Si tienes una clínica de fisioterapia o eres un fisioterapeuta que trabaja como autónomo, no puedes dejar de lado la protección de datos. Sabemos que estamos ante una tarea compleja, por eso hemos elaborado esta guía para adaptar a la normativa de protección de datos tu clínica de fisioterapia.
En este artículo hablamos de:
- ¿Están fisioterapeutas y clínicas de fisioterapia obligados a cumplir la Ley de protección de datos?
- ¿Qué normativa deben cumplir las clínicas de fisioterapia en 2024?
- RGPD para fisioterapeutas
- LOPDGDD para fisioterapeutas
- ¿Cómo implantar el RGPD y la LOPDGDD en un centro de fisioterapia?
- Sanciones por no cumplir con la normativa
- ¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista
- Preguntas frecuentes
- Resumen para que un centro de fisioterapia Ley de protección de datos
¿Están fisioterapeutas y clínicas de fisioterapia obligados a cumplir la Ley de protección de datos?
Como cualquier empresa o negocio que trate datos de carácter personal, fisioterapeutas y clínicas de fisioterapia están obligadas a cumplir con la normativa vigente en materia de protección de datos, especialmente, porque aparte de datos personales generales, tratan datos médicos de sus clientes y este tipo de datos pertenecen a las denominadas categorías especiales, que exigen un mayor nivel de protección.
Descubre qué debes hacer para cumplir la Ley de protección de datos en clínicas de fisioterapia.
¿Qué normativa deben cumplir las clínicas de fisioterapia en 2024?
La normativa de protección de datos para clínicas de fisioterapia y fisioterapeutas la podemos encontrar en:
- Reglamento General de Protección de Datos (RGPD).
- Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)
- Ley de Autonomía del Paciente
RGPD para fisioterapeutas
Aprobado en 2016, el RGPD entró en vigor en España en 2018 y cambió varios aspectos de la antigua LOPD, introduciendo nuevas obligaciones y una serie de principios y derechos de la protección de datos.
En lo que respecta a la protección de datos en fisioterapia, es importante tener en cuenta la legitimidad que permite recabar los datos personales de los pacientes. Además, el RGPD introdujo el concepto de categorías especiales de datos, que son aquellos datos especialmente protegidos, entre los que se encuentran los datos de la salud y que van a exigir más requisitos por parte del responsable de tratamiento.
Además, el RGPD incorporó obligaciones como la de recabar el consentimiento inequívoco y expreso de los mismos para poder recoger y tratar sus datos. La firma de contratos de encargo de tratamiento cuando se ceden datos a terceros. O la notificación de las brechas de seguridad cuando estas afecten a datos personales y los pongan en riesgo (notificación que debe hacerse a la autoridad de control competente y a los propios interesados afectos).
El RGPD también introdujo el registro de actividades de tratamiento, la figura del delegado de protección de datos o la obligación, en determinados casos, de elaborar una evaluación de impacto en la protección de datos personales, de los que hablaremos más adelante.
Así mismo, introdujo los derechos de portabilidad y olvido, ampliando con ellos los derechos ARCO (acceso, rectificación, cancelación y oposición).
LOPDGDD para fisioterapeutas
Respecto a LOPDGDD, se trata de la modificación de la antigua LOPD, introduciendo las nuevas obligaciones reguladas en el RGPD. La ley española amplía algunos aspectos y concretas otros, que en el Reglamento europeo son más generales, por ejemplo, la graduación de las infracciones, pero en general, el cumplimiento de uno es el cumplimiento del otro.
¿Cómo implantar el RGPD y la LOPDGDD en un centro de fisioterapia?
A continuación, veremos las principales obligaciones que debe cumplir un fisioterapeuta o clínica de fisioterapia para adaptarse el RGPD y la LOPDGDD (podéis tomarlo como un modelo de protección de datos en fisioterapia, que podéis seguir para aseguraros de que no os olvidáis de nada).
