El permiso escrito que firman los pacientes debe recoger:
- Nombre del responsable del tratamiento
- Fundamentos legales de la recogida de datos
- Finalidad del tratamiento
- Plazo de conservación de datos
- Donde ejercer los derechos de acceso, rectificación y supresión
Dentro de la empresa deberá haber una persona encargada de velar por el cumplimiento la Ley de Protección de Datos. Este delegado puede ser un profesional externo o un empleado propio de la clínica.
Plazo de conservación de los datos
Legalmente, no existe un plazo determinado para conservar los datos de los pacientes en una clínica dental. La ley establece que los datos se deberán conservar un mínimo de 5 años. Por el contrario, no se establece un plazo máximo, simplemente se deberá conservar durante el tiempo que sea necesario para ejecutar los servicios.
Derechos de acceso y rectificación de los pacientes
Además de la recopilación y tratamiento de datos, la clínica debe garantizar a los pacientes sus derechos de acceso, rectificación y cancelación de los datos. Lo que se conoce como ARCO por las siglas de:
- Acceso: El individuo puede conocer que datos están siendo tratados.
- Rectificación: Permite al individuo modificar los datos que considere erróneos.
- Cancelación: Es la facultad de eliminar sus datos personales cuando ya no sean necesarios para la finalidad para que fueron recogidos.
- Oposición: Permite oponerse al tratamiento de datos en determinadas situaciones.
Qué consecuencias tiene no aplicar la ley de protección de datos
Cumplir con la ley de protección de datos es muy importante para cualquier negocio, especialmente para una clínica dental ya que los datos manejados son muy sensibles. Las sanciones por infringir la ley de protección de datos pueden llegar a ser millonarias.
En función de la gravedad de la infracción las multas pueden ser:
- Leves: La multa llega a 40.000€
- Graves: multa de entre 40.001€ a 300.000€
- Muy graves: de 300.001 € a 20 millones de euros o el 4% de la facturación anual.
Conclusión
Proteger la privacidad de tus pacientes es muy importante ya que, de lo contrario puedes enfrentarte a multas millonarias. Las clínicas dentales tratan datos muy sensibles de las personas, por eso están obligadas a implementar lo contemplado tanto en la Ley de Protección de Datos y el Reglamento Europeo de Protección de Datos.
Implementar los preceptos de la Ley de Protección de Datos implica identificar los datos que se van a recoger, su forma de tratamiento, prever la cesión de datos a terceros, hacer una evaluación de impacto y riesgos e implementar las medidas necesarias para garantizar la seguridad de los datos. Incluyendo el uso de contraseña y sistemas de autenticación.
Además, se le debe garantizar a los pacientes el derecho al acceso, rectificación, cancelación y supresión de los datos. Recuerda que en Previsión Mallorquina te damos todo el apoyo que necesitas en tu actividad profesional. Nuestros seguros de baja laboral te ofrecen ayuda incluso en los momentos más difíciles.
