Protección de datos en una clínica dental ¿Cómo cumplir la normativa vigente?

Tanto si eres un dentista autónomo con su propia clínica, como si gestionas una clínica dental o franquiciado, en el desarrollo de la actividad de la clínica tratas datos personales de pacientes y empleados, lo que implica cumplir con las leyes de protección de datos. Además, algunos de esos datos son relativos a la salud y, por tanto, de categorías especiales, lo que implica un mayor grado de protección de datos en la clínica dental.

En este artículo revisamos los aspectos clave de la normativa de protección de datos para dentistas y/o gestores de clínicas dentales.

Leyes de Protección de datos que deben cumplir las clínicas dentales

Como cualquier otra empresa o profesional que ofrece sus servicios a clientes particulares, el dentista o la clínica dental trata, para el desarrollo de su actividad, con datos de carácter personal, tanto de sus clientes como de sus empleados, e, incluso, de aquellos trabajadores autónomos que pueda tener contratados. Además, y cómo decíamos en la introducción, en las clínicas dentales se tratan datos sensibles relativos a la salud, datos de categorías especiales que tienen una mayor protección.

Por lo tanto, clínicas dentales y dentistas autónomos deben cumplir con las leyes de protección de datos para autónomos y empresas: la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD).

En Grupo Atico34 ayudamos a tu clínica dental a cumplir con la Ley de protección de datos.

LOPDGDD en clínicas dentales

La Ley de Protección de Datos de carácter personal (LOPD o LOPDGDD) incorporó a la legislación española todas las obligaciones que regulaba el RGPD, cambiando el consentimiento tácito por la obligación de recabar el consentimiento expreso para el tratamiento de datos personales, eliminando la obligación de la inscripción de ficheros y la elaboración del documento de seguridad, que pasaban a combinarse en el registro de actividades de tratamiento, un documento de carácter interno. Además, concretó algunos aspectos normativos que el RGPD trata de forma genérica y que deja a la legislación de cada Estado miembro.

Además, estableció a la AEPD (Agencia Española de Protección de Datos) como autoridad competente para la inspección e imposición de sanciones y como aquella autoridad a la que es necesario notificar las brechas de seguridad que afecten a datos personales en un plazo máximo de 72 horas.

En cualquier caso, podemos decir que al cumplir la LOPD el dentista o la clínica dental están cumpliendo también el RGPD.

RGPD aplicado a los negocios dentales

El RGPD está en vigor desde 2018 en España y todas las obligaciones que establece en materia de protección de datos, están recogidas en la LOPDGDD o esta nos remite a artículos del RGPD (es el caso, por ejemplo, de las bases legitimadoras del tratamiento, recogidas en los artículos 6 y 9 del RGPD), de manera que cumplir la normativa española es cumplir, por extensión, con el RGPD.

¿Cómo cumplir la ley de protección de datos en una clínica dental?

Cómo has visto, no hay una normativa específica de protección de datos para dentistas y clínicas dentales, sino que las obligaciones que debes seguir son las que están recogidas en la LOPDGDD y el RGPD, con especial atención a aquellas relativas al tratamiento de categorías especiales, puesto que en el desempeño de la actividad de tu clínica tratarás con datos relativos a la salud, generando y conservando historiales clínicos.

Identifica los datos personales que se tratan en la clínica dental

El primer paso en la protección de datos en odontología es identificar los datos personales que vas a tratar, tanto de tus pacientes como de tus empleados, porque así podrás determinar el tipo de tratamiento que harás de ellos y la categoría de datos a las que pertenecen.

Aparte de datos personales genéricos (como pueden ser el DNI, nombre y apellidos, finanzas personales, dirección postal, email…), en tu clínica dental vas a tratar datos relacionados con la salud, que son considerados, como decíamos más arriba, datos de categorías especiales, que deben ser tratados con mayor cuidado y que pueden implicar más obligaciones de cara a cumplir con la normativa.

Análisis de riesgos

La ley de protección de datos para clínica dental también obliga a elaborar un análisis de riesgos, que te sirva para determinar qué tipo de riesgos o amenazas para la protección de datos pueden derivar de su tratamiento (filtraciones, pérdidas, destrucción, etc.).

