¿Vas a abrir o gestionas una consulta de psicología? Entonces te interesa leer este post. En él te contamos todo lo que debes saber sobre la protección de datos para psicólogos. Descubre todas las obligaciones y exigencias del RGPD y la LOPDGDD y adapta correctamente tu consulta a la normativa.
En este artículo hablamos de:
- ¿Están los psicólogos obligados a cumplir la LOPD-GDD y el RGPD?
- ¿Qué leyes afectan a psicólogos y centros de psicología?
- Obligaciones de los centros de psicología con la LOPDGDD y el RGPD
- Cómo implantar el RGPD y la LOPD en un centro de psicología
- Te pueden sancionar si incumples, ¿conoces las preceptivas sanciones?
- ¿Aplicas correctamente en tu centro de psicología las normativas de protección de datos?
- En Atico34, podemos ayudarte, trabajamos con cientos de centros de psicología y psicólogos autónomos
- Resumen rápido ¿Qué debe hacer (sí o sí) un centro de psicología para cumplir con la ley de protección de datos?
- Preguntas frecuentes
- ¿Mis pacientes tienen que firmar su consentimiento para tratar sus datos?
- ¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?
- ¿Puedo comunicarme con mis pacientes por email o WhatsApp?
- ¿Puedo realizar sesiones con mis pacientes por videoconferencia?
- ¿Cómo debo realizar la cesión de datos de mis pacientes a otros profesionales?
¿Están los psicólogos obligados a cumplir la LOPD-GDD y el RGPD?
Un psicólogo recoge numerosa información personal relativa a sus pacientes. Por tanto, al tratar datos personales de terceros, ya sean pacientes o empleados, los psicólogos deben cumplir con la actual normativa de protección de datos.
Además, los psicólogos tratan con datos personales sensibles, relativos a la salud o a la personalidad de los pacientes. El tratamiento de este tipo de datos especialmente protegidos obliga a cumplir algunos requisitos específicos, como veremos más adelante, por ejemplo, contar con un Delegado de Protección de Datos.
Accede a nuestros servicios de protección de datos para psicólogos desde solo 180 euros al año.
¿Qué leyes afectan a psicólogos y centros de psicología?
Las leyes de protección de datos para psicólogos son:
- Reglamento General de Protección de Datos (RGPD) que se aplica a nivel europeo.
- Ley Orgánica de Protección de Datos y Garantía de derechos digitales (LOPDGDD o LOPD), que adapta al marco español la normativa europea.
Cumplir con la LOPD en psicología es cumplir con el RGPD en psicología, puesto que la normativa española, como hemos dicho, adapta la ley europea a nuestro ordenamiento jurídico, añadiendo o profundizando algunos aspectos de la ley.
Y para cumplir con la ley de protección de datos para psicólogos, se debe adquirir un mayor compromiso con la privacidad y la gestión de los datos, sobre todo de los pacientes.
Aparte de la LOPD y el RGPD para psicólogos, estos también contemplar lo que dice la ley de confidencialidad del psicólogo.
La confidencialidad en la psicología es cumplir con la obligación de mantener el secreto profesional entre psicólogo y paciente. Es decir, no el psicólogo puede compartir con terceros o revelar información relativa al tratamiento, las sesiones o el estado de salud del paciente, si este no da su consentimiento para ello.
Los psicólogos están obligados por Ley y por su propio Código Deontológico (art. 40) a mantener el secreto profesional, no hacerlo, como ya hemos visto, es motivo no solo de sanción administrativa, sino también de penas de presión.
Además, el psicólogo tiene también la obligación de velar por que sus colaboradores también guarden dicha confidencialidad.
Obligaciones de los centros de psicología con la LOPDGDD y el RGPD
Para adaptar a la LOPDGDD y el RGPD, es necesario que las clínicas de psicología o los psicólogos que trabajen de manera autónoma, cumpla con las obligaciones establecidas en la normativa de manera proactiva, es decir, deben no solo adquirir el compromiso de cumplir con la normativa, sino también llevarlo a cabo adoptando las medidas técnicas y organizativas que garanticen la confidencialidad, integridad y la disponibilidad de los datos personales que tratan.
¿Y cuáles son esas obligaciones del RGPD y la LOPD para psicólogos y clínicas de psicología? Las detallamos en el siguiente punto.
Cómo implantar el RGPD y la LOPD en un centro de psicología
Ten en cuenta que la protección de datos y privacidad en psicología son muy importantes debido al carácter sensible de la información que se maneja de los pacientes.
