Si eres la persona encargada de la gestión de una clínica de fisioterapia, una de las cuestiones más importantes que deberás tener en cuenta es el tratamiento y protección de datos de carácter personal de los pacientes de tu clínica de fisioterapia. En este artículo trataremos de dar respuesta a las dudas más frecuentes que suelen surgir a la hora de gestionar correctamente la protección de datos en una clínica de fisioterapia.
Contenidos de la entrada
Qué debes saber sobre la protección de datos en tu clínica de fisioterapia?
Además del derecho a la confidencialidad de los datos de salud del paciente por el que todo fisioterapeuta o personal sanitario deberá velar, la normativa vigente en materia de protección de datos exige otras actuaciones. La información de carácter personal sobre la salud de las personas es considerada por la legislación como datos especialmente protegidos, por ello se exigen garantías reforzadas en su tratamiento.
Esto quiere decir que los fisioterapeutas y el personal responsable de una clínica de fisioterapia, deberán conocer y aplicar la regulación sobre el tratamiento de los datos personales y sanitarios que recaban de sus pacientes en el ejercicio de su funciones como personal sanitario.
La práctica más habitual en el sector es recurrir a una consultoría especializada en RGPD/LOPD para clínicas de fisioterapia para recibir asesoramiento en materia de protección de datos. Además, también se deberá tener en cuenta que el software de gestión de clínicas de fisioterapia cumpla con dicha normativa. De esta forma el personal de la clínica no tendrá que preocuparse por la protección de datos de los pacientes, ya que la información se almacenará de forma segura.
Es obligatorio para una clínica de fisioterapia cumplir con las leyes sobre la protección de datos?
Si. Los fisioterapeutas y las clínicas de fisioterapia manejan datos personales de los pacientes. Esto obliga a los centros de fisioterapia a cumplir con la normativa vigente, independientemente del tamaño de la clínica. En caso contrario podrían incurrir en sanciones millonarias que podrían terminar en el cierre de la clínica de fisioterapia.
Qué normativa deben cumplir las clínicas de fisioterapia en materia de protección de datos en España?
En la actualidad las clínicas de fisioterapia que desarrollen su actividad en territorio español deberán cumplir con dos normas en materia de protección de datos: El Reglamento (EU) 2019/679 (RGPD) y la Ley Orgánica 3/2018 (LOPD). Además de algún artículo recogido en otras normas de carácter tranversal.
El Reglamento (EU) 2019/679 también conocido como Reglamento General de Protección de Datos o por sus siglas “RGPD) es de obligado cumplimiento para aquellas empresas que manejen información personal de cualquier tipo y realicen negocios en la Unión Europea.
Para esta misma materia, en España disponemos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, que sustituyó a la LOPD de 1999.
Qué obligaciones tienen las clínicas de fisioterapia en materia de protección de datos?
Registro de actividades de tratamiento:
Es un documento obligatorio para todas las clínicas de fisioterapia. Este documento deberá estar disponible en todo momento y podrá ser requerido por la Agencia Española de Protección de Datos en cualquier momento. Podrá constar por escrito o en formato electrónico. ¿Qué información debe recoger el registro de actividades de tratamiento de datos personales?
• Base jurídica que legitima el tratamiento
• Fines del tratamiento
• Colectivo de personas afectadas
• Categorías de datos que se tratan
• Categorías de destinatarios a los que se pueden comunicar datos personales
• Transferencias internacionales
• Plazos de supresión de los datos personales
• Medidas de seguridad aplicables
Análisis de los riesgos:
La recogida y tratamiento de datos personales en una clínica siempre implica riesgos. Por ello se deberá realizar un análisis en el que se especifiquen los posibles riesgos que implique la recogida y el tratamiento de datos personales en la clínica de fisioterapia. Con esto nos referimos tanto a los datos personales de los fisioterapeutas, de los pacientes de la clínica o de proveedores.
Partiendo de este análisis aplicarán las medidas de protección y seguridad que garanticen la adecuada protección de los datos recogidos frente a posibles brechas de seguridad, ataques informáticos, etc.
Evaluación del impacto
Esta evaluación también tiene como objetivo minimizar los riesgos en el tratamiento y recogida de los datos de los pacientes. Además permite establecer las medidas para la correcta protección de los datos de los pacientes.
Contrato de protección de datos con fisioterapeutas, proveedores y otros terceros
Es frecuente que por motivo de la propia actividad una clínica de fisioterapia tenga que ceder datos a terceras personas: fisioterapeutas colaboradores en el régimen de los trabajadores autónomos, gestorías o asesorías, laboratorios, centros de radio-diagnóstico, etc.
