Conoce Atico34 - Solicita presupuesto
SanidadSectores

Protección de datos para ópticas

Las ópticas y clínicas oftalmológicas son también considerados establecimientos sanitarios y, aunque en menor medida que otros tipos de clínicas, tratan también con datos relativos a la salud de sus clientes, entre otros datos de carácter personal, por ello, los oculistas deben cumplir con la normativa de protección de datos. En esta guía explicamos cómo cumplir con la normativa de protección de datos para ópticas, oculistas, ópticos-optometristas y clínicas oftalmológicas.

¿Están obligadas las ópticas a cumplir con la Ley de Protección de Datos?

Las ópticas y clínicas oftalmológicas, como otros negocios que tratan con datos de carácter personal, están obligadas a cumplir con la normativa vigente de protección de datos. Además, los oculistas no solo tratan con datos personales de carácter general, sino que también tienen acceso a algunos datos médicos de sus clientes, datos considerados sensibles y que requieren un mayor nivel de protección.

Normativa de protección de datos que deben cumplir las ópticas

La normativa de protección de datos en ópticas y clínicas oftalmológicas la encontramos en:

RGPD para oculistas

El RGPD entró en vigor en España en mayo de 2018, introduciendo cambios en la legislación española sobre protección de datos, lo que implicó nuevas obligaciones para los responsables y encargados del tratamiento (es decir, empresas, autónomos, entidades públicas… y toda entidad que trate con datos de carácter personal dentro de la UE) y la desaparición de otras obligaciones que hasta entonces se podían encontrar en la LOPD.

Además, el RGPD introdujo el concepto de categorías especiales de datos, lo que afecta especialmente a la protección de datos para oculistas, puesto que, como ya hemos señalado, tratan en parte con datos médicos. También introdujo la obligación de recabar el consentimiento expreso para recoger y tratar datos personales, la firma de contratos de encargo de tratamiento entre el responsable del tratamiento y terceros a los que pudieran cederse datos personales, así como la obligación de notificar las brechas de seguridad que pudieran afectar los derechos y libertades de los titulares de los datos.

Otro de los cambios más notables fue la sustitución de la obligación de registrar los ficheros de tratamiento de datos personales, por la elaboración del llamado registro de actividades de tratamiento. Y la creación de la figura del delegado de protección de datos (DPD).

El RGPD también trajo una nueva graduación de infracciones y sanciones (de lo que hablaremos más adelante) y a los derechos ARCO añadió los derechos de supresión, portabilidad y oposición al tratamiento.

LOPDGDD para oculistas

La LOPDGDD es la ley que sustituyó a la LOPD en España, con la que se introdujeron las obligaciones y principios del RGPD en el ordenamiento jurídico español. En la práctica ambas normas son iguales, si bien, la normativa española concreta algunos aspectos que son tratados de manera más general en el RGPD, como la graduación de las infracciones o algunos aspectos del derecho al olvido.

tarifas proteccion datos

¿Cómo deben implantar el RGPD y la LOPDGDD en las ópticas?

En los siguientes puntos veremos cuáles son las principales obligaciones de la LOPDGDD y el RGPD para oculistas, ópticas y clínicas oftalmológicas.

Elaborar el registro de actividades de tratamiento

El primer paso para adaptar la clínica o la óptica a la normativa de protección de datos pasa por identificar los datos personales que se van a tratar y elaborar el registro de actividades de tratamiento.

Este documento, que debe mantenerse por escrito y siempre actualizado, recoge todos los tratamientos de datos personales que se llevan a cabo en la óptica o clínica oftalmológica, como son las fichas de los pacientes (en las que se guardan nombre, dirección, información relativa a la vista o salud ocular, etc.). La información a incluir en el registro de actividades de tratamiento debe ser detallada y, al menos, incluir el siguiente contenido:

  • Identificar al responsable del tratamiento, el encargado del tratamiento (si procede) y al delegado de protección de datos (si procede)
  • Finalidad del tratamiento y legitimación jurídica
  • Descripción de categorías de interesados y datos
  • Descripción de categorías de destinatarios de datos (existentes o previstos)
  • Transferencias internacionales de datos (si procede)
  • Plazo de conservación de los datos (previsto)
  • Descripción de las medidas de seguridad implementadas

Hacer un análisis de riesgos

Con carácter previo a cualquier tipo de tratamiento de datos personales, el responsable del tratamiento, es decir, la óptica o clínica, deberá realizar un análisis de riesgos. Se trata de determinar qué amenazas y riesgos que puede entrañar el tratamiento de datos personales y el impacto que la materialización de esos riesgos podría suponer para los derechos y libertades de los titulares de los datos.

