José Luis Gómez Gómez

¿Recuerdan aquellos tiempos, no tan lejanos, en los que de forma habitual recibíamos cartas de publicidad, correos electrónicos y otros medios de propaganda que inundaban nuestros buzones de casa y las bandejas de entrada de nuestros mails?

¿Qué pasó? ¿Se apiadaron de nosotros los anunciantes? ¿Se asustaron de nuestra crispación y enfado, ante tal avalancha de publicidad?

Sinceramente, no creo que fueran esas las causas que pusieron coto a aquellas prácticas publicitarias, sino la entrada en vigor de una ley, la Ley Orgánica de Protección de Datos (en adelante la L.O.P.D.) y, sobre todo, las fuertes sanciones económicas que la citada Ley establece para los infractores.

Y si bien es cierto que dicha norma nos «venía bien» cuando tenemos la condición de particulares-consumidores, esta Ley también tenía su otra cara incómoda, la que nos afecta como empresarios o profesionales y nos dirigimos a nuestros clientes-pacientes.

Comencemos pues a descubrir la esencia y el alcance de esta norma aplicada a las clínicas dentales.

Finalidad de esta norma

En el caso de las clínicas dentales, la protección de datos tiene como finalidad garantizar al paciente que terceras personas van a utilizar sus datos personales con el respeto debido, de forma que el paciente pueda tener un control sobre los mismos, y en todo momento sepa qué va a hacer quien trata sus datos, para qué los recaba, cómo los trata y para qué los utiliza o a quién los va a ceder o comunicar.

Objeto y ámbito de aplicación de la LOPD

La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento y, por tanto, aplicable tanto a los datos del paciente recogidos en soporte electrónico o informático, como a ficheros en formato papel, y a toda modalidad de uso posterior de esos datos que realicen tanto el sector público como el privado.

Principios de la protección de datos

La LOPD establece como principios básicos:

Principio de calidad de los datos

La aplicación de este principio supone que los datos de carácter personal que se pidan al paciente sólo podrán recogerse para su tratamiento cuando aquellos sean adecuados, pertinentes y no excesivos, para el cumplimiento de las finalidades del fichero.

Además es obligación del responsable del fichero que los datos de carácter personal sean exactos y puestos al día de forma que respondan, con veracidad, a la situación actual del paciente.

Principio del consentimiento

Se puede decir que éste es el principio legitimador. Este «consentimiento» (que nada tiene que ver con el «consentimiento informado») permite al afectado ejercer el control del uso de sus datos personales.

La LOPD exige, como regla general, la prestación del consentimiento previo e inequívoco del afectado para el tratamiento de sus datos. Es una solicitud expresa e independiente del resto de autorizaciones que pueden obtenerse del paciente.

Principio de información en la recogida

Es un principio general de protección de datos que todo ciudadano tiene derecho a conocer la información almacenada sobre sí mismo.

Así, cuando en las clínicas dentales se solicita al paciente datos personales, éste deberá ser previamente informado de modo expreso, preciso e inequívoco de ciertos aspectos como: la existencia de un fichero, la finalidad de la recogida de los datos y los destinatarios de la información, el carácter obligatorio o facultativo de su respuesta, las consecuencias de la obtención de los datos o de la negativa a suministrarlos, la posibilidad de ejercitar los derechos, etc.

Esta información se podrá facilitar al paciente por cualquier medio que permita asegurar que ha recibido la información: siendo aconsejable, por motivos de prueba, que se realice por un medio en el que quede constancia, siendo el más utilizado el medio escrito mediante la recepción de su firma.