En cualquiera de estas situaciones el representante de la empresa responsable del tratamiento de los datos deberá firmar con el tercero un contrato de encargado del tratamiento de los datos sensibles. De esta forma se asegura el cumplimiento de la normativa de protección de datos por parte del tercero.
Un caso frecuente es el de las empresas de software de gestión de clínicas de fisioterapia. Este se ha vuelto una herramienta de gestión imprescindible para las clínicas por los beneficios que otorga. Si bien es cierto que a la hora de contratar este tipo de software se deberán tener en cuenta aspectos técnicos en cuanto al cumplimiento de la normativa en materia de protección de datos. iBeeClinic cumple con la normativa de protección de datos.
Textos legales en la página web de tu clínica de fisioterapia
Si tu centro de fisioterapia dispone de página web, y recoges información de los pacientes a través de la misma: formularios de contacto, plugin wordpress de reserva de cita previa online para clínicas … también deberás informar a los usuarios de la recogida de estos datos. Se deberán añadir enlaces a:
• Aviso Legal
• Política de Privacidad
• Política de Cookies
Consentimiento de los pacientes
Cuando el paciente acuda a nuestra clínica y nos facilite sus datos personales, este deberá firmar un documento en el que se le informe:
• De la persona o entidad responsable del tratamiento de sus datos
• La finalidad para la que se recogen los datos
• Las condiciones de cesión de datos a terceros. Si procede
• El procedimiento de Acceso, Rectificación, Cancelación, Oposición a la recogida y tratamiento de los datos personales del paciente.
En el caso de clínicas de fisioterapias digitalizadas que utilicen un software de gestión para fisioterapeutas, este proceso podrá realizarse con una capturadora de firmas digital como la e-Pad Link. Quieres saber cómo firma la RPGD el paciente de tu clínica de fisioterapia con iBeeClinic?
Derechos de lo usuarios
El RGPD concede a los pacientes de tu clínica una serie de derechos a los que se le deberá facilitar su acceso cuando este lo solicite. Además de los derechos ARCO ( Acceso, Rectificación, Cancelación, Oposición) mencionados previamente, la normativa también incluye el derecho al olvido y a la portabilidad de los datos.
Notificar brechas de seguridad
Otra de las novedades de la normativa en materia de protección de datos vigente es la obligatoriedad que tienen los responsables del tratamiento de notificar cualquier incidencia de seguridad a los afectados y a la Agencia Española de Protección de Datos, en un plazo máximo de 72 horas. Además también se deberá presentar un Plan de Respuesta ante Incidentes para subsanarlo de forma inmediata.
Nombrar un delegado de protección de datos (DPD) de la clínica
El delegado de protección de datos es la persona encargada de supervisar que se cumple la normativa de protección de datos en los procesos internos de la clínica de fisioterapia.
La ley dice al respecto que será obligatorio contar con un delegado de protección de datos cuando la actividad de la empresa “consista en el tratamiento a gran escala de categorías de datos personales”.
Teniendo esto en cuenta, una clínica de fisioterapia de un trabajador, o incluso un centro mediano, no están obligados a contar con un DPD ya que no se considera que el tratamiento de datos sea a “gran escala” si lo comparamos con un hospital o una red de hospitales.
En cualquier caso, se deberá tener en cuenta que la normativa está en trámite de modificación y se prevé que el hecho de contar con un delegado de protección de datos en una clínica sea obligatorio.
Qué sanciones implica el no cumplimiento de la LOPD/RGPD en tu clínica?
Las infracciones en materia protección de datos en fisioterapia podrán ser consideradas leves, graves y muy graves. La cuantía de las sanciones variará en función del tipo de infracción, el tipo de datos afectados, la intencionalidad o la negligencia así cómo la durabilidad en el tiempo de la infracción.
Las cuantías de la sanción se mueven en un rango entre el 4% de la facturación anual de la clínica hasta los 20.000.000 de €.
Software de gestión de clínicas de fisioterapia y protección de datos
Aunque lo más habitual es que el software cumpla con todos los requisitos, se deberá tratar directamente este aspecto con la empresa. Nuestro software de gestión de clínicas de fisioterapia iBeeClinic cumple con la normativa vigente en materia de protección de datos.
La protección de datos y el cumplimiento de la RGPD/LOPD en tu clínica de fisioterapia con iBeeClinic
iBeeClinic es un Software de Gestión para clínicas de fisioterapia que cumple con la normativa vigente en materia de protección de datos. Con un software para fisioterapia como iBeeClinic los datos personales y de salud de los pacientes de tu clínica se guardarán de forma segura.