Esto no es así, y deben protegerse todos aquellos datos que se almacenen ya sean, de proveedores, de los pacientes, trabajadores o cualquier dato personal.
Además siempre se debe informar al interesado, mantener la información actualizada, y un aspecto muy importante, firmar los acuerdos de confidencialidad con todo aquel que vaya a tener acceso a estos datos.
Además, no hay que olvidarse de que un fisioterapeuta tiene pacientes, esto quiere decir que posee datos de salud, y estos están especialmente protegidos.
¿Qué deben hacer los Fisioterapeutas para cumplir con el RGPD?
Las tareas a llevar a cabo para el cumplimiento de esta ley son:
1. Identificar los ficheros o datos personales.
Se deben identificar los tratamientos que contengan datos de carácter personal. Con total seguridad serán datos de:
- empleados
- pacientes
- clientes
- proveedores
A continuación, especificar la finalidad para la que se usan esos datos.
2. Reconocimiento del nivel de seguridad que se les aplica.
Una vez identificados los ficheros se deberán analizar los riesgos que supone tratar con esos datos en nuestro centro para determinar las medidas de seguridad que deberemos adoptar.
Evaluar el nivel de seguridad es muy importante porque no es el mismo, el riesgo que se da en el tratamiento en los datos de los empleados, que en el de los pacientes.
3. Evaluación de Impacto.
En el caso particular de los fisioterapeutas, por la actividad que realizan, y el riesgo que pueden suponer para los derechos y libertades de nuestros pacientes, el RPGD nos obliga a realizar una Evaluación de Impacto.
Aquí encontrarás un artículo sobre cómo realizar una Evaluación de Impacto.
4. Elaborar un Registro de Actividades de Tratamiento.
Al tratar datos sensibles, los fisioterapeutas estarán obligados a su redacción. Si deseas saber cómo elaborar un Registro de actividades de tratamiento pincha aquí.
5. Documento de Seguridad.
El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como los ficheros tratados, empleados que acceden a los datos, sistemas de seguridad instalados, registro de incidencias, etc.
6. Contratos de confidencialidad.
Se deberá firmar un compromiso de confidencialidad con los empleados, con los colaboradores, y con todos aquellos que tengan acceso a las historia clínicas, debido a la criticidad de los datos para las libertades y derechos de los pacientes.
7. Formación.
El Responsable del tratamiento, deberá tener una formación en la materia que le permita tratar los datos conforme a la normativa.
8. Delegado de Protección de Datos.
En este caso en particular, se pueden llegar a tratar datos de historias clínicas, por lo que la normativa exige que se cuente con un una figura de responsabilidad experta en la materia, el Delegado de Protección de Datos.
9. Información a los propietarios de los datos.
Es necesario informar a los afectados por el tratamiento de, al menos:
- nombre del responsable.
- legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos.
- finalidad del tratamiento.
- derechos de los interesados, incluyendo el interponer una reclamación ante la AEPD y como ejercitarlos
10. Plazo de conservación de los datos.
En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.
No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.
11. Auditorías periódicas.
Como fisioterapeutas, y debido al nivel de datos que tratamos, estaremos obligados a hacer auditorías bienales como mínimo.
La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.
La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.
Estos informes serán revisados para adoptar las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.
12. Consentimiento.
Procurar que el consentimiento sea inequívoco y expreso, no tácito, del paciente para el uso de sus datos.
13. Cláusulas.
Es necesario actualizar las cláusulas de los contratos, ya que se exige una mayor vigilancia con respecto a los terceros que contratamos para que nos presten un servicio también cumplan con la normativa.
Asimismo, es necesario dar mayor información a las personas que tratamos sus datos.
14. Confidencialidad.
Los datos que se tratan en un centro de fisioterapia, pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad que deben firmar los trabajadores, así como también, las repercusiones si faltan al mismo.
15. Notificación brechas de seguridad.
Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.
16. Proveedores.
Elección responsable de los proveedores externos que accedan a los datos, como por ejemplo: la gestoría que nos elabora las nóminas, o la empresa encargada del mantenimiento informático de nuestros ordenadores.
Si nosotros cumplimos con la normativa ellos también deben hacerlo.
17. Códigos de conducta y certificados.
Se está fomentando la redacción de códigos de conducta y certificaciones mediante los cuales, cumpliendo sus exigencias y adoptándolos, podremos cumplir con la normativa.
18. No usar mensajería instantánea para enviar datos de los pacientes.
La comunicación de datos médicos confidenciales mediante mensajes de texto SMS y otro tipo de mensajes electrónicos no cifrados está prohibido, por infringir las leyes de Protección de Datos.
Conclusión
Por lo tanto, según lo expuesto, si queremos cumplir con la normativa, debemos hacer hincapié en los siguientes puntos:
- 1.Tener actualizada y firmada toda la documentación.
- 2.Firmar el compromiso de confidencialidad de empleados.
- 3.Analizar previamente al tratamiento los riesgos que puede conllevar el mismo.
- 4.Establecer las medidas de seguridad conforme a los riesgos detectados.
- 5.Redactar el Registro de las Actividades de Tratamiento.
- 6.Informar a los interesados del tratamiento de sus datos y derechos.
- 7.Elaborar el Documento de Seguridad.
- 8.Nombrar un Delegado de Protección de Datos.
Esperamos haberte facilitado la implementación de esta normativa en el caso de que trates datos en el ámbito de la fisioterapia.
Tened en cuenta que si no se cumplen con todas estas medidas, o alguna de ellas, se le puede sancionar por ello, y el importe variará dependiendo de la infracción cometida.