Principio de los «datos especialmente protegidos»

La LOPD prevé la necesidad de proteger especialmente unos datos, como son, entre otros, los datos de salud, propios de las clínicas dentales, ya que por la información a la que se refieren pueden generar con mayor facilidad lesiones en otros derechos fundamentales. Como regla general, los datos de salud sólo podrán ser recabados, tratados y cedidos con el consentimiento expreso del paciente; no obstante, la LOPD establece una excepción cuando dicho tratamiento resulte necesario para la prevención o el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos, siempre que dicho tratamiento se realice por un profesional sanitario sujeto al secreto profesional o por persona sujeta asimismo a una obligación equivalente de secreto.

Y como consecuencia de esa especial importancia de los datos de salud, la ley establece para la infracción en estos supuestos una gravedad mayor que para el resto de supuestos, pudiendo imponerse sanciones de entre 300.001 y 600.000 euros.

244_Legislacion1
La LOPD es de aplicación a los datos de carácter personal, que los haga susceptibles de tratamiento, registrados en soporte físico, ya sea electrónico o informático, como ficheros en formato papel.

Principio de seguridad de los datos

No basta con recepcionar adecuadamente los datos, sino que el responsable del fichero en la clínica dental deberá adoptar las medidas técnicas y organizativas necesarias para garantizar la seguridad de esos datos personales, evitando que éstos puedan alterarse, usarse o ser accesibles por personas no autorizadas.

Estas medidas de seguridad se deben recoger en el documento de seguridad, y se dará a conocer a todos los usuarios del sistema de información, los cuales quedan obligados a su cumplimiento.

La Ley de Protección de Datos ha previsto distintos niveles de seguridad, dependiendo de los datos que contenga el fichero y, como ya hemos indicado, en el ámbito de las clínicas dentales el nivel de seguridad será el alto para aquellos ficheros de pacientes que contengan o vayan a tratar datos relativos a la salud.

Principio del deber de secreto

Es una obligación que corresponde al responsable del fichero, en la clínica dental, y a todos aquellos que intervengan en cualquier fase del tratamiento de datos de carácter personal.

Esta obligación se mantiene incluso finalizada la relación que permitió el acceso al fichero, por ejemplo, la de una persona que trabaja en la clínica y se ha extinguido su relación laboral.

Derechos de los pacientes

Veamos ahora cuáles son los derechos básicos que asisten al paciente que acude a la clínica dental:

• Derecho de acceso, que le permitirá conocer los contenidos que sobre él haya en la clínica dental.

• Derecho de oposición, que le permitirá oponerse al contenido del mismo.

• Derecho de rectificación, con el fin de modificar algunos de los datos existentes en el fichero.

• Derecho de cancelación, con la finalidad de dar de baja los citados registros personales.

Las obligaciones de la clínica dental

En relación con esta norma, de forma genérica, se puede decir que las obligaciones del titular del fichero se centran en tomar las medidas necesarias orientadas a impedir el abuso o mal empleo de la información, así como hacer un tratamiento de los datos legal y leal.

Las obligaciones más significativas del titular y responsable del fichero que mantenga un archivo con datos de carácter personal, son las siguientes:

Inscribir el fichero en el Registro General de Protección de Datos

Ello no significa que haya que comunicar los contenidos de los mismos, sino simplemente debe comunicarse que la clínica dispone de un fichero, ya sea manual o informático, que contiene una serie de datos de carácter personal. A tal fin la Agencia Española de Protección de Datos ha elaborado unos impresos que facilitan al titular del fichero su inscripción, y que recoge, entre otros, los datos de identificación del responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad y las cesiones de datos que se prevean realizar.

Recogida y tratamiento adecuado de los datos

Es práctica habitual utilizar formularios o cualquier otro procedimiento para la recogida de datos personales de los pacientes, ahora bien, los mismos deberán adecuarse al principio de calidad, es decir, no deberán contemplar datos excesivos o no necesarios para el fin que se persigue. Esto implica que todos los formularios o cuestionarios que se utilicen deben ser diseñados cuidando de recabar sólo aquellos datos que sean estrictamente necesarios para la finalidad para la que se pide.

