¡Pide presupuesto en 2 min! ✓
SanidadSectores

Protección de datos en una clínica dental ¿cómo cumplir con la normativa 2021?

9 Mins read

Hemos elaborado esta guía sobre protección de datos en una clínica dental, para resolver todas las dudas que puedas tener al respecto, tanto si eres un dentista por cuenta ajena como si tienes una clínica dental o estás pensando en abrir una.

¿Está obligada una clínica dental o un dentista a cumplir la Ley de protección de Datos?

Sí, una clínica dental debe cumplir la Ley de Protección de Datos.

Como cualquier otra empresa o negocio, la clínica dental o el dentista trata con datos de carácter personal, tanto de sus clientes como de sus empleados e, incluso, de aquellos trabajadores autónomos que pueda tener contratados. Esto ya es motivo suficiente para cumplir con la protección de datos en clínicas dentales.

Pero además, en estos centros también se tratan datos sensibles, también llamados de categorías especiales, como los relacionados con la salud, que están especialmente protegidos, por lo que es muy posible que las clínicas dentales y dentistas aun tengan que atender obligaciones más exigentes en materia de protección de datos.

Normativas de Protección de datos que se aplican en una clínica dental

Las normativas de protección de datos aplicables a una clínica dental las encontramos en:

Obligaciones de clínicas dentales y dentistas en materia de protección de datos

Dentistas y clínicas dentales deben atender una serie de obligaciones documentales y operativas y de funcionamiento en materia de protección de datos, que sirvan para garantizar la seguridad de los datos personales que tratan en el desempeño de su actividad.

Estas obligaciones figuran tanto en el RGPD como en la LOPDGDD.

RGPD para clínicas dentales y dentistas

El RGPD lleva en vigor en España desde 2018 y con él se actualizó la Ley de Protección de Datos de carácter personal (LOPD) al marco europeo.

En lo que respecta a clínicas dentales, el RGPD establece las siguientes obligaciones (que detallaremos más adelante):

  • Realizar un registro de actividades de tratamiento
  • Hacer un análisis de riesgos
  • Realizar una evaluación de impacto (en ciertas circunstancias)
  • Firmar contratos de encargo de tratamiento
  • Recabar el consentimiento de los clientes/pacientes
  • Facilitar los derechos en protección de datos de los interesados
  • Firmar acuerdo de confidencialidad con los empleados
  • Nombrar un Delegado de Protección de Datos (DPO)
  • Notificar brechas de seguridad

LOPDGDD en clínicas dentales

La LOPDGDD introdujo en la legislación española todas las obligaciones que regulaba el RGPD, cambiando el consentimiento tácito por la obligación de recabar el consentimiento expreso para el tratamiento de datos personales, eliminando la obligación de la inscripción de ficheros y la elaboración del documento de seguridad, que pasaban a combinarse en el registro de actividades de tratamiento, un documento de carácter interno. Además, concretó algunos aspectos normativos que el RGPD trata de forma genérica y que deja a la legislación de cada Estado miembro.

Además, estableció a la AEPD (Agencia Española de Protección de Datos) como autoridad competente para la inspección e imposición de sanciones y como aquella autoridad a la que es necesario notificar las brechas de seguridad que afecten a datos personales en un plazo máximo de 72 horas.

En cualquier caso, podemos decir que si tu clínica dental cumple con la LOPDGDD, está cumpliendo también con el RGPD.

¿Cómo implantar el RGPD y la LOPDGDD en una clínica dental?

Ahora que ya tienes localizada la normativa de protección de datos para dentistas y clínicas dentales, veamos cómo debes cumplir con las obligaciones que estas exigen.

cumplir lopd rgpd clinica dental

Identifica los datos personales que se tratan en el consultorio

El primer paso es identificar los datos personales que vas a tratar, tanto de tus pacientes como de tus empleados, porque así podrás determinar el tipo de tratamiento que harás de ellos y la categoría de datos a las que pertenecen.

Aparte de datos personales genéricos (como pueden ser el DNI, nombre y apellidos, finanzas personales, dirección postal, email…), en tu clínica dental vas a tratar datos relacionados con la salud, que son considerados, como decíamos más arriba, datos de categorías especiales, que deben ser tratados con mayor cuidado y que pueden implicar más obligaciones de cara a cumplir con la normativa.

Análisis de riesgos

Cuando sabes qué tipo de datos personales vas a tratar, debes realizar un análisis de riesgos, que te sirva para determinar qué tipo de riesgos o amenazas para la protección de datos pueden derivar de su tratamiento (filtraciones, pérdidas, destrucción, etc.).

