Las clínicas de psicología clínica y sanitaria son consideradas centros sanitarios y, como parte de su actividad principal, tratan datos de salud en las historias clínicas de sus pacientes. Los datos relativos la salud psicológica de las personas son considerados categorías especiales de datos de acuerdo con el Reglamento General de Protección de Datos. En consecuencia, las clínicas están obligadas a confeccionar e implantar un plan de cumplimiento en materia de protección de datos.

Como parte del cumplimiento de la protección de datos de las consultas psicológicas, los Responsables deberán diseñar e implantar una serie de obligaciones legales para evitar o al menos mitigar el riesgo de sanciones. Es importante recordar que las sanciones pueden llegar hasta los 20 millones de euros o al 4% de la facturación del ejercicio anterior, lo cual podría suponer un desastre económico o incluso el cierre de la sociedad. Ello sin hablar de los posibles daños reputacionales y de pérdida de confianza de los clientes que podría acarrear la publicación de una resolución sancionadora de protección de datos, lo cual para este sector es clave.

A continuación, explicamos cuales son las obligaciones fundamentales en materia de protección de datos que deben cumplir los centros de atención y consulta psicológica:

Los centros de psicología están obligados a conservar las historias clínicas de pacientes, es por esto que, de acuerdo con el Reglamento General de Protección de Datos (RGPD), y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), están legalmente obligados a designar a un Delegado de Protección de Datos (DPD), salvo que se trate de un profesional autónomo que presta servicios en su consulta con algún personal de apoyo.

El DPD deberá cumplir los requisitos de cualificación profesional y, en particular, acreditar conocimientos especializados del derecho y la práctica jurídica en protección de datos. Debido a esta exigencia profesional, y a los costes que podría suponer la contratación interna de una persona para esta función, la mayoría de las clínicas de psicología opta por externalizar esta figura con despachos de abogados especializados en protección de datos. Al momento de externalizar esta figura, es conveniente recurrir a profesionales o despachos que cuenten con la certificación de DPD expedida de acuerdo con el esquema nacional de la AEPD, como garantía y seguridad.

2. Elaborar un Registro de Actividades de Tratamiento (RAT).

Los centros de psicología deben elaborar el denominado “registro de actividades de tratamiento”. En él se deben describir fundamentalmente los datos que se recogen, la finalidad, la legitimación, las medidas de seguridad que se aplican, si el tratamiento es manual, mixto o automatizado, si se prevén cesiones de estos datos a terceros y los plazos de conservación de la información. Esta es una obligación de complejidad baja-media.

3. Realizar el análisis de riesgos.

Las consultas de psicología deben realizar un análisis de riesgos de las actividades de tratamiento. Se trata de un informe que identifica las amenazas, así como la probabilidad y el impacto que podría suponer que estas amenazas se materialicen. Si del análisis resulta un riesgo elevado para los derechos y libertades de los interesados se procederá a realizar también una evaluación de impacto, que consiste en un estudio más profundo del riesgo y en la determinación de medidas de seguridad específicas y efectivas para mitigarlo. Suele ser una obligación de complejidad media-alta, pero además de obligatoria, resulta necesaria para poder determinar las medidas que implantaremos posteriormente.

4. Informar a los interesados.

Las personas afectadas por el tratamiento deben recibir información al respecto en el momento en el que se produzca la recogida de datos. Para informar a los pacientes, por ejemplo, se pueden colocar carteles informativos en área de recepción, o más recomendable aún, contar con cláusulas de protección de datos en los formularios de recogida de datos.

Cuando se trate de pacientes menores de 14 años, el tratamiento de datos personales debe ser autorizado por sus padres o tutores. Tanto por la normativa de sanidad como de protección de datos, la información y el consentimiento pueden ser verbales, pero difícilmente serán acreditables si no se ha dejado constancia escrita.

Si las clínicas de psicología tienen página web, deben incluir cláusulas informativas y de consentimiento según proceda en su web, tales como la política de privacidad, la política de cookies y el aviso legal general, como mínimo.

5. Recabar el consentimiento para el tratamiento de datos.

Como norma general los centros y establecimientos sanitarios tratan los datos de pacientes y clientes basados en el cumplimiento de obligaciones legales y en la ejecución de un contrato. No obstante, existen determinados tratamientos de datos que requieren el consentimiento, como pueden ser, por ejemplo, la grabación de la consulta de psicología como material para que el profesional pueda realizar el estudio del caso, y valorar evolución del paciente. Resulta imprescindible en las clínicas de psicología evaluar qué tratamientos requieren el consentimiento y redactar cláusulas específicas que les permitan cumplir con esta obligación.

6. Permitir el ejercicio de derechos del interesado.

Se debe establecer un protocolo para el ejercicio de derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, de tal forma que los pacientes tengan en todo momento el control sobre su información. Para ello las consultas de psicología deben tener disponibles los modelos para que los interesados puedan solicitar por escrito el ejercicio sus derechos. También pueden habilitarse formularios online.

Es importante contestar siempre a cada solicitud y dentro del plazo máximo de un mes. La contestación deficiente o fuera de plazo constituye una infracción de acuerdo con lo establecido en el RGPD. Las bajas en el envío de publicidad suelen ser las que mayor número de conflictos generan.

7. Firmar los compromisos de confidencialidad con los empleados.

Los empleados van a tener acceso a la información de pacientes, por lo que deberán firmar un compromiso de confidencialidad (en forma de acuerdo, contrato o política). Es muy importante que los empleados conozcan las medidas de seguridad que se implantan en la clínica y se comprometan a cumplirlas.

Resulta clave que todos los profesionales del centro reciban una formación de protección de datos para garantizar el adecuado cumplimiento de la normativa. Una plantilla no formada tiende a cometer errores que pueden suponer elevadas multas a la empresa.

8. Firmar los contratos con los encargados de tratamiento.

Los encargados de tratamiento son aquellas empresas externas que prestan servicios para los que necesitan acceder a datos titularidad del Responsable, tales como la gestorías laborales y contables, las empresas de mantenimiento informáticos y hosting, las empresas de videovigilancia, entre otras. Se deben firmar contratos específicos de protección de datos con los encargados que establezcan las obligaciones que asumen éstos en relación con los datos tratados por cuenta del Responsable. Además, se debe elegir encargados que reúnan las garantías establecidas en la norma y que no pongan en riesgo la información que se les facilita como parte del servicio.

9. Realizar las auditorías periódicas.

Debido a la alta sensibilidad de los datos que son recabados y tratados en un centro de atención y consulta de psicología, y tal y como establece la normativa, se deben realizar de auditorías periódicas que permitan mantener actualizada la documentación. El informe resultante de la auditoría debe quedar a disposición de la Agencia Española de Protección de Datos.

En Umbra Abogados queremos que te dediques a tu negocio, mientras nosotros nos ocupamos de la protección de datos. Nuestro servicio incluye no solo la confección de todos los documentos sino también el Mantenimiento anual y la Defensa Jurídica. Somos Delegados de Protección de Datos Certificados.

Solicítanos un presupuesto ajustado en email info@umbraconsulting.es

Alicia Garrido