Siguiendo los principios establecidos en la LOPD, será obligatorio informar al interesado de que sus datos van a ser almacenados en un fichero, la finalidad para la que se recogen, quiénes van a ser los destinatarios de la información, etc. Recogido en el principio de consentimiento e información del paciente.

Mantenimiento y actualización de datos

Los datos de los pacientes (o de cualquier otro fichero que tenga la clínica dental) deben estar permanente actualizados. No se debe olvidar que el tratamiento de datos es algo «vivo», «dinámico», «que cambia», existen altas, bajas, modificaciones, que exigen que se haga de forma legal.

La finalidad es contar, pues, con una información precisa y completa respecto a las circunstancias de dicha obtención de datos.

244_Legislacion2
Las personas que trabajan en la clínica están obligadas a guardar secreto sobre los datos de los pacientes.

Facilitar a los afectados el ejercicio de los derechos

El titular del fichero, como responsable del mismo, tiene la obligación de facilitar al paciente, con la diligencia debida y en los plazos establecidos en la Ley, el ejercicio de sus derechos de acceso, rectificación y cancelación sobre los datos personales que obren en poder de la clínica.

En este sentido es recomendable elaborar unos formularios e instrucciones que estén a disposición del paciente para que haga uso de este derecho.

Deber de secreto

El responsable del fichero de la clínica dental, así como quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal (por ejemplo, odontólogos, higienistas, auxiliares, etc.), están obligados al secreto profesional respecto de los mismos y al deber de guardarlos; obligaciones que suscribirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Elaborar e implantar las medidas de seguridad

Con carácter general, cada clínica dental habrá de implantar medidas de seguridad adecuadas al grado de protección de cada uno de los ficheros con datos de carácter personal de que se disponga, que se hará mediante la elaboración del documento de seguridad cuyo cumplimiento será obligatorio para todo el personal que tenga acceso a datos personales y a las aplicaciones informáticas, y que deben incluir, como mínimo: las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad; funciones y obligaciones del personal; estructura de los ficheros, incluyendo una descripción del sistema de información, procedimiento de notificación de incidencias y procedimiento de realización de copias de respaldo. Si bien en una clínica dental, al tratar datos de alto nivel de seguridad, como son los datos de salud, dichas medidas se incrementan al tratarse de datos especialmente protegidos.

Infracciones y sanciones

Como decíamos al principio, el importe de las posibles sanciones ha sido determinante en la paulatina implantación de estas normas en la clínicas dentales. Y es que las multas van desde 900 euros a 600.000 euros.

Unas sanciones muy cuantiosas, y que a algunos de nosotros nos genera serias dudas sobre la racionalidad de las mismas, ya que han puesto en serio peligro de viabilidad a más de una pequeña empresa o clínica que, por no observar esta norma, se ha visto sancionada con fuertes multas.

Conclusiones

A la vista de lo expuesto, debemos concluir que todas las clínicas dentales:

• Deben comunicar a la Agencia Española de Protección de Datos la existencia de sus ficheros, que contengan datos de carácter personal (no se inscriben sus contenidos, sólo la existencia de los mismos).

• Los datos personales que se soliciten a los pacientes deben ser los estrictamente necesarios.

• Debe informarse al paciente de que los datos recogidos van a ser almacenados y tratados.

• Los datos que se recojan deben estar permanentemente actualizados.

• Comunicar al paciente que tiene derecho a acceder a dicha información, a rectificar sus datos e incluso a cancelar los mismos.

• Todas las personas que trabajan en la clínica están obligadas a guardar secreto sobre los datos personales de los pacientes.

• Las clínicas dentales están obligadas a implantar todas las medidas de seguridad adecuadas, destacando el «documento de seguridad».

• Realizar la auditoría (interna o externa) que verifique el correcto cumplimiento cada dos años.

Artículo elaborado por: José Luis Gómez Gómez. Socio de GM-Delyser. Abogados. Especialista en Derecho Sanitario.