Las clínicas capilares son consideradas centros sanitarios y, como parte de su actividad principal, tratan datos de salud en las historias clínicas de sus pacientes. Los datos relativos la salud son considerados categorías especiales de datos de acuerdo con el Reglamento General de Protección de Datos. En consecuencia, las clínicas capilares están obligadas a confeccionar e implantar un plan de cumplimiento en materia de protección de datos.

Como parte del cumplimiento de la protección de datos de las clínicas capilares, los Responsables deberán diseñar e implantar una serie de obligaciones legales para evitar o al menos mitigar el riesgo de sanciones. Es importante recordar que las sanciones pueden llegar hasta los 20 millones de euros o al 4% de la facturación del ejercicio anterior, lo cual podría suponer un desastre económico o incluso el cierre de la sociedad. Ello sin hablar de los posibles daños reputacionales y de pérdida de confianza de los clientes que podría acarrear la publicación de una resolución sancionadora de protección de datos, lo cual para este sector es clave.

A continuación, explicamos las obligaciones de protección de datos que deben cumplir las clínicas capilares, que son fundamentalmente:

   

 1. Designar a un Delegado de Protección de Datos (DPD)

En las clínicas capilares se llevan a cabo tratamientos médicos, por lo que en su consideración de centros sanitarios y de acuerdo con el Reglamento General de Protección de Datos (RGPD), y la nueva Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) recientemente aprobada, en el mantenimiento de las historias clínicas de los pacientes están legalmente obligados a designar un Delegado de Protección de Datos (DPD).

El DPD deberá cumplir los requisitos de cualificación profesional y, en particular, acreditar conocimientos especializados del derecho y la práctica jurídica en protección de datos. Debido a esta exigencia profesional, y a los costes que podría suponer la contratación interna de una persona para esta función, la mayoría de las clínicas capilares opta por externalizar el DPD con despachos de abogados especializados en protección de datos. Para ello es conveniente recurrir a profesionales o despachos que cuenten con la certificación de DPD expedida de acuerdo con el esquema nacional de la AEPD.

 2. Elaborar un Registro de Actividades de Tratamiento (RAT).

Las clínicas capilares deben elaborar el denominado registro de actividades de tratamiento. En él se deben describir fundamentalmente los datos que se recogen, la finalidad, la legitimación, las medidas de seguridad que se aplican, si el tratamiento es manual, mixto o automatizado, si se prevén cesiones de estos datos a terceros y los plazos de conservación de la información.

3. Realizar el análisis de riesgos.

Las clínicas capilares deben realizar un análisis de riesgos de las actividades de tratamiento. Se trata de un informe que identifica las amenazas, así como la probabilidad y el impacto que podría suponer que estas amenazas se materialicen. Si del análisis resulta un riesgo elevado para los derechos y libertades de los interesados se procederá a realizar también una evaluación de impacto, que consiste en un estudio más profundo del riesgo y en la determinación de medidas de seguridad específicas para mitigarlo.

4. Informar a los interesados.

La clínica capilar debe cumplir con el principio de transparencia de acuerdo con lo establecido en el RGPD. Debe informar a los interesados sobre el tratamiento de sus datos, a través de medios acreditables y en el momento de recogida de datos, no de forma posterior. Para informar a los pacientes, por ejemplo, se pueden colocar carteles informativos en área de recepción, o más recomendable aún, contar con cláusulas de protección de datos en los formularios de recogida de datos.

De igual forma, se debe incluir una referencia a la protección de datos en los modelos de consentimientos e información médicos: microinjerto, micropigmentación, test genético, plasma rico en plaquetas, laser, etc. Lo que permite garantizar que el paciente conozca el destino de su información. Tanto por la normativa de sanidad como de protección de datos, la información y el consentimiento pueden ser verbales, pero debe recabarse por escrito para que sea acreditable.

En el caso de contar con una página web, debe incluir los textos legales requeridos: política de privacidad, política de cookies y el aviso legal general, así como cláusulas informativas y de consentimiento según proceda.

5. Recabar el consentimiento para el tratamiento de datos.

Como norma general las clínicas capilares tratan datos de pacientes y clientes basados en el cumplimiento de obligaciones legales y en la ejecución de un contrato. No obstante, existen determinados tratamientos de datos que requieren el consentimiento, como pueden ser la captación de videos o fotos de pacientes para valorar evolución y/o promocionar los servicios en la red. Resulta imprescindible en las clínicas capilares evaluar qué tratamientos requieren el consentimiento y redactar cláusulas específicas que nos permitan cumplir con esta obligación.

6. Permitir el ejercicio de derechos de los interesados.

Se debe establecer un protocolo para el ejercicio de derechos de acceso, rectificación, supresión, oposición, portabilidad y limitación, de tal forma que los pacientes tengan en todo momento el control sobre su información. Para ello las clínicas capilares deben tener disponibles los modelos para que los interesados puedan solicitar por escrito el ejercicio sus derechos. También pueden habilitarse formularios online.

Es importante contestar siempre a cada solicitud y dentro del plazo máximo de un mes. La contestación deficiente o fuera de plazo constituye una infracción del RGPD. Las solicitudes de bajas de publicidad suelen ser las que mayor número de conflictos generan.

7. Firmar los compromisos de confidencialidad con los empleados.

Los empleados van a tener acceso a la información de pacientes, por lo que deberán firmar un compromiso de confidencialidad (en forma de acuerdo, contrato o política). Es muy importante que los empleados conozcan las medidas de seguridad que se implantan en la clínica y se comprometan a cumplirlas.

Resulta clave que todos los profesionales de la clínica capilar reciban una formación de protección de datos para garantizar el adecuado cumplimiento de la normativa. Una plantilla no formada tiende a cometer errores que pueden suponer elevadas multas de protección de datos a la empresa.

8. Firmar los contratos con los encargados de tratamiento.

Los encargados de tratamiento son aquellas empresas externas que prestan servicios para los que necesitan acceder a datos titularidad del Responsable, tales como la gestorías laborales y contables, las empresas de mantenimiento informáticos y hosting, las empresas de videovigilancia, entre otras. Las clínicas capilares deben firmar contratos específicos de protección de datos con los encargados que establezcan las obligaciones que asumen éstos en relación con los datos tratados por cuenta del Responsable. Además, se debe elegir encargados que reúnan las garantías establecidas en la norma y que no pongan en riesgo la información que se les facilita como parte del servicio.

9. Realizar las auditorías periódicas.

Debido a la alta sensibilidad de los datos que son recabados y tratados en una clínica capilar, y tal y como establece la normativa, se deben realizar de auditorías periódicas que permitan mantener actualizada la documentación. El informe resultante de la auditoría debe quedar a disposición de la Agencia Española de Protección de Datos.

En Umbra Abogados queremos que te dediques a tu negocio, mientras nosotros nos ocupamos de la protección de datos. Nuestro servicio incluye no solo la confección de todos los documentos sino también el Mantenimiento anual y la Defensa Jurídica. Somos Delegados de Protección de Datos Certificados.

Alicia Garrido

Solicítanos un presupuesto ajustado en el email info@umbraconsulting.es

Pin It on Pinterest

Share This