¡Pide presupuesto en 2 min! ✓
SanidadSectores

Protección de Datos para psicólogos – ¿Qué me exige la ley?

8 Mins read

¿Vas a abrir o gestionas una consulta de psicología? Entonces te interesa leer este post.

Una de las principales cuestiones que debe tener en cuenta un psicólogo es la normativa de protección de datos.

Normativas

Un psicólogo recoge numerosa información transcendental relativa a sus pacientes, ya que conoce aspectos específicos de personalidad, datos de salud, etc.

Al tratar datos personales de terceros, ya sean pacientes o empleados, los psicólogos deben cumplir entonces con:

RGPD

El principal fin de la nueva normativa europea es aportar un marco único comunitario para la protección de datos.

Asimismo trae consigo una disminución de los trámites burocráticos, agilizando el cumplimiento de esta normativa a los centros de psicología.

¡Eso sí! Con esta nueva norma, deberás adquirir un mayor compromiso con la privacidad y la gestión de los datos, sobre todo de los pacientes.

Nuevas obligaciones para los centros de psicología

Son varias las nuevas prácticas que los psicólogos deben realizar para garantizar que su centro cumpla el RGPD.

Consentimiento

Procurar el consentimiento inequívoco y expreso, no tácito, del paciente para el uso de sus datos.

Cláusulas

Es necesario actualizar las cláusulas de los contratos, ya que se exige una mayor vigilancia con respecto a los terceros que contratamos para que nos presten un servicio también cumplan con la normativa.

Asimismo, es necesario dar mayor información a las personas que tratamos sus datos.

Confidencialidad

Los datos que se tratan en un centro de psicología pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad que deben firmar los trabajadores así como también las repercusiones si faltan al mismo.

Notificación brechas de seguridad

Estaremos obligados a notificar una brecha de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

Proveedores

Elección responsable de los proveedores externos que accedan a los datos, como por ejemplo la gestoría que nos elabora las nóminas o la empresa encargada del mantenimiento informático de nuestros ordenadores.

Si nosotros cumplimos con la normativa ellos también deben hacerlo.

DPO

Una de las principales novedades del reglamento es la obligatoriedad de disponer de un Delegado de Protección de Datos en nuestro centro.

EIPD

Deberemos elaborar una Evaluación de Impacto en la Protección de Datos Personales (EIPD) para ciertos tratamientos de datos sensibles, ya que para poder gestionar esta información personal habrá que analizar previamente los riesgos.

Códigos de conducta y certificados

Se está fomentando la redacción de códigos de conducta y certificaciones mediante los cuales, cumpliendo sus exigencias y adoptándolos, podremos cumplir con la normativa.

Nuevos derechos

Los antiguos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son ampliados con dos nuevos:

¿Y la LOPD?

Para comenzar, lo primero que debemos conocer es que en función de los datos que tratamos deberemos de implementar unas u otras medidas de seguridad.

Al poseer datos sensibles, como son los de salud, personalidad… deberemos llevar a cabo las siguientes cuestiones.

Cómo implantar el RGPD y la LOPD en un centro de psicología

como tienen que cumplir la normativa rgpd y lopd los psicologos

Lo primero que me gustaría dejar claro es que no es necesario contar con un especialista externo para cumplir con la normativa.

Pero si prefieres estar tranquilo/a, debido a la complejidad de ambas normas, y que pueden escapar, muchas veces a nuestros conocimientos, es muy recomendable contar con asesoramiento experto, ya que ello nos evitará “sustos” por desconocimiento de alguna interpretación de las normas.

En ambos casos, los pasos para el proceso de implantación de la normativa en Protección de Datos serán los siguientes.

Identifica los ficheros o datos personales

Se deben identificar los tratamientos que contengan datos de carácter personal. Con total seguridad serán datos de:

  • empleados
  • pacientes
  • clientes
  • proveedores

A continuación, especificar la finalidad para que se usan esos datos.