Cumplir con la protección de datos en psicología es un proceso complejo debido a la propia naturaleza de la profesión, en la que se tratan datos especialmente protegidos. A continuación te decimos cuáles son los pasos a seguir para garantizar una correcta adaptación a la normativa.
Identificar los datos personales de los pacientes
Se deben identificar los tratamientos que contengan datos de carácter personal. Con total seguridad serán datos de:
- Empleados
- Pacientes
- Clientes
- Proveedores
A continuación, especificar la finalidad para la que se usan esos datos.
Análisis de riesgos
Una vez identificados los datos y previstos los tratamientos de datos que se van a realizar, es necesario hacer los correspondientes análisis de riesgos derivados de esos tratamientos, para determinar las medidas de seguridad a adoptar.
El análisis de riesgos siempre debe hacerse con carácter previo a cualquier tratamiento de datos, puesto que es fundamental para poder decidir y aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos y cumplir así con el requisito de protección de datos desde el diseño y por defecto.
Evaluación de impacto
Es necesario elaborar una Evaluación de Impacto en la Protección de Datos Personales (EIPD) para ciertos tratamientos de datos sensibles, ya que para poder gestionar esta información personal habrá que analizar previamente los riesgos.
En el caso particular de los psicólogos, por la actividad que realizan y el riesgo que pueden suponer para los derechos y libertades de los pacientes, el RPGD obliga a realizar una Evaluación de Impacto.
Registro de actividades de tratamiento
Los responsables y encargados de tratamiento deben realizar el denominado registro de actividades de tratamiento; se trata de un registro en que se recogen todos los tratamientos de datos personales que se efectúan en la clínica (por ejemplo, ficha de pacientes, nóminas, etc.).
El registro de tratamiento debe contener esta información:
- Identificación y datos de contacto del responsable del tratamiento, del encargado del tratamiento (si lo hay) y del delegado de protección de datos (si lo hay)
- Fines del tratamiento
- Descripción de categorías de interesados y datos
- Descripción de categorías de destinatarios de datos (existentes o previstos)
- Transferencias internacionales de datos (si las hay)
- Plazo de conservación previsto
- Descripción de las medidas de seguridad
El registro de actividades de tratamiento debe mantenerse siempre actualizado, aunque no es necesario inscribirlo en ningún sitio, sí que deberá ponerse a disposición de la Agencia Española de Protección de Datos (AEPD) si esta lo solicita en el transcurso de una inspección.
Firmar contratos de encargo de tratamiento
En el caso de que la clínica de psicología contrate algún servicio que implique la cesión o comunicación de datos personales de los pacientes al proveedor del servicio, será necesario que la clínica, como responsable del tratamiento, firme un con el proveedor un contrato de encargo de tratamiento.
Este contrato establece las obligaciones respecto a la protección de datos que debe cumplir el encargado de tratamiento, el plazo de la cesión y de la conservación de los datos, así como qué hacer una vez se haya cumplido la finalidad para la que se cedieron o comunicaron los datos.
Acuerdo de confidencialidad
Los datos que se tratan en un centro de psicología pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad de los datos que deben firmar los trabajadores, así como también las repercusiones si faltan al mismo. La ley de confidencialidad del psicólogo se ha de cumplir incluso una vez que se ha dejado de trabajar en el centro.
Delegado de Protección de Datos
En este caso en particular, como antes se ha comentado, se pueden llegar a tratar datos de historias clínicas, la normativa exige que se cuente con un una figura de responsabilidad experta en la materia, el Delegado de Protección de Datos.
El artículo 34.f de la LOPDGDD señala que “se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual”.
De manera que para las clínicas de psicología que guarden o custodien historias clínicas de sus pacientes, el Delegado de Protección de Datos es obligatorio. No lo será para aquellos psicólogos que ejerzan a título individual su profesión.
Deber de informar
Es necesario informar a los afectados por el tratamiento de, al menos:
- Identidad del responsable
- Legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
- Finalidad del tratamiento
- Derechos RGPD de los interesados y cómo ejercerlos, incluyendo el interponer una reclamación ante la AEPD
Así mismo, para cumplir con el principio de responsabilidad proactiva, es necesario informar del plazo de conservación de los datos.
Como norma general, el mantenimiento de los historiales y las cuestiones legales se puede extender durante 5 años a contar desde el último tratamiento.
No obstante, dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.
Auditorías periódicas
Si bien, ya no existe la obligación literal de realizar auditorías bienales, se recomienda que las clínicas de psicología lleven a cabo estas auditorías de protección de datos, para, por un lado, poder acreditar el cumplimiento de la normativa, y, por otro lado, comprobar si existen problemas o carencias en el cumplimiento de la ley y poder subsanarlos antes de que se produzca una brecha de seguridad.
