Centros de Psicología.RGPD

Para comenzar, lo primero que debemos conocer es que, en función de los datos que tratamos, deberemos de implementar unas u otras medidas de seguridad.

Al poseer datos sensibles, como son los de salud, personalidad… deberemos llevar a cabo las siguientes cuestiones.

Cómo implantar el RGPD y la LOPDyGDD en un centro de psicología

Lo primero que nos gustaría dejar claro es que no es necesario contar con un especialista externo para cumplir con la normativa.

Pero si prefieres estar tranquilo/a, debido a la complejidad de ambas normas, y que pueden escapar, muchas veces a nuestros conocimientos, es muy recomendable contar con asesoramiento experto, ya que ello nos evitará “sustos” por desconocimiento de alguna interpretación de las normas.

En ambos casos, los pasos para el proceso de implantación de la normativa en Protección de Datos serán los siguientes.

Identificar ficheros psicólogos

1. Identificar los ficheros o datos personales.

Se deben identificar los tratamientos que contengan datos de carácter personal. Con total seguridad serán datos de:

  • empleados
  • pacientes
  • clientes
  • proveedores

A continuación, especificar la finalidad para la que se usan esos datos.

2. Reconocimiento del nivel de seguridad que se les aplica.

Una vez identificados los ficheros se deberán analizar los riesgos que supone tratar con esos datos en nuestro centro para determinar las medidas de seguridad que deberemos adoptar.

Evaluar el nivel de seguridad es muy importante porque no es el mismo, el riesgo que se da en el tratamiento en los datos de los empleados, que en el de los pacientes.

3. Evaluación de Impacto.

En el caso particular de los psicólogos, por la actividad que realizan, y el riesgo que pueden suponer para los derechos y libertades de nuestros pacientes, el RPGD nos obliga a realizar una Evaluación de Impacto.

Aquí encontrarás un artículo sobre cómo realizar una Evaluación de Impacto.

grafico EIPD

4. Elaborar un Registro de Actividades de Tratamiento.

Al tratar datos sensibles, los psicólogos estarán obligados a su redacción. Si deseas saber como elaborar un Registro de actividades de tratamiento pincha aquí.

5. Documento de Seguridad.

El Documento de Seguridad, es un documento en el cual se resume todo aquello relativo al tratamiento de datos personales dentro de la actividad profesional, como los ficheros tratados, empleados que acceden a los datos, sistemas de seguridad instalados, registro de incidencias, etc.

6. Contratos de confidencialidad.

Se deberá firmar un compromiso de confidencialidad con los empleados, con los colaboradores, y con todos aquellos que tengan acceso a las historia clínicas, debido a la criticidad de los datos para las libertades y derechos de los pacientes.

7. Formación.

El Responsable del tratamiento, deberá tener una formación en la materia que le permita tratar los datos conforme a la normativa.

DPD Psicólogos

8. Delegado de Protección de Datos.

En este caso en particular, se pueden llegar a tratar datos de historias clínicas, por lo que la normativa exige que se cuente con un una figura de responsabilidad experta en la materia, el Delegado de Protección de Datos.

9. Información a los propietarios de los datos.

Es necesario informar a los afectados por el tratamiento de, al menos:

  • nombre del responsable
  • legitimación para la recogida de los datos, es decir, el por qué del tratamiento de los datos
  • finalidad del tratamiento
  • derechos de los interesados, incluyendo el interponer una reclamación ante la AEPD y como ejercitarlos

10. Plazo de conservación de los datos.

En líneas generales los plazos de conservación de la historia clínica y expedientes del paciente suele ser de 5 años a contar desde el último tratamiento.

No obstante dependiendo de la Comunidad Autónoma donde ejerzas hay diferentes plazos para diferente documentación clínica.

11. Auditorías periódicas.

Como psicólogos, y debido al nivel de datos que tratamos, estaremos obligados a hacer auditorías bienales como mínimo.

La realización de la auditoría será también obligatoria en el caso de cambios en los sistemas de información que puedan afectar a las medidas ya implantadas.

La auditoría se podrá realizar de forma interna o externa y finalizará con un Informe que determinará si nuestra empresa se adecua o no a la Ley, y en el caso de no cumplir con ella, indicará cuáles son las deficiencias y recomendará las medidas correctoras necesarias.

Estos informes serán revisados para adoptar las medidas correctoras necesarias, quedando este informe a disposición de la AEPD y de las autoridades de control de cada Comunidad Autónoma.

12. Consentimiento.

Procurar el consentimiento inequívoco y expreso, no tácito, del paciente para el uso de sus datos.

13. Cláusulas.

Es necesario actualizar las cláusulas de los contratos, ya que se exige una mayor vigilancia con respecto a los terceros que contratamos para que nos presten un servicio también cumplan con la normativa.

Asimismo, es necesario dar mayor información a las personas que tratamos sus datos.

14. Confidencialidad.

Los datos que se tratan en un centro de psicología pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad que deben firmar los trabajadores, así como también, las repercusiones si faltan al mismo.

15. Notificación brechas de seguridad.

Estaremos obligados a notificar una brecha o violación de seguridad si la misma afecta a datos personales y cuando la misma constituya un riesgo para los derechos y las libertades de las personas físicas.

16. Proveedores.

Elección responsable de los proveedores externos que accedan a los datos, como por ejemplo: la gestoría que nos elabora las nóminas,  o la empresa encargada del mantenimiento informático de nuestros ordenadores.

Si nosotros cumplimos con la normativa ellos también deben hacerlo.

17. Códigos de conducta y certificados.

Se está fomentando la redacción de códigos de conducta y certificaciones mediante los cuales, cumpliendo sus exigencias y adoptándolos, podremos cumplir con la normativa.

18. No usar mensajería instantánea para enviar datos de los pacientes.

La comunicación de datos médicos confidenciales mediante mensajes de texto SMS y otro tipo de mensajes electrónicos no cifrados está prohibido, por infringir las leyes de Protección de Datos.

PSICOLOGOS Y RGPD

Conclusión

Por lo tanto, según lo expuesto, si queremos cumplir con la normativa, debemos hacer hincapié en los siguientes puntos:

  1. Tener actualizada y firmada toda la documentación.
  2. Firmar el compromiso de confidencialidad de empleados.
  3. Analizar previamente al tratamiento los riesgos que puede conllevar el mismo.
  4. Establecer las medidas de seguridad conforme a los riesgos detectados.
  5. Redactar el Registro de las Actividades de Tratamiento.
  6. Informar a los interesados del tratamiento de sus datos y derechos.
  7. Elaborar el Documento de Seguridad.
  8. Nombrar un Delegado de Protección de Datos.

Esperamos haberte facilitado la implementación de esta normativa en el caso de que trates datos en el ámbito de la psicología.