El análisis de riesgos debe servirnos para establecer una serie de medidas técnicas y organizativas para garantizar la seguridad de los datos, es decir, para minimizar las probabilidades de que esos riesgos puedan ocurrir y, en caso de que ocurran, reducir su gravedad.

Evaluación de Impacto

La evaluación de impacto del RGPD no es obligatoria siempre, pero si en tu clínica dental vas a tratar un gran volumen de datos, teniendo en cuenta que muchos de ellos estarán relacionados con la salud de tus clientes, deberás realizarla.

Del informe resultante de esta evaluación de impacto, el responsable del tratamiento deberá tomar aquellas medidas que sirvan para minimizar la posibilidad de que los riesgos se materialicen.

Confeccionar el Registro de Actividades de Tratamiento (RAT)

Por cada tratamiento de datos que realices en tu clínica dental, será necesario elaborar un registro de actividades de tratamiento. Se trata de un documento en el que se detalla de forma sucinta toda la información relativa a cada tratamiento de datos personales, desde las categorías de datos afectadas, hasta las medidas de seguridad implantadas.

El registro de actividades de tratamiento es un documento interno, pero que debe estar siempre actualizado y a disposición de la AEPD, si esta lo solicita en algún momento.

Debe contener la siguiente información:

  • Datos identificativos y de contacto del responsable del tratamiento, y, en caso de que los haya, del encargado del tratamiento y del DPO
  • Fines del tratamiento
  • Descripción de categorías de interesados y datos
  • Descripción de categorías de destinatarios de datos (existentes o previstos)
  • Si las hay o se prevén, toda la documentación pertinente y legitimación de las transferencias internacionales de datos
  • Plazo de conservación de los datos
  • Descripción de las medidas de seguridad

Firmar con los encargados de tratamiento

Las clínicas dentales necesitan ceder datos personales a terceros, tanto de sus pacientes como de sus empleados, por ejemplo, a un dentista especialista autónomo que tengan contratado o a la gestoría que lleva las nóminas.

Siempre que se cedan datos a terceros, es obligatorio que el responsable del tratamiento firme un contrato de encargado de tratamiento, que especifique las obligaciones de protección de datos que tiene este.

Plazos de conservación de las historias clínicas

El principio de Accountability (responsabilidad, proactividad y compromiso) del RGPD establece la necesidad informar del plazo de conservación de los datos personales que se recaban.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

Proporcionar información sobre recogida de datos

Ya hemos mencionado que el consentimiento debe ser expreso, pero otro de sus requisitos es que sea informado, es decir, es necesario informar a los afectados por el tratamiento de, al menos:

  • Nombre del responsable del tratamiento
  • Legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
  • Finalidad del tratamiento
  • Dónde y cómo pueden ejercer sus derechos ARCO, de portabilidad y al olvido los interesados

Esta información se puede suministrar en la clínica dental con un modelo de consentimiento de protección de datos o en un documento aparte.

Contrato de confidencialidad

Aquellos de nuestros empleados que puedan tener acceso a información sensible o datos personales de nuestros clientes/pacientes, también tienen el deber de guardar secreto sobre los mismos. Para ello se recomienda firmar acuerdos de confidencialidad con los empleados, en los que, además, se especifique qué consecuencias pueden enfrentar de no respetarlos.

Delegado de Protección de Datos

Como ya dijimos respecto a la evaluación de impacto, dada la naturaleza de los datos personales que se tratan en la clínica dental y si se guardan historiales clínicos completos, será necesario nombrar a un delegado de protección de datos.

El delegado de protección de datos de la clínica dental se encargará de la supervisión del cumplimiento normativo y de asesorar y ayudar al responsable del tratamiento, además de tratar con la AEPD cuando es necesario.

Señalar que el DPO puede ser tanto un empleado interno de la clínica, como contratado externo. En cualquier caso, es necesario que tenga conocimientos suficientes sobre protección de datos para desempeñar su labor.

Auditorías periódicas

El RGPD y la LOPDGDD no especifican la obligación de hacer auditorías periódicas, pero sí exigen evaluar y demostrar la eficiencia de las medidas de seguridad implantadas para la protección de datos y la mejor forma de llevar esto a cabo es a través de las auditorías periódicas.

La auditoría en la LOPD sí era obligatoria para aquellos datos que podían suponer un riesgo alto para los derechos y libertades de los interesados y debía hacerse cada dos años o cuando se produjera un cambio sustancial en los sistemas de información de la entidad.

