Un nutricionista recoge numerosa información transcendental relativa a sus pacientes, ya que conoce aspectos específicos de su día a día, datos de salud, etc.
Al tratar datos personales de terceros, ya sean pacientes o empleados, los nutricionistas deben cumplir con la normativa de protección de datos.
Con esta nueva norma, deberás adquirir un mayor compromiso con la privacidad y la gestión de los datos, sobre todo de los pacientes.
Para comenzar, lo primero que debemos conocer es que, en función de los datos que tratamos, deberemos de implementar unas u otras medidas de seguridad.
Al poseer datos sensibles, como son los de salud, personalidad… deberemos tener en consideración las siguientes cuestiones:
Nuevas obligaciones para los centros de nutrición
Son varias las nuevas prácticas que los nutricionistas deben realizar para garantizar que su negocio cumpla el RGPD.
Consentimiento
Procurar el consentimiento inequívoco y expreso, no tácito, del paciente para el uso de sus datos.
Cláusulas
Es necesario actualizar las cláusulas de los contratos, ya que se exige una mayor vigilancia con respecto a los terceros que contratamos para que nos presten un servicio, y también cumplan con la normativa.
Confidencialidad
Los datos que se tratan en un centro de nutrición, o por nutricionistas, pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad que deben firmar los trabajadores, así como también, las repercusiones si faltan al mismo.
Notificación brechas de seguridad
Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.
Proveedores
Elección responsable de los proveedores externos que accedan a los datos, como por ejemplo la gestoría que nos elabora las nóminas o la empresa encargada del mantenimiento informático de nuestros ordenadores.
Si nosotros cumplimos con la normativa, ellos también deben hacerlo.
DPO
Una de las principales novedades del reglamento es la obligatoriedad de disponer de un Delegado de Protección de Datos en nuestro centro.
EIPD
Deberemos elaborar una Evaluación de Impacto en la Protección de Datos Personales (EIPD) para ciertos tratamientos de datos sensibles, ya que para poder gestionar esta información personal habrá que analizar previamente los riesgos.
Códigos de conducta y certificados
Se está fomentando la redacción de códigos de conducta y certificaciones mediante los cuales, cumpliendo sus exigencias y adoptándolos, podremos cumplir con la normativa.
Derechos de los interesados
Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer:
- acceso a los propios datos personales;
- rectificación si los datos son inexactos;
- supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
- limitación del tratamiento;
- portabilidad de los datos;
- oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
- a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
- derecho a presentar una reclamación ante la autoridad de control competente.
En tu centro de nutrición, o como nutricionista, debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.
El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho, los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.
En cuanto al derecho al olvido, o de supresión, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen.
Deberás informar al paciente de cómo, cuándo y dónde puede ejercer tales derechos, y deberás responder dentro del plazo de 1 mes desde que se presentó la reclamación, y de 2 meses cuando se trate de solicitudes más complejas.
Recordemos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.
Plazo de conservación de los datos
En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.
No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.
Auditorías periódicas
Además en nuestro caso, como nutricionistas, debido al nivel de datos que tratamos estaremos obligados a hacer auditorías bienales como mínimo.
La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.
La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.
Estos informes serán revisados para adoptar las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.
No usar mensajería instantánea (watsapp) para enviar datos de los pacientes
La comunicación de datos médicos confidenciales mediante mensajes de texto SMS y otro tipo de mensajes electrónicos no cifrados está prohibido, por infringir las leyes de Protección de Datos.
Si queremos seguir usando aplicaciones de mensajería como Whatsapp, mejor redactar de forma adecuada los consentimientos de los pacientes. Así evitaremos ser sancionados.
Síntesis para que un nutricionista cumpla la LOPD
Por lo tanto, según lo expuesto, si queremos cumplir con la normativa, debemos hacer hincapié en los siguientes puntos:
- Tener actualizada y firmada toda la documentación
- Firmar compromiso de confidencialidad de empleados
- Analizar previamente al tratamiento los riesgos que puede conllevar el mismo
- Establecer las medidas de seguridad conforme a los riesgos detectados
- Redactar el Registro de las Actividades de Tratamiento
- Informar a los interesados del tratamiento de sus datos y derechos
- Elaborar el Documento de Seguridad
- Nombrar un Delegado de Protección de Datos
Esperamos haberte facilitado la implementación de esta normativa en el caso de que trates datos en el ámbito de la nutrición.
Buenos dias Ana, tengo una web subcontratada a Ionos, que me gestiona la base de datos de clientes. Me indican que debo contratar una ecommerce y anters cubrir la RGPD en mi empresa, aunque yo no tengo ni empleados ni registro de clientes en mi tienda fisica. Es eso correcto? Que necesito realmente si vendo por internet a traves de mi web?
Sí, tu tienda online debe cumplir con la normativa de protección de datos, puesto que tratarás datos personales de tus visitantes y clientes, como el nombre y los apellidos, la dirección de email o la dirección postal. Da igual si los usuarios solo están de paso y no llegan a registrarse o hacer alguna compra, hay aspectos de la normativa de protección de datos que tu e-commerce debe cumplir:
Nos referimos a la inclusión de los textos legales en la tienda online, es decir, el aviso legal, la política de privacidad, la política de cookies y las condiciones generales de venta o contratación.