Las clínicas dentales son consideradas centros sanitarios y, como parte de su actividad principal, tratan datos de salud en las historias clínicas de sus pacientes, un tipo de información que con el Reglamento General de Protección de Datos se incluye dentro de las categorías especiales de datos. En consecuencia, las clínicas están obligadas a confeccionar e implantar un plan de cumplimiento en materia de protección de datos.
Dentro de dicho plan de cumplimiento existen una serie de obligaciones legales que los centros sanitarios deben cumplir para adecuar su actividad a la normativa de protección de datos.
Designar a un Delegado de Protección de Datos (DPO)
De acuerdo con el Reglamento General de Protección de Datos (RGPD), y la nueva Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) recientemente aprobada, los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes deberán designar un Delegado de Protección de Datos (DPO).
El DPO deberá cumplir los requisitos de cualificación profesional y, en particular, acreditar conocimientos especializados del derecho y la práctica jurídica en protección de datos. Debido a esta exigencia profesional, y a los costes que podría suponer la contratación interna de una persona para esta función, la mayoría de clínicas opta por externalizar esta figura con despachos de abogados especializados en protección de datos.
Confeccionar el Registro de Actividades de Tratamiento (RAT)
Conviene comenzar a elaborar el Plan de Protección de Datos confeccionando el Registro de actividades de tratamiento (RAT), en el que se deben describir fundamentalmente los datos que se recogen, la finalidad, la legitimación, las medidas de seguridad que se aplican, si el tratamiento es manual, mixto o automatizado, si se prevén cesiones de estos datos a terceros y los plazos de conservación de la información.
Posteriormente, se debe realizar un análisis de riesgos de las actividades de tratamiento. Si del análisis resulta un riesgo elevado para los derechos y libertades de los interesados se procederá a realizar una evaluación de impacto, que consiste en un estudio más profundo del riesgo y en la determinación de medidas de seguridad específicas y efectivas para mitigarlo.
Proporcionar información sobre recogida de datos
Las clínicas deben cumplir con el principio de transparencia recogido en el RGPD. La información debe facilitarse por medios acreditables al momento de la recogida de datos. Para ello, pueden colocar carteles informativos, o más recomendable aún, contar con cláusulas de protección de datos en los formularios de recogida de datos.
De igual forma, incluir una referencia a la protección de datos en los modelos de consentimientos e información médicos (tales como endodoncia, extracciones, anestesia, cirugía, etc.) permite garantizar que el paciente conozca el destino de su información. Tanto por la normativa de sanidad como de protección de datos, la información y el consentimiento pueden ser verbales, pero difícilmente serán acreditables si no se ha dejado constancia escrita.
Protocolo para que los pacientes ejerzan sus derechos
Se debe establecer un protocolo para el ejercicio de derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, de forma tal que los pacientes tengan en todo momento el control sobre su información.
Para el caso del derecho de acceso y supresión de las historias clínicas, que se suelen ejercitar con mayor frecuencia en este sector, se recomienda contar con modelos específicos que permitan su ejercicio por terceros debidamente acreditados, como pueden ser representantes legales y voluntarios o familiares de fallecidos. Tratándose de derechos personalísimos, no debe permitirse su ejercicio sin identificar correctamente al paciente o a su representante.
Plazos de conservación de las historias clínicas
Las clínicas dentales deben conocer los plazos mínimos de conservación de historias clínicas y los plazos máximos. El plazo mínimo de cinco años viene recogido en la Ley de autonomía del paciente, mientras que el plazo máximo vendrá indicado en la normativa autonómica, pudiendo variar considerablemente entre una comunidad y otra.
Por otro lado, los profesionales del sector de Odontología deben prestar especial atención a las imágenes que se toman de los pacientes, ya que forman parte de su historia clínica y tienen que conservarse por los mismos plazos. De igual manera, hay que hacer hincapié en que deben cumplir con la normativa de protección de datos a la hora de recoger los consentimientos para este tratamiento e informar debidamente a los pacientes.
Confidencialidad en el tratamiento de los datos personales
Los profesionales que prestan servicios en la clínica, sea mediante una relación laboral o mercantil, deben estar sujetos al deber de confidencialidad por escrito y conocer las normas internas sobre gestión de los recursos empresariales. Se debe, por tanto, confeccionar una política de protección de datos y gestión de recursos que debe ser conocida por todos los miembros de la clínica, que estarán sujetos a su cumplimiento.
Los empleados deben recibir una formación específica para la comprensión de dichas normas, puesto que ellos son la maquinaria de cumplimiento y de su compromiso depende en gran medida la disminución de los riesgos en protección de datos.
Asimismo, en caso de externalización de servicios, resulta preceptiva la firma de contratos de confidencialidad con las empresas externas que presten servicios a la clínica con acceso a datos personales. Estos contratos deben cumplir los requisitos que establece el RGPD para su contenido. La selección de prestadores de servicios externalizados debe ser responsable, ya que elegir una empresa externa para que, como parte del servicio, maneje los datos de los pacientes o empleados de la clínica, sin las debidas garantías, supone un riesgo para la clínica, que es en definitiva responsable de los datos.
Como se ha podido comprobar, la creación e implantación en clínicas dentales de un plan de protección de datos verdaderamente efectivo, no tiene por qué significar “vivir para la protección de datos”, sino gestionar la información de manera responsable, lo que revertirá en seguridad jurídica y tranquilidad, además de contribuir a fortalecer la confianza de sus clientes.
