“A pesar de las dudas existentes en el sector, la respuesta es clara y se encuentra en el artículo 34 de la LOPDGDD”, indican desde Ático34, quienes a través de este artículo explican por qué es necesaria la figura de un Delegado de Protección de Datos para cumplir con la normativa vigente en materia de protección de datos de salud.
La protección de datos en clínicas dentales está condicionada por un aspecto fundamental: el tratamiento de datos relacionados con la salud, como el historial clínico. Dicho de otro modo, esta característica hace que las clínicas dentales estén obligadas a cumplir una serie de requisitos especiales, y uno de los más importantes es el de inscribir un Delegado de Protección de Datos (DPO).
Este es un tema sobre el que existen muchas dudas en el sector. Algunos dentistas y empresarios del gremio alegan que la normativa no deja del todo claro si las clínicas dentales deben tener un Delegado de Protección de Datos. Sin embargo, en Ático34 te confirmamos que sí, y te explicamos por qué.
¿Qué dicen el RGPD y la LOPDGDD sobre la figura del Delegado de Protección de Datos en Clínicas dentales?
Las dudas de las clínicas dentales vienen dadas, principalmente, por la inexactitud del RGPD a la hora de determinar quiénes deben tener un DPO. La normativa europea señala que están obligadas a tenerlo todas aquellas empresas que realicen un tratamiento masivo de datos o que traten datos especialmente protegidos.
Es cierto que esta definición podría dar lugar a cierta interpretación. Por ejemplo, ¿qué se consideraría un tratamiento de datos masivo? ¿Si vivo en un municipio pequeño pero soy el único dentista del municipio, estoy realizando un tratamiento de datos masivo?
Sin embargo, todas estas dudas quedan disipadas si nos vamos al artículo 34 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. Éste señala entre las entidades obligadas a “los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes (…) se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual”.
Por tanto, la normativa no deja lugar a dudas. Cualquiera que desempeñe su actividad profesional en el sector dental bajo la denominación de algún tipo de sociedad, sea cual sea (S.R.L., S.L., S.A, etc.), está obligado a tener un Delegado de Protección de Datos.
¿Qué requisitos ha de cumplir el Delegado de Protección de Datos de una clínica dental?
Uno de los requisitos imprescindibles que debe cumplir un DPO es tener formación y experiencia específica en la materia. Sin embargo, a día de hoy, encontrar profesionales con estas cualidades no es tan sencillo. Por ello, te recomendamos algunas de las empresas especializadas en Protección de Datos, como Grupo Ático34 o Cuatrecasas, que cuentan con equipos de DPO realmente cualificados. Aunque también existen profesionales que ejercen de manera independiente o en pequeños despachos de abogados.
El DPO desempeña un papel crucial en la clínica dental, asesorando en materia de protección de datos, supervisando las labores realizadas por el encargado o responsable del tratamiento y sirviendo de enlace entre la empresa y la AEPD u otras agencias de control autonómicas. En otras palabras, es el responsable último de garantizar el cumplimiento del RGPD y la LOPDGDD en la clínica dental.
Lamentablemente, aún hoy en día, algunas empresas asignan las funciones de DPO a personal interno sin formación especializada o a abogados generalistas readaptados, lo que conlleva riesgos de incumplimiento del RGPD.
Otro requisito fundamental para el Delegado de Protección de Datos es ejercer su labor de manera independiente, velando en todo momento por el cumplimiento de la normativa y respaldando las labores del responsable o encargado del tratamiento.
Además de estos requisitos, existen otras características deseables en un DPO, como habilidades con las nuevas tecnologías, ser proactivo o tener la capacidad de representar a la empresa en caso de litigio.
¿Qué otras exigencias tienen las clínicas dentales respecto al DPO y la protección de datos en general?
El artículo 9 del Reglamento General de Protección de Datos (RGPD) establece las pautas para el tratamiento de categorías especiales de datos, indicando que «quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física«.
Las clínicas dentales tratan datos relacionados con la salud de sus pacientes, por tanto, manejan datos especialmente protegidos. La LOPDGDD obliga a cualquier entidad que realice este tipo de tratamiento a aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de estos datos. Una de estas medidas, como venimos remarcando a lo largo del artículo, es disponer de un Delegado de Protección de Datos.
Cabe destacar también que muchas clínicas del sector desconocen la obligación, no solo de tener un DPO, sino de comunicar su existencia a la autoridad de control en un plazo máximo de 10 días y de publicitar su existencia a través de los medios digitales. En la sede electrónica de la Agencia Española de Protección de Datos (AEPD) hay un formulario disponible para realizar la solicitud.
Tal y como apuntábamos al inicio, la experiencia y el feedback de nuestros lectores indican que solo las empresas especializadas en protección de datos, como Grupo Atico34 u otras consultoras como Cuatrecasas o Garrigues, ofrecen las garantías necesarias para brindar un servicio realmente profesional y eficaz. Hay que tener en cuenta, también, que la figura del DPO es relativamente nueva y que, en cierto modo, es comprensible esta falta de profesionales cualificados.
En resumen, volviendo a la afirmación hecha en el titular y también como recordatorio final, destacamos que la figura del Delegado de Protección de Datos es esencial para cualquier clínica dental, y recordamos que es obligatorio para todas las empresas del sector, salvo para aquellos que ejerzan su profesión a título individual.