De los resultados del análisis se podrán determinar las medidas de seguridad que se deben implementar y comprobar el riesgo residual que queda tras ello. Si resulta un nivel de riesgo tolerable, se podrá proceder al tratamiento.

¿Deben los oculistas hacer una evaluación de impacto en protección de datos (EIPD)?

Si del análisis de riesgos se determina que el tratamiento de datos personales que se va a realizar puede suponer un riesgo alto para los derechos y libertades de los titulares de los datos, la óptica o clínica deberá proceder a realizar una evaluación de impacto. Esta evaluación debe servir para determinar el nivel de impacto negativo que podría tener la materialización del riesgo para los titulares de los datos y para emplazar medidas de seguridad más adecuadas para mitigarlos o reducir el nivel de impacto.

También debe llevarse a cabo una EIPD cuando se tratan datos personales a gran escala (lo que puede ocurrir para franquicias).

Obtener el consentimiento expreso

Como ya comentamos más arriba, para poder realizar cualquier tratamiento de datos personales, es necesario recabar el consentimiento expreso de los titulares de los datos, en este caso los clientes de la óptica. Este consentimiento debe quedar registrado y poder ser revocado en cualquier momento de forma sencilla.

Cesión de datos a terceros

Es más que probable que en el desempeño de las actividades propias de la óptica o clínica oftalmológica, acabes cediendo datos a terceros (el ejemplo más habitual es el de las gestorías, a quienes les cedemos los datos personales de nuestros trabajadores para realizar las nóminas). En estos casos es necesario que el responsable del tratamiento firme con esos terceros un contrato de encargo del tratamiento, en el que se establecerán las obligaciones del encargado del tratamiento para la protección de esos datos, además de asegurarnos de que este cumple también con la normativa de protección de datos.

Acuerdos de confidencialidad

En la óptica o clínica es posible que los empleados tengan acceso a los datos personales de los clientes y de otros empleados, por ello estos deben también comprometerse a mantener la confidencialidad y cumplir con la política de privacidad y protección de datos establecida por la compañía, respetando las directrices dadas en materia de seguridad.

Lo habitual es que el contrato de trabajo contenga una o varias cláusulas al respecto del mantenimiento de esta confidencialidad y la protección de datos, y las consecuencias de no cumplirlo, de manera que al firmarlo quedan comprometidos a su cumplimiento.

Formación

Es muy recomendable que el responsable del tratamiento tenga formación específica en protección de datos, puesto que deberá elaborar todos los documentos necesarios para cumplir con la ley (como son el registro de actividad, los contratos de encargo…) y realizar el análisis de riesgos o la EIPD. Además, también debe conocer y estar al día en cuanto a la normativa vigente y sus posibles cambios, modificaciones o novedades.

Información a los propietarios de los datos

Cuando el oculista haga tratamiento de datos personales, deberá informar de ello a los propietarios de los datos. Esta información, como mínimo, contendrá:

  • Nombre del responsable del tratamiento
  • Legitimación para la recogida y tratamiento de los datos
  • Finalidad del tratamiento
  • Dónde y cómo ejercer los derechos ARSULIPO (antiguos ARCO: acceso, rectificación, supresión, limitación, portabilidad y oposición al tratamiento), incluyendo cómo interponer una reclamación ante la AEPD

Esta información puede darse a los interesados como parte del formulario de consentimiento o cualquier otro documento que deba revisar el cliente o, incluso, como un documento aparte.

Notificar brechas de seguridad

En el caso de que se produzca una brecha de seguridad (por ejemplo, un ataque informático en el que se sustraigan datos de los clientes) y esta suponga un riesgo para los derechos y libertades de los titulares de los datos personales afectados, la óptica o clínica oftalmológica está obligada a comunicarlo tanto a los titulares de los datos como a la AEPD en un plazo no superior a 72 horas.