El análisis de riesgos debe servirnos para establecer una serie de medidas técnicas y organizativas para garantizar la seguridad de los datos, es decir, para minimizar las probabilidades de que esos riesgos puedan ocurrir y, en caso de que ocurran, reducir su gravedad.

Evaluación de Impacto

La evaluación de impacto del RGPD no es obligatoria siempre, pero si en tu clínica dental vas a tratar un gran volumen de datos, teniendo en cuenta que muchos de ellos estarán relacionados con la salud de tus clientes, deberás realizarla.

Del informe resultante de esta evaluación de impacto, el responsable del tratamiento deberá tomar aquellas medidas que sirvan para minimizar la posibilidad de que los riesgos se materialicen.

Confeccionar el Registro de Actividades de Tratamiento (RAT)

Por cada tratamiento de datos que realices en tu clínica dental, será necesario elaborar un registro de actividades de tratamiento. Se trata de un documento en el que se detalla de forma sucinta toda la información relativa a cada tratamiento de datos personales, desde las categorías de datos afectadas, hasta las medidas de seguridad implantadas.

El registro de actividades de tratamiento es un documento interno, pero que debe estar siempre actualizado y a disposición de la AEPD, si esta lo solicita en algún momento.

El registro de actividades de tratamiento es obligatorio para cumplir la protección de datos en una clínica dental y debe contener la siguiente información:

• Datos identificativos y de contacto del responsable del tratamiento, y, en caso de que los haya, del encargado del tratamiento y del DPO
• Fines del tratamiento
• Descripción de categorías de interesados y datos
• Descripción de categorías de destinatarios de datos (existentes o previstos)
• Si las hay o se prevén, toda la documentación pertinente y legitimación de las transferencias internacionales de datos
• Plazo de conservación de los datos
• Descripción de las medidas de seguridad

Firmar con los encargados de tratamiento

Las clínicas dentales necesitan ceder datos personales a terceros, tanto de sus pacientes como de sus empleados, por ejemplo, a un dentista especialista autónomo que tengan contratado o a la gestoría que lleva las nóminas.

La normativa de protección de datos señala que siempre que se comuniquen o cedan datos a terceros, se deberá formalizar entre el responsable del tratamiento y ese tercero un contrato de encargado de tratamiento.

En este contrato, la clínica dental, como responsable del tratamiento, fijará las condiciones y obligaciones en protección de datos para el encargado (determinará la finalidad del tratamiento, el plazo de duración, el nivel de colaboración o qué hacer con los datos una vez finalizado el servicio, entre otros). Así mismo, la clínica dental deberá asegurarse de que el encargado del tratamiento cumple con la normativa de protección de datos de manera adecuada.

Plazos de conservación de las historias clínicas

La normativa de protección de datos, a través del principio de accountability, establece que se debe informar a los interesados de los plazos de conservación de sus datos, o, como mínimo, del plazo estimado de conservación.

En el caso de las clínicas dentales, debemos atender a la normativa que regula el plazo de conservación de la historia clínica, que, con carácter general, es de 5 años a contar desde el último tratamiento recibido.

No obstante, dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

Proporcionar información sobre recogida de datos

La protección de datos en la clínica dental obliga a que el consentimiento sea expreso, pero otro de sus requisitos es que sea informado, es decir, es necesario informar a los afectados por el tratamiento de, al menos:

• Nombre del responsable del tratamiento
• Legitimación para la recogida de los datos, es decir, el porqué del tratamiento de los datos
• Finalidad del tratamiento
• Plazo de conservación de los datos
• Dónde y cómo pueden ejercer sus derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición)

Esta información se puede suministrar como anexo a la autorización de protección de datos de la clínica dental o como un documento aparte.

Así mismo, se debe siempre incluir una cláusula o referencia a la protección de datos en los modelos de consentimiento e información médicos, como, por ejemplo, los de férulas, implantes dentales, endodoncias, etc.

En el caso de que la clínica dental tenga página web, esta información también deberá recogerse en la política de privacidad, que debe ser accesible desde cualquier sección de la web y a la que debe conducir cualquier enlace sobre privacidad en los formularios que puedan usar en la página.

