Protección de datos para veterinarios y clínicas veterinarias

Como sin duda os imagináis, los datos de los animales no están sujetos a la normativa de protección de datos, pero los de sus dueños sí lo están. En esta guía sobre protección de datos para clínicas veterinarias explicamos cómo pueden adaptarse al RGPD y la LOPDGDD estos establecimientos.

¿Deben los veterinarios cumplir la ley de protección de datos?

Puesto que cualquier clínica veterinaria va a tratar los datos personales de los dueños de los animales que atiendan, así como de los empleados que tengan contratados, estas deben cumplir con las obligaciones establecidas en el RGPD y la LOPDGDD en materia de protección de datos, en los mismos términos que cualquier otro negocio.

Debemos tener en cuenta que, aunque los pacientes de la clínica veterinaria son animales, a la hora de atenderlos, por ejemplo, se creará una ficha de la mascota en la que no solo figurarán sus datos, sino también datos personales de su dueño (como mínimo, nombre y apellidos). Además, no podemos olvidar que en el caso de determinadas mascotas, como los perros, hay una normativa que obliga a identificarlos con un sistema de identificación electrónica (el chip), en el que aparecen también los datos de su dueño.

Así mismo, esta obligación es la misma en materia de protección de datos para autónomos y para empresas, es decir, que tanto si se trata de una clínica veterinaria con empleados contratos, como si es un veterinario autónomo, deben cumplir con la normativa.

Descubre cómo te podemos ayudar con la normativa de protección de datos en tu clínica veterinaria.

¿Cómo adaptar la clínica veterinaria al RGPD y la LOPDGDD?

Adaptar la clínica veterinaria al RGPD y la LOPDGDD requiere cumplir con una serie de obligaciones por parte de esta como responsable del tratamiento de datos personales, y poder demostrar que cumple con esas obligaciones, es decir, el primer paso en la protección de datos para veterinarios es cumplir con el principio de responsabilidad proactiva, adoptando las medidas técnicas y organizativas necesarias que garanticen el derecho a la protección de datos de sus clientes y empleados (así como los datos personales de cualquier otra persona física con los que trate en el desarrollo de su actividad).

Registro de actividades de tratamiento

Con carácter general, solo las empresas u organizaciones con más de 250 empleados o que traten datos personales a gran escala, de manera habitual y sistemática o traten datos de categorías especiales (art.9 del RGPD), están obligadas a llevar un registro de actividades de tratamiento (RAT).

En el caso de las clínicas veterinarias, si no se dan estas condiciones (y no, los datos de salud de los animales no son datos de categorías especiales), no están obligadas a hacer el RAT. Sin embargo, se aconseja su elaboración, puesto que ayuda a tener un mejor control y organización de los datos personales que se tratan en el desempeño de la actividad diaria y de las medidas de seguridad que se han aplicado.

De cada tratamiento de datos diferente, se debe realizar el correspondiente registro de actividades de tratamiento, que debe tener el siguiente contenido:

• Datos identificativos del responsable del tratamiento y, en su caso, del encargado del tratamiento y del Delegado de Protección de Datos (DPO).
• Finalidad del tratamiento.
• Legitimación del tratamiento.
• Descripción de categorías de datos e interesados.
• Descripción de destinatarios.
• Si se efectuarán transferencias internacionales de datos y sus garantías.
• Plazo de supresión de los datos.
• Descripción de las medidas de seguridad adoptadas.

El RAT debe conservarse por escrito, incluido el soporte electrónico, y mantenerse actualizado.

Análisis de riesgos

Como paso previo a cualquier tratamiento de datos personales que se vaya a realizar en la clínica veterinaria, es necesario hacer el preceptivo análisis de riesgos, para identificar las amenazas y riesgos que se pueden derivar de dicho tratamiento para los derechos y libertades de los interesados (los titulares de los datos), qué probabilidades hay de que ocurran y qué impacto tendrían y qué medidas de seguridad se deben adoptar para minimizar esas probabilidades y ese impacto.

Por ejemplo, si se va a crear una base de datos con las fichas de los clientes, un riesgo sería el hackeo del sistema informático y la filtración de las fichas con los datos de contacto de los clientes, una medida de seguridad adecuada sería el cifrado de la base de datos.

Cuando el riesgo para los derechos y libertades de los interesados resulte muy elevado, se deberá efectuar una evaluación de impacto en protección de datos (EIPD), aunque es poco probable que en clínicas veterinarias pequeñas se den ese tipo de tratamientos.

Información y derechos de los interesados

Se debe informar a los interesados cuando se realizan tratamientos de sus datos. Esta información puede suministrarse de diferentes maneras, por ejemplo, a través de cláusulas de protección de datos o la política de privacidad.

Como mínimo, se informará de:

• Identidad del responsable del tratamiento y, en su caso, del encargado de tratamiento y del Delegado de Protección de Datos.
• Finalidad del tratamiento.
• Base legitimadora para el tratamiento.
• Plazo de conservación de los datos.
• Ejercicio de los derechos ARSULIPO (antiguos derechos ARCO; acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición).
• La posibilidad de reclamar ante la AEPD (Agencia Española de Protección de Datos).
• Y, en su caso, sobre la toma de decisiones automatizada y la elaboración de perfiles.

Consentimiento de los clientes

Para realizar el tratamiento de datos de los clientes de la clínica veterinaria, será necesario recabar su consentimiento explícito para el tratamiento de sus datos. Esto se puede hacer incluyendo una hoja informativa o cláusula de protección de datos en el momento de contratar el servicio o solicitar una consulta.

