Conoce Atico34 - Solicita presupuesto
ProfesionalesSectores

Ley de Protección de Datos para nutricionistas

¿Eres nutricionista y no sabes cómo tratar los datos de tus pacientes? En esta guía sobre protección de datos para nutricionistas te decimos cómo cumplir con la normativa vigente.

Normativas sobre protección de datos para profesionales de la nutrición

Un nutricionista recoge numerosa información transcendental relativa a sus pacientes, ya que conoce aspectos específicos de su día a día, datos de salud, etc.

Al tratar datos personales de terceros, ya sean pacientes o empleados, los nutricionistas deben cumplir con:

RGPD

El principal fin de la nueva normativa europea es aportar un marco único comunitario para la protección de datos.

Asimismo trae consigo una disminución de los trámites burocráticos, agilizando el cumplimiento de esta normativa a los centros de psicología.

¡Eso sí! Con esta nueva norma, deberás adquirir un mayor compromiso con la privacidad y la gestión de los datos, sobre todo de los pacientes.

Nuevas obligaciones para los centros de nutrición

Son varias las nuevas prácticas que los nutricionistas deben realizar para garantizar que su negocio cumpla el RGPD.

Consentimiento

Procurar el consentimiento inequívoco y expreso, no tácito, del paciente para el uso de sus datos.

tarifas proteccion datos autonomos

Cláusulas

Es necesario actualizar las cláusulas de los contratos, ya que se exige una mayor vigilancia con respecto a los terceros que contratamos para que nos presten un servicio y también cumplan con la normativa.

Asimismo, es necesario dar mayor información a las personas que tratamos sus datos.

Confidencialidad

Los datos que se tratan en un centro de nutrición pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad que deben firmar los trabajadores así como también las repercusiones si faltan al mismo.

Notificación brechas de seguridad

Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

Proveedores

Elección responsable de los proveedores externos que accedan a los datos, como por ejemplo la gestoría que nos elabora las nóminas o la empresa encargada del mantenimiento informático de nuestros ordenadores.

Si nosotros cumplimos con la normativa ellos también deben hacerlo.

DPO

Una de las principales novedades del reglamento es la obligatoriedad de disponer de un Delegado de Protección de Datos en nuestro centro.

EIPD

Deberemos elaborar una Evaluación de Impacto en la Protección de Datos Personales (EIPD) para ciertos tratamientos de datos sensibles, ya que para poder gestionar esta información personal habrá que analizar previamente los riesgos.

Códigos de conducta y certificados

Se está fomentando la redacción de códigos de conducta y certificaciones mediante los cuales, cumpliendo sus exigencias y adoptándolos, podremos cumplir con la normativa.

Nuevos derechos

Los antiguos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son ampliados con dos nuevos:

  • derecho al olvido
  • portabilidad de los datos

¿Y la LOPDGDD?

Para comenzar, lo primero que debemos conocer es que en función de los datos que tratamos deberemos de implementar unas u otras medidas de seguridad.

Al poseer datos sensibles, como son los de salud, personalidad… deberemos llevar a cabo las siguientes cuestiones.

tarifas proteccion datos

¿Cómo implantar el RGPD y la LOPD en un centro nutricionista en 2021-2022?

Lo primero que me gustaría dejar claro es que no es necesario contar con un especialista externo para cumplir con la normativa.

Pero si prefieres estar tranquilo/a, debido a la complejidad de ambas normas, y que pueden escapar, muchas veces a nuestros conocimientos, es muy recomendable contar con asesoramiento experto, ya que ello nos evitará “sustos” por desconocimiento de alguna interpretación de las normas.

En ambos casos, los pasos para el proceso de implantación de la normativa en Protección de Datos serán los siguientes.

Identifica los ficheros o datos personales

Se deben identificar los tratamientos que contengan datos de carácter personal. Con total seguridad serán datos de:

  • empleados
  • pacientes
  • clientes
  • proveedores

A continuación, especificar la finalidad para que se usan esos datos.

tarifas proteccion datos autonomos

Reconocimiento del nivel de seguridad que se les aplica

Una vez identificados los ficheros se deberán analizar los riesgos que supone tratar con esos datos en nuestro centro para determinar las medidas de seguridad que deberemos adoptar.

Evaluar el nivel de seguridad es muy importante porque no es el mismo el riesgo que se da en el tratamiento en los datos de los empleados que en el de los pacientes.

Evaluación de Impacto

En el caso particular de los nutricionistas, por la actividad que realizan y el riesgo que pueden suponer para los derechos y libertades de nuestros pacientes, el RPGD nos obliga a realizar una Evaluación de Impacto.

¿Cómo se hace una EIPD?

Me gustaría escribir que es fácil, sencillo… ¡pero no!

Realizar correctamente una Evaluación de Impacto para un centro de nutrición requiere de bastante tiempo.