Derechos de los interesados

El responsable del tratamiento debe responder a las solicitudes de los derechos ARSULIPO de los interesados:

• Acceso
• Rectificación
• Supresión
• Limitación del tratamiento
• Portabilidad
• Oposición

Para ello, la normativa establece un plazo determinado (como norma general, 30 días desde la recepción de la solicitud). Los pacientes podrán, además, solicitar el acceso a su historia clínica y, como con el resto de derechos, no se deberá cobrar ningún canon (salvo que la solicitud sea repetitiva, infundada o excesiva).

En caso de denegar la solicitud, se debe justificar y motivar adecuadamente.

Contrato de confidencialidad

Aquellos de nuestros empleados que puedan tener acceso a información sensible o datos personales de los clientes de la clínica dental, también tienen el deber de guardar secreto sobre los mismos. Para ello se recomienda firmar acuerdos de confidencialidad con los empleados, en los que, además, se especifique qué consecuencias pueden enfrentar de no respetarlos.

Delegado de Protección de Datos en una clínica dental

Como ya dijimos respecto a la evaluación de impacto, dada la naturaleza de los datos personales que se tratan en la clínica dental y si se guardan historiales clínicos completos, será necesario nombrar a un delegado de protección de datos.

El delegado de protección de datos de una clínica dental se encargará de la supervisión del cumplimiento normativo y de asesorar y ayudar al responsable del tratamiento, además de tratar con la AEPD cuando es necesario.

Señalar que, si bien el Delegado de Protección de Datos es obligatorio, la normativa permite que este pueda ser tanto un empleado interno de la clínica como contratado externo. En cualquier caso, es necesario que tenga conocimientos suficientes sobre protección de datos para desempeñar su labor.

Auditorías periódicas

El RGPD y la LOPDGDD no especifican la obligación de hacer auditorías periódicas, pero sí exigen evaluar y demostrar la eficiencia de las medidas de seguridad implantadas para la protección de datos y la mejor forma de llevar esto a cabo es a través de las auditorías periódicas.

La auditoría LOPD permitirá a la clínica dental, por un lado, acreditar el cumplimiento de la normativa de protección de datos, y, por otro lado, comprobar la eficacia de sus medidas de seguridad técnicas y organizativas, subsanando los problemas o deficiencias que se hayan podido detectar en la auditoría, aplicando las medidas correctoras que sea necesario.

Es recomendable realizar y documentar estas auditorías a través de una consultoría externa especializada en protección de datos y hacerlas cada uno o dos años.

Modelo de consentimiento de protección de datos para clínica dental

A continuación tenéis un modelo de protección de datos para clínica dental, a modo de ejemplo:

 

También podéis descargar el modelo de consentimiento para el uso de datos personales para la clínica dental.

¿Qué implica no cumplir correctamente la normativa de protección de datos en una clínica dental?

El RGPD establece sanciones por incumplimiento de la normativa de protección de datos por una cuantía máxima de 20 millones de euros o el 4% de la facturación anual (la cuantía que sea mayor).

La LOPDGDD gradúa estas sanciones en función de la gravedad de la infracción, de si se ha mantenido en el tiempo, si es producto de una negligencia o se debe a una acción intencional, entre otros factores.

De manera que tenemos las siguientes horquillas:

• Infracciones leves (art. 74): hasta 40.000 euros
• Infracciones graves (art. 73): de 40.001 euros a 300.000 euros
• Infracciones muy graves (art. 72): de 300.001 euros a 20 millones de euros o el 4% de la facturación anual (la cuantía que resulte superior)

¿Cuánto cuesta adaptar a la ley de protección de datos mi clínica dental?

Como hemos visto a lo largo de esta entrada, cumplir con la normativa vigente en materia de protección de datos es importante no solo para proteger la información sensible de nuestros pacientes y trabajadores, sino también para evitar denuncias y sanciones. No olvidemos que los datos de la salud, además, están especialmente protegidos.

También hemos visto que desempeñar esta tarea consume tiempo y esfuerzo, además de estar pendientes de cualquier posible cambio o modificación normativa que se puede incorporar a la ley. Por ello, adaptar nuestra clínica a esta normativa es una función que podemos delegar en profesionales externos. En Grupo Atico34 ayudamos a los dentistas a adaptarse a la LOPDGDD y el RGPD con un precio desde 280 € al año*.

Si necesitas más información sobre protección de datos para tu clínica dental, rellena el formulario y nos pondremos en contacto contigo.