Seguir con este plan de auditorías bienales te ayudará a comprobar que tu sistema cumple con las exigencias de la normativa y si tus medidas de seguridad son suficientes o es necesario mejorarlas o reforzarlas.

Sanciones a la que expongo mi negocio dental

El RGPD establece sanciones por incumplimiento de la normativa de protección de datos por una cuantía máxima de 20 millones de euros o el 4% de la facturación anual (la cuantía que sea mayor).

La LOPDGDD gradúa estas sanciones en función de la gravedad de la infracción, de si se ha mantenido en el tiempo, si es producto de una negligencia o se debe a una acción intencional, entre otros factores.

Necesitas cumplir la LOPDGDD y el RGPD en tu negocio dental?, Atico34 te puede ayudar

Si eres dentista o tu clínica dental necesita cumplir con la normativa de protección de datos, en Grupo Atico34 te podemos ayudar; contamos con un equipo de profesionales especializados en protección de datos, con varios años de experiencia, que ayudarán a tu negocio a adaptarse a la LOPDGDD y el RGPD.

tarifas proteccion datos autonomos

Preguntas frecuentes que nos hacen los dentistas

¿Qué tipo de consentimiento me tiene que firmar mis pacientes para que pueda tratar sus datos?

Al tratar datos sensibles, el consentimiento debe ser expreso e inequívoco, es decir con una clara acción afirmativa por parte del paciente así como también específico para cada tratamiento.

Además, si queremos usar esos datos para otra finalidad diferente para la que fueron recabados, será necesario volver a conseguir el consentimiento expreso de los interesados.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

Como ya comentamos, con carácter general, para historiales clínicas y expedientes del paciente el plazo de conservación es de 5 años, a contar desde el último tratamiento.

¿Debo contratar un DPO?

Una clínica dental, tal y como dijimos antes, podría tener que contratar un DPO siempre y cuando guarde historiales clínicos completos o trate datos a gran escala.

¿Cuánto cuesta adaptar mi clínica dental a la LOPDGDD y RGPD?

Como hemos visto a lo largo de esta entrada, cumplir con la normativa vigente en materia de protección de datos es importante no solo para proteger la información sensible de nuestros pacientes y trabajadores, sino también para evitar denuncias y sanciones. No olvidemos que los datos de la salud, además, están especialmente protegidos.

También hemos visto que desempeñar esta tarea consume tiempo y esfuerzo, además de estar pendientes de cualquier posible cambio o modificación normativa que se puede incorporar a la ley. Por ello, adaptar nuestra clínica a esta normativa es una función que podemos delegar en profesionales externos. En Grupo Atico34 ayudamos a los dentistas a adaptarse a la LOPDGDD y el RGPD con un precio desde 280 € al año*.

Si necesitas más información sobre protección de datos para tu clínica dental, rellena el formulario y nos pondremos en contacto contigo.

Nuestras ventajas

✓ Gestión clara y eficaz

✓ Presupuesto adaptado a tus necesidades

✓ Documentación accesible desde panel de usuario

✓ Garantía absoluta adaptación a la LOPDGDD

✓ Asesoramiento especializado

¡Pídenos presupuesto sin compromiso!




Resumen

Según lo expuesto, si quieres que tu clínica dental cumpla con la protección de datos, debemos hacer hincapié en los siguientes puntos:

  • Tener actualizada y firmada toda la documentación
  • Firmar compromiso de confidencialidad de empleados
  • Analizar previamente al tratamiento los riesgos que puede conllevar el tratamiento de datos
  • Establecer las medidas de seguridad conforme a los riesgos detectados
  • Redactar el Registro de las Actividades de Tratamiento
  • Firmar el contrato de encargado del tratamiento
  • Informar a los interesados del tratamiento de sus datos y derechos
  • Nombrar un Delegado de Protección de Datos

Esperamos haberte facilitado la implementación de esta normativa en el caso de que trates datos en el ámbito dental.

Y, si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Atico34.

Related posts
ProfesionalesSectores

Protección de datos y administración de fincas 2021

10 Mins read
Son muchas las comunidades de propietarios que prefieren delegar la administración y gestión de la comunidad a un administrador de fincas y…
Sanidad

Así funciona el consentimiento informado para la vacunación

5 Mins read
Entre las dudas que rodean la vacunación con AstraZeneca, la más relevante actualmente en España es cómo funciona el consentimiento informado para…
AsociacionesSectores

Protección de datos en hermandades: Aplicación y cumplimiento

9 Mins read
La Ley de Protección de Datos no es algo que solo afecte a empresas, en realidad, cualquier entidad que maneje datos personales…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.