Antes, en caso de inspección la AEPD solicitaba el Informe de Auditoría, ahora te reclamaran la EIPD.

Aquí encontrarás un artículo sobre cómo realizar una Evaluación de Impacto.

Documento de Seguridad

El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como los ficheros inscritos, empleados que acceden a los datos, sistemas de seguridad instalados, registro de incidencias, etc.

Contrato de confidencialidad

Se deberá firmar un compromiso de confidencialidad para los empleados, colaboradores y todos aquellos que tengan acceso a las historia clínicas, debido a la criticidad de los datos para las libertades y derechos de los pacientes.

Formación

El Responsable del Fichero como máxima figura en el tratamiento de datos, deberá tener una formación en la materia que le permita tratar los datos conforme a la normativa.

Delegado de Protección de Datos

En este caso en particular, como antes se ha comentado, se pueden llegar a tratar datos de historias clínicas, la normativa exige que se cuente con un una figura de responsabilidad experta en la materia, el Delegado de Protección de Datos.

Información a los propietarios de los datos

Es necesario informar a los afectados por el tratamiento de, al menos:

  • nombre del responsable
  • legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
  • finalidad del tratamiento
  • el derecho de los interesados, incluyendo el interponer una reclamación ante la AEPD y como ejercitarlos

Plazo de conservación de los datos

Una de las novedades que nos presenta el RGPD, mediante su principio de Accountabilty (responsabilidad proactiva), es la necesidad de informar del plazo de conservación de los datos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

Auditorías periódicas

Además en nuestro caso, como nutricionistas, debido al nivel de datos que tratamos estaremos obligados a hacer auditorías bienales como mínimo.

La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.

La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.

Estos informes serán revisados para adoptar las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.

Preguntas frecuentes que nos hacen los nutricionistas

¿Estoy obligado a cumplir la LOPD?

, porque en la actividad profesional se tratan datos de terceras personas.

¿Cuándo trato datos de carácter personal?

Siempre que se traten datos que permitan identificar a una tercera persona física, como un paciente o empleado.

Hay que destacar que la legislación actual no incluye a las empresas o sociedad en la protección de datos, es decir a las persona jurídicas.

¿Qué tipo de consentimiento me tiene que firmar mis pacientes para que pueda tratar su datos?

Al tratar datos sensibles, el consentimiento debe se ser expreso, es decir con una clara acción afirmativa por parte del paciente así como también específico para cada tratamiento.

Por ejemplo, si primeramente recabamos el consentimiento para tratar sus datos con fines médicos y, más adelante queremos utilizar dichos datos para una campaña de marketing u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.

¿Debo contratar un DPO?

Un centro de nutrción sí deberá contar con la figura del Delegado de Protección de Datos.

Aclarar que la alternativa a contratar un DPO externo es disponer de un delegado interno, es decir, alguien del centro que pueda acreditar formación en materia de protección de datos.

¿Cuanto tiempo puedo guardar los expedientes de mis pacientes?

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

¿Puedo usar mensajería instantánea para enviar datos de mis pacientes?

El debate ha permanecido en los últimos años, pero se ha avivado en los últimos meses.

La comunicación de datos médicos confidenciales mediante mensajes de texto SMS y otro tipo de mensajes electrónicos no cifrados está prohibido, por infringir las leyes de Protección de Datos.

Consejos prácticos para comunicaciones electrónicas con datos de salud

  • Los centros de salud y clínicas deben implementar políticas para impedir el uso de mensajes de texto no seguros tanto entre los propios médicos como con los pacientes para comunicar información de la salud de un paciente.
  • Los sistemas de comunicación directa con el software médico son los únicos admitidos como medio de comunicación con los pacientes. Si este sistema de comunicación directa no puede ser utilizado, debe ser reemplazado por una llamada telefónica.
  • El envío de recetas y otras órdenes médicas a través de mensajes SMS u otro tipo de mensajes seguros cifrados está prohibido.

Si queremos seguir usando aplicaciones de mensajería como Whatsapp, mejor redactar de forma adecuada los consentimientos de los pacientes. Así evitaremos ser sancionados.

Síntesis para que un nutricionista cumpla la LOPDGDD

Por lo tanto, según lo expuesto, si queremos cumplir con la normativa, debemos hacer hincapié en los siguientes puntos:

  1. Tener actualizada y firmada toda la documentación
  2. Firmar compromiso de confidencialidad de empleados
  3. Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
  4. Establecer las medidas de seguridad conforme a los riesgos detectados
  5. Redactar el Registro de las Actividades de Tratamiento
  6. Informar a los interesados del tratamiento de sus datos y derechos
  7. Elaborar el Documento de Seguridad
  8. Nombrar un Delegado de Protección de Datos

Si necesitas ayuda contacta con nosotros, solicita un presupuesto.

¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419

He leído y acepto la política de privacidad.