Cabe señalar que tratamientos ulteriores pueden no requerir del consentimiento del interesado, cuando este pueda legitimarse en alguna de las condiciones establecidas en el artículo 6.1 del RGPD; en el caso de la clínica veterinaria, letras b), c) o f).

Así mismo, el consentimiento solo es válido para la finalidad especificada y para la que fue recabado, cualquier otra finalidad requerirá de un nuevo consentimiento. Por ejemplo, el interesado habrá dado su consentimiento para abrir una ficha de cliente, pero si la clínica quiere enviarle comunicaciones comerciales, debe recabar otro consentimiento diferente para ello.

Contratos de encargo de tratamiento

En el caso de que la clínica veterinaria deba contratar los servicios un tercero para llevar a cabo alguna actividad y esta requiere de la comunicación de los datos personales que maneja, será necesario elaborar y firmar un contrato de encargo de tratamiento con ese tercero (sería el caso, por ejemplo, de la gestoría que se encargue de las nóminas de los empleados).

En dicho contrato, la clínica veterinaria, como responsable del tratamiento, establecerá las condiciones para el tratamiento, finalidad del mismo, plazo de conservación y medidas de seguridad para el encargado del tratamiento. Así mismo, la clínica veterinaria debe asegurarse previamente que su proveedor o prestador de servicios, cumple con la normativa de protección de datos.

Si la clínica tiene página web

Si la clínica veterinaria tiene una página web para promocionar sus servicios y darse a conocer, esta debe cumplir con las siguientes obligaciones en materia de protección de datos:

• Política de privacidad, en la que se detalle toda la información relativa al tratamiento de la información personal.
• Política de cookies, donde se explique de forma entendible qué son las cookies, qué cookies usa la página web, su titularidad, duración, como bloquearlas o eliminarlas del navegador.
• Aviso legal, en el que debe aparecer la información relativa a la titularidad de la web, referencia a la normativa de protección de datos y funcionamiento de la web.
• Condiciones generales de venta, en caso de que a través de la página web la clínica venda productos a sus clientes.

Estos textos legales deben estar accesibles desde cualquier sección o apartado de la página web de la clínica veterinaria y publicados en subpáginas independientes.

Notificación de brechas de seguridad

En caso de que se produzca una brecha de seguridad que pueda poner en riesgo los datos personales que se tratan en la clínica veterinaria y esto suponga un riesgo para los derechos y libertades de los interesados (los clientes afectados), la clínica deberá notificar el incidente a la AEPD y los propios interesados en un plazo máximo de 72 horas.

Así mismo, se deben poner en marcha las medidas necesarias para poner fin a la brecha de seguridad y evitar que vuelva a ocurrir.

Videovigilancia

En el caso de que la clínica veterinaria haya instalado cámaras de videovigilancia en el local, deberá notificar de la presencia de las mismas a través del cartel de zona videovigilada, colocado en los accesos a las instalaciones.

En el cartel deberá figurar la siguiente información:

• Nombre y datos de contacto del responsable del tratamiento.
• Vía para ejercer los derechos ARSULIPO.
• Plazo de conservación de las imágenes.
• Dónde encontrar toda la información relativa al tratamiento de datos (puede ser una dirección de internet o indicar que se facilitará en la recepción, por ejemplo).

¿Necesitas un Delegado de Protección de Datos?

Las clínicas veterinarias no tienen obligación de designar un Delegado de Protección de Datos, ya que su actividad no se encuentra en las citadas por el artículo 34 de la LOPDGDD. Y salvo que tratarán con datos personales a gran escala y de manera sistemática y habitual, tampoco tendrían que nombrar un DPO.

Pero no tener que nombrar a un Delegado de Protección de Datos obligatorio, no significa que la clínica veterinaria no pueda hacerlo de forma voluntaria, ya que contar con un DPO es garantía de cumplir con la normativa de manera adecuada, puesto que entre sus funciones, están la de asesoramiento, control y supervisión del cumplimiento del RGPD y la LOPDGDD.

Además, el DPO puede ser tanto un empleado interno de la clínica veterinaria que cuente con los conocimientos necesarios en protección de datos, o contratar los servicios de un DPO externo.

Consigue servicios de protección de datos para veterinarios autónomos desde solo 180 euros al año.

Sanciones por no cumplir con la ley de protección de datos en la clínica veterinaria

No cumplir con la ley de protección de datos para veterinarios, puede ser motivo de denuncia y sanción por parte de la AEPD. La cuantía de las sanciones dependerá de la gravedad de la infracción, su duración en el tiempo y el número de interesados afectados, así como de las categorías de datos afectadas.

Con carácter general, estas son las sanciones contempladas en la LOPDGDD:

• Hasta 40.000 euros para infracciones leves (art. 74)
• Entre 40.001 y 300.000 euros para infracciones graves (art. 73)
• Entre 300.001 y 20 millones de euros o el 4% de la facturación anual, la cuantía que resulte superior, para infracciones muy graves (art. 72)

¿Necesitas cumplir con el RGPD y LOPDGDD en tu centro veterinario? Contacta con un especialista

Si en tu clínica veterinaria aún no os habéis adaptado al RGPD y la LOPDGDD o tienes dudas de si estás cumpliendo de manera adecuada la normativa, no lo dudes, y ponte en contacto con Grupo Atico34; nuestro equipo de expertos en protección de datos te ayudará a cumplir con todos los requisitos de la ley de protección de datos para clínicas veterinarias, siempre adaptándose a las necesidades de tu negocio y el volumen de datos que tratas en tu actividad, y resolverán cualquiera de las dudas que puedas tener.