Identificar los datos personales de tus pacientes
El primer paso es identificar los datos personales de tus pacientes que vas a tratar; al tratarse de pacientes de fisioterapia, aparte de los datos genéricos, también tratarás datos especiales, como raza, sexo e informes médicos.
Si tienes empleados, también deberás identificar sus datos personales.
Análisis de riesgos
Identificados los datos personales que vas a tratar, el siguiente paso es realizar un análisis de riesgos, es decir, determinar qué amenazas y riesgos puede suponer para los datos personales de tus pacientes y empleados, los tratamientos que vas a realizar de ellos.
Las conclusiones de este análisis te servirán para determinar las medidas de técnicas y organizativas de seguridad a adoptar para garantizar la protección de datos.
Evaluar el nivel de seguridad es muy importante porque no es el mismo el riesgo que se da en el tratamiento en los datos de los empleados que en el de los pacientes.
Evaluación de impacto
En el caso particular de los fisioterapeutas, por la actividad que realizan y el riesgo que pueden suponer para los derechos y libertades de nuestros pacientes, el RGPD nos obliga a realizar una evaluación de impacto.
La evaluación de impacto debe servir para reforzar las medidas de seguridad a implantar en el centro de fisioterapia para la protección de los datos, así como para evaluar el cumplimiento normativo.
Registro de actividades de tratamiento
Fisioterapeutas y clínicas de fisioterapia están obligadas a elaborar el registro de actividades de tratamiento. Se trata de un documento en el que se recogen todos los tratamientos de datos personales que se efectúan en el centro, por ejemplo, al crear fichas de pacientes, y que deben contener la siguiente información concisa, pero detallada:
- Identificación y datos de contacto del responsable del tratamiento, del encargado del tratamiento (si lo hay) y del delegado de protección de datos (si lo hay)
- Fines del tratamiento
- Descripción de categorías de interesados y datos
- Descripción de categorías de destinatarios de datos (existentes o previstos)
- Transferencias internacionales de datos (si las hay)
- Plazo de conservación previsto
- Descripción de las medidas de seguridad
Firmar con los encargados de tratamiento
Es muy probable que una clínica de fisioterapia deba ceder datos personales a terceros; por ejemplo, si contrata a fisioterapeutas autónomos o si requiere el servicio de una gestoría para la gestión de nóminas. En estos casos, será necesario que el responsable del tratamiento firme con estos terceros un contrato de encargado del tratamiento, con el que se pueda asegurar que estos terceros cumplen también con la normativa de protección de datos.
Contrato de confidencialidad
El deber de secreto y confidencialidad son obligaciones que siempre debemos tener presentes cuando manejamos información personal, pero en los casos de datos médicos o relacionados con la salud de las personas, todavía debemos poner más atención, no solo en lo que respecta a nosotros, sino también de aquellos que trabajan para nosotros y que pueden tener acceso a dicha información sensible.
Por lo tanto se debe poner por escrito este compromiso mediante un contrato de confidencialidad, que deben firmar los trabajadores así como también las repercusiones si faltan al mismo.
Delegado de Protección de Datos
No todas las empresas tienen que cumplir con la obligatoriedad del Delegado de Protección de Datos (DPO), sin embargo, una clínica de fisioterapia, al tratar datos de categorías especiales como son los datos relacionados con la salud, sí deben designar un DPO, siempre y cuando guarde historiales clínicos completos.
El DPO, que puede ser interno o externo, se ocupará de supervisar todos los procesos y políticas de tratamiento de datos personales y ser intermediario entre la clínica y la AEPD.
Formación
Tanto el responsable del tratamiento como el DPO deben tener una formación específica en materia de protección de datos, puesto que elaborar los documentos necesarios (registro de actividades de tratamiento, contratos de encargo, etc.) y llevar a cabo acciones como el análisis de riesgos o la evaluación de impacto, exigen tener conocimientos suficientes sobre la normativa.