La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si la empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.
Y hablando de brechas de seguridad, si se produce un incidente de seguridad que ponga en riesgo los datos personales de los pacientes, la clínica deberá notificarlo a la AEPD y los interesados en un plazo máximo de 72 horas.
Te pueden sancionar si incumples, ¿conoces las preceptivas sanciones?
¿Sabías que si no cumples con la normativa, la Agencia Española de Protección de Datos te podría sancionar? Las multas pueden llegar a ser muy elevadas, en función de la gravedad de la infracción:
- Infracciones leves: hasta 40.000 euros.
- Infracciones graves: de 40.000 a 300.000 euros.
- Infracciones muy graves hasta 20 millones de euros o el 4% de la facturación del último ejercicio.
¿Aplicas correctamente en tu centro de psicología las normativas de protección de datos?
Todos los requisitos de los que te hemos hablado a lo largo del artículo son DE OBLIGADO CUMPLIMIENTO. Es decir, no se trata solo de consejos o recomendaciones, sino de exigencias que marca la ley y que debes cumplir sí o sí.
Entendemos que adaptarse a la normativa puede ser complejo y te puede quitar mucho tiempo que deberías dedicar a atender a tus pacientes. Por eso, estamos aquí para ayudarte.
En Grupo Atico34 nos encargamos de analizar las necesidades de tu negocio y de poner en marcha todas las medidas necesarias para que tu consulta de psicología se adapte al RGPD y la LOPDGDD.
En Atico34, podemos ayudarte, trabajamos con cientos de centros de psicología y psicólogos autónomos
Si quieres evitar estas sanciones económicas, ponte en contacto con nosotros.
En Grupo Atico34 llevamos más de 12 años ayudando a todo tipo de empresas y profesionales a cumplir con la ley de protección de datos.
Nuestro modelo de protección de datos para psicólogos es 100% efectivo y te garantiza cumplir con la ley de protección de datos para autónomos o pymes en muy poco tiempo.
Contamos con profesionales expertos en la materia que se encargarán de todo lo necesario para que cumplas con la nueva ley de protección de datos para psicólogos.
Implantamos todas las medidas necesarias y te ofrecemos una atención personalizada y asesoramiento continuo.
Contacta con nosotros sin compromiso y descubre por qué somos la empresa líder en protección de datos.
Precios para que psicólogos y centros de psicología se adapten a la LOPDGDD/RGPD
Ofrecemos nuestros servicios a precios ajustados para que adaptarte a la normativa de protección de datos no te suponga una gran inversión.
El precio de nuestros servicios de protección de datos para psicólogos es de 180 euros al año. Si tienes un centro de psicología con personal a cargo, también deberás contar con un DPO, en cuyo caso el precio sería de 380 euros al año.
Además, somos conscientes de las dificultades que los profesionales están atravesando a causa del Covid-19, por lo que te ofrecemos facilidades para el pago.
¡Consúltanos sin compromiso!
Los informes de pacientes ,derivados a profesionales en psiquiatría, deben ser gratuitos para el paciente,o puedo cobrarles el precio de una visita extra?
Saludos: (una paciente)
Citar Comentario
Citar Comentario
Buenas tardes Ángeles, esos informes deberían ser gratuitos
Citar Comentario
Citar Comentario
Buenas tardes:
En el apartado “Inscripción de los ficheros” comentas que desde el 25 de mayo de 2018, ya no debe efectuarse la inscripción de los ficheros ante la Autoridad de Control, la Agencia Española de Protección de Datos. Sin embargo comentas, en el punto 5 de la síntesis, indicas que hay que dar de alta los ficheros en la AEPD y redactar el Registro de las Actividades de Tratamiento.
No me queda claro entonces si hay o no que dar de alta los ficheros en la AEPD.
Un saludo y muchas gracias.
Susana
Citar Comentario
Citar Comentario
Buenas tardes Susana, Ahora no hay que dar de alta los ficheros en la AEPD, el punto estaba redactado incorrectamente. Solo debe elaborarse un registro de actividades de tratamiento que debe tenerlo la propia empresa.
Citar Comentario
Citar Comentario
Buenas tardes:
Un paciente tiene derecho a reclamar todo su historial incluyendo las herramientas de trabajo como los cuestionarios realizados¿?
Citar Comentario
Citar Comentario
Buenas tardes Margarita, sí el paciente tiene derecho a solicitar todo su historial médico
Citar Comentario
Citar Comentario