¡Pide presupuesto en 2 min! ✓
ProfesionalesSectores

Tengo un centro de estética y no sé cómo cumplir con la protección de datos

8 Mins read

¿Trabajas en un centro de estética y no sabes cómo tratar los datos de tus pacientes? Te contamos como hacerlo dentro del marco legal de la protección de datos.

Normativas

En un centro de estética se recoge numerosa información transcendental relativa a sus pacientes, ya que conoce aspectos específicos de su día a día, datos de salud, etc.

Al tratar datos personales de terceros, ya sean pacientes o empleados, los médicos y profesionales de la estética deben cumplir con:

RGPD

El principal fin de la nueva normativa europea es aportar un marco único comunitario para la protección de datos.

Asimismo trae consigo una disminución de los trámites burocráticos. Agilizando el cumplimiento de esta normativa a los centros de estética.

¡Eso sí! Con esta nueva norma, deberás adquirir un mayor compromiso con la privacidad y la gestión de los datos, sobre todo de los pacientes.

Nuevas obligaciones para los centros de estética

Son varias las nuevas prácticas que los esteticistas deben realizar para garantizar que su negocio cumpla el RGPD.

Consentimiento

Procurar el consentimiento inequívoco y expreso, no tácito, del paciente para el uso de sus datos.

Cláusulas

Es necesario actualizar las cláusulas de los contratos. Ya que se exige una mayor vigilancia con respecto a los terceros que contratamos para que nos presten un servicio y también cumplan con la normativa.

Asimismo, es necesario dar mayor información a las personas que tratamos sus datos.

Confidencialidad

Los datos que se tratan en un centro de estética pueden llegar a ser muy sensibles. Por lo que se debe poner por escrito el compromiso de confidencialidad que deben firmar los trabajadores así como también las repercusiones si faltan al mismo.

Notificación brechas de seguridad

Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales. Y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

Proveedores

Elección responsable de los proveedores externos que accedan a los datos, como por ejemplo la gestoría que nos elabora las nóminas o la empresa encargada del mantenimiento informático de nuestros ordenadores.

Si nosotros cumplimos con la normativa ellos también deben hacerlo.

DPO

Una de las principales novedades del reglamento es la obligatoriedad de disponer de un Delegado de Protección de Datos en nuestro centro.

EIPD

Deberemos elaborar una Evaluación de Impacto en la Protección de Datos Personales (EIPD) para ciertos tratamientos de datos sensibles. Ya que para poder gestionar esta información personal habrá que analizar previamente los riesgos.

Códigos de conducta y certificados

Se está fomentando la redacción de códigos de conducta y certificaciones mediante los cuales, cumpliendo sus exigencias y adoptándolos, podremos cumplir con la normativa.

Nuevos derechos

Los antiguos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) son ampliados con dos nuevos:

  • derecho al olvido
  • portabilidad de los datos

¿Y la LOPD?

Para comenzar, lo primero que debemos conocer es que en función de los datos que tratamos deberemos de implementar unas u otras medidas de seguridad.

Al poseer datos sensibles, como son los de salud, personalidad… deberemos llevar a cabo las siguientes cuestiones.

Cómo implantar el RGPD y la LOPD en un centro de estética

Lo primero que me gustaría dejar claro es que no es necesario contar con un especialista externo para cumplir con la normativa.

Pero si prefieres estar tranquilo/a, debido a la complejidad de ambas normas, y que pueden escapar, muchas veces a nuestros conocimientos, es muy recomendable contar con asesoramiento experto, ya que ello nos evitará “sustos” por desconocimiento de alguna interpretación de las normas.

En ambos casos, los pasos para el proceso de implantación de la normativa en Protección de Datos serán los siguientes.

como cumplir la normativa de proteccion de datos en agencias de viajes

Identifica los ficheros o datos personales

Se deben identificar los tratamientos que contengan datos de carácter personal. Con total seguridad serán datos de:

  • empleados
  • pacientes
  • clientes
  • proveedores

A continuación, especificar la finalidad para que se usan esos datos.

Reconocimiento del nivel de seguridad que se les aplica

Una vez identificados los ficheros se deberán analizar los riesgos que supone tratar con esos datos en nuestro centro para determinar las medidas de seguridad que deberemos adoptar.

Evaluar el nivel de seguridad es muy importante porque no es el mismo el riesgo que se da en el tratamiento en los datos de los empleados que en el de los pacientes.

Evaluación de Impacto

En el caso particular de los centros de estética, por la actividad que realizan y el riesgo que pueden suponer para los derechos y libertades de nuestros pacientes, el RPGD nos obliga a realizar una Evaluación de Impacto.

¿Cómo se hace una EIPD?

Me gustaría escribir que es fácil, sencillo… ¡pero no!

Realizar correctamente una Evaluación de Impacto para un centro de estética requiere de bastante tiempo.

Antes, en caso de inspección la AEPD solicitaba el Informe de Auditoría, ahora te reclamaran la EIPD.

Aquí encontrarás un artículo sobre cómo realizar una Evaluación de Impacto.

Inscripción de los ficheros

Desde el 25 de mayo de 2018 no deben inscribirse los ficheros ante la Autoridad de Control, la Agencia Española de Protección de Datos.

A partir de esa fecha, se deberá llevar a cabo un registro interno de estos ficheros. Este documento es conocido como Registro de las Actividades de Tratamiento.

Al tratar datos sensibles, los centros de estética estarán obligados a su redacción.