Reconocimiento del nivel de seguridad que se les aplica

Una vez identificados los ficheros se deberán analizar los riesgos que supone tratar con esos datos en nuestro centro para determinar las medidas de seguridad que deberemos adoptar.

Evaluar el nivel de seguridad es muy importante porque no es el mismo el riesgo que se da en el tratamiento en los datos de los empleados que en el de los pacientes.

Evaluación de Impacto

En el caso particular de los psicólogos, por la actividad que realizan y el riesgo que pueden suponer para los derechos y libertades de nuestros pacientes, el RPGD nos obliga a realizar una Evaluación de Impacto.

¿Cómo se hace una EIPD?

Me gustaría escribir que es fácil, sencillo… ¡pero no!

Realizar correctamente una Evaluación de Impacto para un centro médico o de psicología requiere de bastante tiempo.

Antes, en caso de inspección la AEPD solicitaba el Informe de Auditoría, ahora te reclamaran la EIPD.

Aquí encontrarás un artículo sobre cómo realizar una Evaluación de Impacto.

Inscripción de los ficheros

Desde el 25 de mayo de 2018, ya no debe efectuarse la inscripción de los ficheros ante la Autoridad de Control, la Agencia Española de Protección de Datos.

A partir de esa fecha, las actividades que traten datos específicos deben recogerse un registro interno de estos ficheros. Este documento es conocido como Registro de las Actividades de Tratamiento.

Al tratar datos sensibles, los psicólogos estarán obligados a su redacción.

en que consiste el registro de las actividades de tratamiento del rgpd

Documento de Seguridad

El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como los ficheros inscritos, empleados que acceden a los datos, sistemas de seguridad instalados, registro de incidencias, etc.

Contrato de confidencialidad

Se deberá firmar un compromiso de confidencialidad para los empleados, colaboradores y todos aquellos que tengan acceso a las historia clínicas, debido a la criticidad de los datos para las libertades y derechos de los pacientes.

Formación

El Responsable del Fichero como máxima figura en el tratamiento de datos, deberá tener una formación en la materia que le permita tratar los datos conforme a la normativa.

Delegado de Protección de Datos

En este caso en particular, como antes se ha comentado, se pueden llegar a tratar datos de historias clínicas, la normativa exige que se cuente con un una figura de responsabilidad experta en la materia, el Delegado de Protección de Datos.

en que consiste la nueva figura del delegado de proteccion de datos. rgps

Información a los propietarios de los datos

Es necesario informar a los afectados por el tratamiento de, al menos:

  • nombre del responsable
  • legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
  • finalidad del tratamiento
  • el derecho de los interesados, incluyendo el interponer una reclamación ante la AEPD y como ejercitarlos
  • el derecho de los interesados, incluyendo el interponer una reclamación ante la AEPD

Plazo de conservación de los datos

Una de las novedades que nos presenta el RGPD, mediante su Accountabilty (responsabilidad proactiva), es la necesidad de informar del plazo de conservación de los datos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

Auditorías periódicas

Además en nuestro caso, como psicólogos, debido al nivel de datos que tratamos estaremos obligados a hacer auditorías bienales como mínimo.

La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.

La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.

Estos informes serán revisados para adoptar las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.

Preguntas frecuentes que nos hacen los psicólogos

¿Estoy obligado a cumplir la LOPD?

Sí, porque en la actividad profesional se tratan datos de terceras personas.

¿Cuándo trato datos de carácter personal?

Siempre que se traten datos que permitan identificar a una tercera persona física, como un paciente o empleado.

Hay que destacar que la legislación actual no incluye a las empresas o sociedad en la protección de datos, es decir a las persona jurídicas.

¿Que tipo de consentimiento me tiene que firmar mis pacientes para que pueda tratar su datos?

Al tratar datos sensibles, el consentimiento debe se ser expreso, es decir con una clara acción afirmativa por parte del paciente así como también específico para cada tratamiento.

