Los gabinetes de psicología o centros psicológicos son especialmente sensibles al cumplimiento RGPD dado que deben tratar datos sensibles en su día a día.
Sabiendo que los psicólogos en las clínicas o gabinetes tratan datos de salud, deben tener especial diligencia con las historias clínicas de los pacientes, los consentimientos informados, así como todas las demás pruebas, que se necesitan para el diagnóstico y tratamiento de los pacientes.
Por la importacia que tiene, te avanzamos en este post las claves para cumplir con el Reglamento Europeo 2016/679
(RGPD) y la ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD)
8 ASPECTOS CLAVE DEL RGPD Y LA PSICOLOGÍA
Identificar qué datos tratamos
El gabinete de psicología o psicólogo cuenta con diferentes tratamientos de datos, en función de los datos y la finalidad de los mismos. Se deben identificar y clasificar por procedencia y finalidad
Normalmente, se van a tratar los siguientes tipos de datos
- Datos de empleados
- Datos clientes/pacientes
- Datos de contactos
- Historias clínicas de pacientes
- Proveedores
- Datos de imágenes
Identificar el riesgo – aplicar medidas y, en su caso, evaluar el impacto
Una vez identificados los tratamientos, se debe analizar el riesgo que implica tratar con esos datos en los centros, para determinar las medidas de seguridad que se han de adoptar.
Cada tratamiento tendrá un nivel de seguridad diferente. No implica el mismo riesgo tener datos académicos de un empleado que una historia clínica con datos de salud.
Además, hoy en día, que se tratan datos en formatos electrónicos y se comunican de la misma manera, las medidas han de ser más reforzadas al entrañar otros riesgos
En el caso particular de los psicólogos, por la actividad que realizan y el riesgo que pueden suponer, el RPGD nos obliga además a realizar una Evaluación de Impacto (EIDP).
La verdad, realizar esta evaluación correctamente requiere de bastante tiempo y conocimientos que los psicólogos no suelen tener.
Por eso recomendamos que se encargue la tarea a expertos para evitar sustos por desconocimiento.
Realizar el Registro de Actividades y Tratamientos
Se trata de un informe que define cada finalidad, cada tratamiento y cada riesgo nivelado que se genera en la actividad.
Es un informe elaborado, con tipo de datos, procedencias, medidas de seguridad, finalidaes, destinatarios de las cesiones, etc…
Crear cláusulas legales informativas para cada tratamiento en documentos que contengan datos personales e Información a clientes y empleados
Una de las obligaciones es SIEMPRE informar acerca de la finalidad de cada tratamiento, tiempo de conservación de los datos y derechos que asisten al interesado. Se deben crear estos avisos para cada documento que contenga datos personales
Además, es necesario informar explícitamente y por escrito de:
- Nombre del responsable del fichero.
- Motivo de la recogida de los datos.
- Finalidad de la recogida de los datos.
- Derechos de los interesados a rectificar, modificar o eliminar sus datos.
Para esto, conviene redactar un documento en el que se recojan los derechos en materia de protección de datos para que firmen los pacientes.
Conviene elaborar un modelo de consentimiento para el tratamiento de los datos personales y tener un procedimiento propio para gestionar estos consentimientos que debemos poder probar que se informó o que se firmó
¿Cómo dice la ley que debe ser este consentimiento?
- Libre: el contrato debe ser firmado en un marco de libertad. La concesión del mismo no puede estar condicionado a, por ejemplo, una rebaja en un servicio, consecución de un producto, o a cualquier otro tipo de condición.
- Específico: si el tratamiento de los datos tiene varias finalidades, se debe recoger el consentimiento para cada una de ellas. Además, hay que informar del plazo de conservación de los datos que, para historias clínicas es de 5 años a contar desde el alta o fin del tratamiento.
- Informado: Se deberá comunicar al cliente la finalidad del tratamiento para el que se quiere recabar el consentimiento, el nombre del responsable del tratamiento, como se van a tratar esos datos y los derechos de los que es titular el interesado (acceso, rectificación, supervisión, oposición, etc.)
- Inequívoco: El consentimiento debe estar expresado de forma clara, de manera que no haya lugar a error
En Onciber disponemos de una exclusiva herramienta de firma y gestión de consentimientos.
Contratos de confidencialidad y encargo del tratamiento
Cada empleado o colaborador que tenga acceso a los datos deberá firmar un documento de confidencialidad en el que se comprometa a cumplir con lo dispuesto en el RGPD.
Los proveedores con acceso a la información de las clínicas o gabinetes deben firmar un contrato específico de acceso a la información y garantizar el cumplimiento de la normativa.
Formación y ejercicio de la responsabilidad proactiva
El responsable del tratamiento, como máxima figura responsable, deberá tener una formación en la materia que le permita tratar los datos conforme a la normativa. Por eso, cuando se externaliza el servicio, las empresas encargadas nos guían y orientan siempre en este sentido
Nombramiento del Delegado de Protección de Datos
La nueva normativa exige que se nombre a un responsable experto en RGPD o que supervise el cumplimiento de la normativa.
El DPO será el garante del cumplimiento de la normativa de la protección de datos en las organizaciones.
Es decir, el Delegado de Protección de Datos, deberá contar con conocimientos especializados en protección de datos, informar, asesorar y supervisar el cumplimiento del citado RGPD
Se trata de uno de los aspectos más peliagudos por lo que, lo más recomendable, si no tenemos mucho tiempo para formarnos o atender a todo lo relativo en materia de protección de datos es, nuevamente, contar con una empresa externa que nos facilite la tarea.
Realización de auditorías periódicas
Otra novedad del RGPD es la realización de auditorías los cambios a implementar en caso necesario.
La auditoría se podrá realizar de forma interna o externa.
Ante todo, confía en expertos, confía en ONCIBER
Tenemos un convenio con Cop Madrid