Si tu óptica tiene página web

Si tu óptica o clínica tiene una página web y en esta se recogen datos personales de alguna manera (por ejemplo, a través de la suscripción a un newsletter o por tener un área de clientes privada), es necesario que además cumplas con estas obligaciones:

  • Insertar el aviso legal, en el que deben aparecer todos los datos identificativos del propietario de la web (la propia óptica o clínica):
    • Nombre o razón social
    • NIF
    • Dirección
    • Email
    • N.º de inscripción en el Registro Mercantil / N.º de colegiado en caso de ser autónomo
  • Política de privacidad, en la que se da toda la información relativa a la gestión de los datos personales en la web:
    • Responsable del tratamiento
    • Finalidad del tratamiento
    • Legitimación
    • Cómo se gestionan los datos personales
    • Tiempo de conservación de los datos
    • Cesiones a terceros
    • Uso de cookies
    • Vía para ejercer los derechos ARSULIPO
  • Política de cookies en la que se informe toda la relación a las mismas (finalidad, titulares, conservación, tipos, etc.). Además, también debes incluir un aviso de cookies que permite al visitante aceptarlas o denegarlas y acceder desde él a la política de cookies.

Auditorías periódicas

La LOPD establecía la obligación de realizar auditoría de protección de datos cada dos años, para evaluar las medidas de seguridad y el nivel de cumplimiento de las organizaciones, pero desde la entrada en vigor del RGPD y la LOPDGDD esta obligación ha desaparecido.

Sin embargo, lo que sí es obligatorio es demostrar que se cuenta con las medidas técnicas y organizativas de seguridad suficientes, necesarias y adecuadas para garantizar la protección de los datos personales de los interesados. La mejor forma de lograr este objetivo es recurriendo a una auditoría de protección de datos, preferiblemente realizada por un servicio externo, en cuyo informe pueda comprobarse si se está cumpliendo con la normativa de manera suficiente o, por el contrario, es necesario implementar nuevas medidas.

Sanciones por no cumplir con la normativa de protección de datos en la óptica

El RGPD prevé dos rangos de sanciones por incumplir con la normativa; sanciones de hasta 10 millones de euros o el 2% de la facturación anual (la cuantía que resulte mayor) para las infracciones graves y sanciones de hasta 20 millones de euros o el 4% de la facturación anual.

La LOPDGDD es un poco más concreta y establece tres rangos de infracciones y sanciones:

  • Infracciones leves (artículo 74): sanción de hasta 40.000 euros
  • Infracciones graves (artículo 73): sanción entre 40.001 euros a 300.000 euros
  • Infracciones muy graves (artículo 72): sanción entre 300.001 euros a 20 millones de euros o el 4% de la facturación anual

¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista

Si tienes una óptica o una clínica oftalmológica y todavía no la has adaptado a la normativa de protección de datos, no dudes en ponerte en contacto con un especialista en protección de datos que te ayude y asesore en todo el proceso, puesto que estás expuesto a recibir sanciones de la AEPD.

tarifas proteccion datos autonomos

Preguntas frecuentes

¿Como oculistas, cuándo trato datos de carácter personal?

Siempre que se traten datos que permitan identificar a una tercera persona física, como un paciente o empleado.

Hay que destacar que la legislación actual no incluye a las empresas o sociedad en la protección de datos, es decir a las personas jurídicas.

¿Qué tipo de consentimiento tienen que firmar mis pacientes para poder tratar sus datos?

Al tratar datos sensibles, el consentimiento debe ser expreso, es decir, con una clara acción afirmativa por parte del paciente, así como también específico para cada tratamiento.

Por ejemplo, si primeramente recabamos el consentimiento para tratar sus datos con fines médicos y, más adelante queremos utilizar dichos datos para una campaña de marketing u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.

Las ópticas y el DPD

El delegado de protección de datos es una figura que no todas las ópticas o clínicas oftalmológicas están obligadas a designar; solo tendrán la obligación del DPO aquellas que guarden o tengan acceso a historiales clínicos completos o traten datos personales a gran escala.

Se puede designar un DPD interno o recurrir a los servicios de uno externo; en cualquier caso, se comunicará la identidad del mismo a la AEPD.

¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

Resumen para que una óptica cumpla la LOPDGDD y el RGPD

Por lo tanto, según lo expuesto, si queremos cumplir con la normativa de protección de datos en las ópticas y clínicas oftalmológicas, debemos hacer hincapié en los siguientes puntos:

  • Tener actualizada y firmada toda la documentación
  • Recabar el consentimiento expreso para cada tratamiento de datos personales
  • Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
  • Establecer las medidas de seguridad conforme a los riesgos detectados
  • Elaborar el registro de las actividades de tratamiento
  • Informar a los interesados del tratamiento de sus datos y derechos
  • Nombrar un Delegado de Protección de Datos si procede
  • Informar de las brechas de seguridad cuando se produzcan

Esperamos haberte facilitado la implementación de esta normativa en el caso de que trates datos en el ámbito de la visión.

Y, si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Atico34.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.