Información a los propietarios de los datos
Es necesario informar a los afectados por el tratamiento de, al menos:
- Nombre del responsable del tratamiento
- Legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
- Finalidad del tratamiento
- Los derechos ARCO, portabilidad y olvido de los interesados, incluyendo el interponer una reclamación ante la AEPD y cómo ejercitarlos
Esta información puede suministrarse como parte del formulario de consentimiento o cualquier otro documento que deba revisar el paciente o, incluso como un documento aparte.
Auditorías periódicas
Aunque ni el RGPD ni la LOPDGDD citan expresamente la obligación de hacer auditorías periódicas de protección de datos, sí que hablan de la proactividad en la protección de datos y de la necesidad de poder demostrar que se cuenta con medidas técnicas y organizativas de seguridad suficientes y eficientes para garantizar la protección de los datos y el cumplimiento normativo.
En ese sentido, someter a las medidas de seguridad del centro de fisioterapia a auditorías periódicas, te ayudará conocer la eficacia de las mismas y si es necesario mejorarlas o incrementarlas con nuevas medidas.
La antigua LOPD establecía la obligación para la protección de datos en clínicas de fisioterapia de realizar auditorías cada dos años o cuando se hagan cambios sustanciales en los sistemas de información que puedan afectar a las medidas ya implantadas. Esta periodicidad bienal se puede seguir manteniendo.
Sanciones por no cumplir con la normativa
Las sanciones previstas por no cumplir con alguna de las obligaciones de la normativa de protección de datos en la clínica de fisioterapia pueden alcanzar los 20 millones de euros o el 4% de la facturación anual (la cuantía que sea mayor).
Dependiendo del tipo de infracción (leve, grave o muy grave), el número de afectados, el tipo de datos afectados, la intencionalidad o la negligencia, así como la duración en el tiempo del comportamiento infractor, la LOPDGDD establece una graduación de las sanciones acorde a dichas infracciones.
¿Necesitas cumplir con la LOPDGDD y el RGPD? Contacta con un especialista
Tanto si eres un fisioterapeuta que trabaja por cuenta propia, como si tienes una clínica de fisioterapia y necesitas adaptar tu negocio a la normativa de protección de datos para autónomos o empresas, te recomendamos contactar con un especialista en la materia, puesto que, como has podido ver, se trata de una labor compleja, que requiere de conocimientos específicos.
Solicita un presupuesto sin compromiso.
Preguntas frecuentes
¿Cómo puedo saber si trato datos de carácter personal?
Siempre que se traten datos que permitan identificar a una tercera persona física, como un paciente o empleado.
Hay que destacar que la legislación actual no incluye a las empresas o sociedad en la protección de datos, es decir a las personas jurídicas.
¿Cuánto tiempo puedo guardar los expedientes de mis pacientes?
En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.
¿Qué tipo de consentimiento me tiene que firmar mis pacientes para que pueda tratar sus datos?
Al tratar datos sensibles, el consentimiento debe ser expreso. Es decir con una clara acción afirmativa por parte del paciente así como también específico para cada tratamiento.
Por ejemplo, si primeramente recabamos el consentimiento para tratar sus datos con fines médicos y, más adelante queremos utilizar dichos datos para una campaña de marketing u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.
Resumen para que un centro de fisioterapia Ley de protección de datos
Por lo tanto, según lo expuesto, si queremos cumplir con la normativa, debemos hacer hincapié en los siguientes puntos:
- Tener actualizada y firmada toda la documentación
- Firmar compromiso de confidencialidad de empleados
- Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
- Establecer las medidas de seguridad conforme a los riesgos detectados
- Redactar el Registro de las Actividades de Tratamiento
- Informar a los interesados del tratamiento de sus datos y derechos
- Nombrar un Delegado de Protección de Datos
Esperamos haberte facilitado la implementación de esta normativa en el caso de que trates datos en el ámbito de la fisioterapia.
Si necesitas más información sobre protección de datos para clínica de fisioterapia, rellena el formulario y nos pondremos en contacto contigo.