Documento de Seguridad

El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como los ficheros inscritos, empleados que acceden a los datos, sistemas de seguridad instalados, registro de incidencias, etc.

Contrato de confidencialidad

Se deberá firmar un compromiso de confidencialidad para los empleados, colaboradores y todos aquellos que tengan acceso a las historia clínicas, debido a la criticidad de los datos para las libertades y derechos de los pacientes.

Formación

El Responsable del Fichero como máxima figura en el tratamiento de datos, deberá tener una formación en la materia que le permita tratar los datos conforme a la normativa.

Delegado de Protección de Datos

En este caso en particular, como antes se ha comentado, se pueden llegar a tratar datos de historias clínicas, la normativa exige que se cuente con un una figura de responsabilidad experta en la materia, el Delegado de Protección de Datos.

Información a los propietarios de los datos

Es necesario informar a los afectados por el tratamiento de, al menos:

  • nombre del responsable
  • legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
  • finalidad del tratamiento
  • el derecho de los interesados, incluyendo el interponer una reclamación ante la AEPD y como ejercitarlos
  • el derecho de los interesados, incluyendo el interponer una reclamación ante la AEPD

Plazo de conservación de los datos

Una de las novedades que nos presenta el RGPD, mediante su principio de Accountabilty (responsabilidad proactiva), es la necesidad de informar del plazo de conservación de los datos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

Auditorías periódicas

Además en nuestro caso, como profesionales de la estética, debido al nivel de datos que tratamos estaremos obligados a hacer auditorías bienales como mínimo.

La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.

La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.

Estos informes serán revisados para adoptar las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.

Preguntas frecuentes que nos hacen los centros de estética

¿Estoy obligado a cumplir la LOPD?

, porque en la actividad profesional se tratan datos de terceras personas.

¿Cuándo trato datos de carácter personal?

Siempre que se traten datos que permitan identificar a una tercera persona física, como un paciente o empleado.

Hay que destacar que la legislación actual no incluye a las empresas o sociedad en la protección de datos, es decir a las persona jurídicas.

¿Que tipo de consentimiento me tiene que firmar mis pacientes para que pueda tratar su datos?

Al tratar datos sensibles, el consentimiento debe se ser expreso, es decir con una clara acción afirmativa por parte del paciente así como también específico para cada tratamiento.

Por ejemplo, si primeramente recabamos el consentimiento para tratar sus datos con fines médicos y, más adelante queremos utilizar dichos datos para una campaña de marketing u otra finalidad diferente a la primera, deberemos volver a solicitar su consentimiento para esta nueva acción.

¿Cuanto tiempo puedo guardar los expedientes de mis pacientes?

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica, los cuales detallamos más en profundidad en el siguiente enlace.

¿Debo contratar un DPO?

Un centro de estética sí deberá contar con la figura del Delegado de Protección de Datos.

Aclarar que la alternativa a contratar un DPO externo es disponer de un delegado interno, es decir, alguien del centro que pueda acreditar formación en materia de protección de datos.

¿Puedo usar mensajería instantánea para enviar datos de mis pacientes?

El debate ha permanecido en los últimos años, pero se ha avivado en los últimos meses.

La comunicación de datos médicos confidenciales mediante mensajes de texto SMS y otro tipo de mensajes electrónicos no cifrados está prohibido, por infringir las leyes de Protección de Datos.

Consejos prácticos para comunicaciones electrónicas con datos de salud

  • Los centros de salud y clínicas deben implementar políticas para impedir el uso de mensajes de texto no seguros tanto entre los propios médicos como con los pacientes para comunicar información de la salud de un paciente.
  • Los sistemas de comunicación directa con el software médico son los únicos admitidos como medio de comunicación con los pacientes. Si este sistema de comunicación directa no puede ser utilizado, debe ser reemplazado por una llamada telefónica.
  • El envío de recetas y otras órdenes médicas a través de mensajes SMS u otro tipo de mensajes seguros cifrados está prohibido.

Síntesis para que un centro de estética cumpla la LOPD

Por lo tanto, según lo expuesto, si queremos cumplir con la normativa, debemos hacer hincapié en los siguientes puntos:

  1. Tener actualizada y firmada toda la documentación
  2. Firmar compromiso de confidencialidad de empleados
  3. Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
  4. Establecer las medidas de seguridad conforme a los riesgos detectados
  5. Dar de alta los ficheros en la AEPD y redactar el Registro de las Actividades de Tratamiento
  6. Informar a los interesados del tratamiento de sus datos y derechos
  7. Elaborar el Documento de Seguridad
  8. Nombrar un Delegado de Protección de Datos

Esperamos haberte facilitado la implementación de esta normativa en el caso de que trates datos en el ámbito de la estética

Y, si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Ático34.

Related posts
Sectores

Protección de datos de las Iglesias y entidades religiosas

7 Mins read
Con las importantes novedades introducidas en materia de Protección de datos por el RGPD y la posterior LOPDGDD, recibimos numerosas consultas sobre…
SanidadSectores

¿Quién y por qué puede ver mi historial médico?

5 Mins read
Los datos relacionados con la salud están considerados como información de carácter personal y sensible y, por tanto, están altamente protegidos por…
SanidadSectores

Pulseras E-Health y la Protección de Datos

8 Mins read
La pulsera inteligente o pulseras healthcare ha pasado desde hace algunos años, a formar parte de nuestro día a día, integrándose con naturalidad…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.