Por ejemplo, si primeramente recabamos el consentimiento para tratar sus datos con fines médicos y, más adelante queremos utilizar dichos datos para una campaña de marketing u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.

¿Debo contratar un DPO?

Un centro de psicología sí deberá contar con la figura del Delegado de Protección de Datos.

Aclarar que la alternativa a contratar un DPO externo es disponer de un delegado interno, es decir, alguien del centro que pueda acreditar formación en materia de protección de datos.

¿Cuanto tiempo puedo guardar los expedientes de mis pacientes?

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

¿Puedo usar mensajería instantánea para enviar datos de mis pacientes?

El debate ha permanecido en los últimos años, pero se ha avivado en los últimos meses.

La comunicación de datos médicos confidenciales mediante mensajes de texto SMS y otro tipo de mensajes electrónicos no cifrados está prohibido, por infringir las leyes de Protección de Datos.

Consejos prácticos para comunicaciones electrónicas con datos de salud

  • Los centros de salud y clínicas deben implementar políticas para impedir el uso de mensajes de texto no seguros tanto entre los propios médicos como con los pacientes para comunicar información de la salud de un paciente.
  • Los sistemas de comunicación directa con el software médico son los únicos admitidos como medio de comunicación con los pacientes. Si este sistema de comunicación directa no puede ser utilizado, debe ser reemplazado por una llamada telefónica.
  • El envío de recetas y otras órdenes médicas a través de mensajes SMS u otro tipo de mensajes seguros cifrados está prohibido.

¿Y sesiones por videoconferencia?

El uso de las nuevas tecnologías en la prestación de servicios psicológicos es cada vez más habitual, está en pleno desarrollo.

Internet y todas sus aplicaciones serán herramientas que el psicólogo usará, siempre con el consentimiento expreso de su paciente, en aquellos casos en que esté justificado.

Por ejemplo, cuando existen problemas de accesibilidad, si el paciente vive lejos del centro de atención psicológica, si tiene dificultades de movilidad y no puede desplazarse por sí mismo, si está enfermo, para repasar tareas y aclarar dudas sobre lo detallado en la sesión.

Estas herramientas informáticas se usan para asesorar en temas puntuales, para guiar a la persona sobre qué es lo que tiene que hacer para aceptar un tratamiento psicológico o incluso en un caso de urgencia cuando es complicado efectuar una atención de manera presencial.

Se deberá, por tanto garantizar la confidencialidad de los datos exigida por la normativa de protección de datos.

Síntesis para que un centro de psicología cumpla la LOPD

Por lo tanto, según lo expuesto, si queremos cumplir con la normativa, debemos hacer hincapié en los siguientes puntos:

  1. Tener actualizada y firmada toda la documentación
  2. Firmar compromiso de confidencialidad de empleados
  3. Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
  4. Establecer las medidas de seguridad conforme a los riesgos detectados
  5. Dar de alta los ficheros en la AEPD y redactar el Registro de las Actividades de Tratamiento
  6. Informar a los interesados del tratamiento de sus datos y derechos
  7. Elaborar el Documento de Seguridad
  8. Nombrar un Delegado de Protección de Datos

Esperamos haberte facilitado la implementación de esta normativa en el caso de que trates datos en el ámbito de la psicología.

Y, si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Ático34.

Related posts
LOPDGDD & RGPDSanidad

Dudas legales sobre la Cartilla Covid y el registro en bares y restaurantes

4 Mins read
Entre las medidas anunciadas por la Comunidad de Madrid para combatir los rebrotes de Covid-19, se encuentra la creación de una cartilla…
Nuevas tecnologiasSanidad

Hispabot COVID-19: Resuelve tus dudas sobre el Coronavirus

6 Mins read
A finales de marzo, el Gobierno encomendó al Ministerio de Asuntos Económicos y Transformación Digital la elaboración de medidas para facilitar la…
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…

2 Comments

  • Avatar

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.