Inmersas en el proceso de adaptación al nuevo Reglamento General de Protección de Datos, que se aplica el 25 de mayo, e inicialmente abrumadas por la aparente complejidad, queremos facilitar la tarea a nuestros colegas psicólog@s y resumir brevemente en qué consiste todo este berenjenal.
El nuevo RGPD implica una serie de cambios que conviene tener muy en cuenta para no llevarse sustos innecesarios.
-
Identificación de los ficheros
El gabinete de psicología debe contar con diferentes ficheros, en función de los datos y la finalidad de los mismos.
Normalmente, los ficheros con los que podremos contar en cualquier gabinete de psicología serán:
- Datos académicos y personales de los empleados
- Datos personales de clientes/pacientes
- Historias clínicas de pacientes
- Proveedores (aseguradoras)
Los ficheros, si son en papel, podrán ser carpetas situadas en diferentes estancias del centro, protegidas con su correspondiente llave y separando SIEMPRE, datos personales de historias clínicas.
-
Reconocimiento del nivel de seguridad que se les aplica y evaluación de impacto
Una vez elaborados identificados los ficheros, se debe analizar el riesgo que implica tratar con esos datos en nuestro centro, para determinar las medidas de seguridad que se han de adoptar. Cada carpeta o fichero tendrá un nivel de seguridad diferente. No implica el mismo riesgo tener datos académicos de un empleado que una historia clínica con datos de salud.
La AEPD puede asesorarte acerca del nivel de seguridad de cada fichero.
En el caso particular de los psicólogos, por la actividad que realizan y el riesgo que pueden suponer, el RPGD nos obliga además a realizar una Evaluación de Impacto (EIDP).
Pero ¡ojo!, realizarla correctamente requiere de bastante tiempo y conocimientos que los psicólogos no solemos tener. Para esta tarea concreta, recomendamos que se encargue la tarea a una empresa externa para evitar sustos por desconocimiento.
-
Registro de Actividades
Los ficheros de datos deben estar inscritos en, la Agencia Española de Protección de Datos. Este trámite es relativamente sencillo y gratuito. Te recomendamos que contactes directamente con la AEPD.
-
Elaboración del Documento de Seguridad
Una que los ficheros estén inscritos, ha de crearse OBLIGATORIAMENTE un documento denominado Registro de las Actividades de Tratamiento. En este documento, se recoge la información resumida de los tratamientos de la clínica:
- Datos de contacto del responsable o encargado del fichero (normalmente el director/a del centro)
- Fines del tratamiento
- Destinatarios
- Empleados que acceden a los datos
- Medidas de seguridad adoptadas
- Registro de incidencias…
-
Contrato de confidencialidad
Cada empleado o colaborador que tenga acceso a las historia clínicas, deberá firmar un documento de confidencialidad en el que se comprometa a cumplir con lo dispuesto en el RGPD.
Existen varios modelos de este tipo de contratos en internet.
-
Formación
El Responsable del Fichero, como máxima figura en el tratamiento de datos, deberá tener una formación en la materia que le permita tratar los datos conforme a la normativa.
En este sentido, el COP de Madrid ofrece de manera regular formación online gratuita de 15h con el objetivo de facilitar las competencias necesarias que permitan la adecuación del tratamiento de datos en el ejercicio de la psicología a lo dispuesto en la legislación de protección de datos.
-
Nombramiento del Delegado de Protección de Datos
La nueva normativa exige que se nombre a un responsable experto en RGPD o que supervise el cumplimiento de la normativa.
El DPO será el garante del cumplimiento de la normativa de la protección de datos en las organizaciones.
Es decir, el Delegado de Protección de Datos, deberá contar con conocimientos especializados en protección de datos, informar, asesorar y supervisar el cumplimiento del citado RGPD
No obstante, lo anterior, conviene precisar dos cuestiones al respecto:
- El RGPD no exige que deba ser un jurista, pero sí que cuente con conocimientos en la materia.
- El DPO podrá ser interno o externo, persona física o persona jurídica especializada en esta materia.
Se trata de uno de las aspectos más peliagudos por lo que, lo más recomendable, si no tenemos mucho tiempo para formarnos o atender a todo lo relativo en materia de protección de datos es, nuevamente, contar con una empresa externa que nos facilite la tarea.
No obstante, si prefieres no tener que pagar un servicio externo, debes saber que la Agencia Española de Protección de Datos (AEPD) está impulsando junto con Entidad Nacional de Acreditación (ENAC), un modelo de certificación (voluntario) como Delegado de Protección de Datos para formar expertos en la materia.
-
Información a clientes y empleados
Es necesario informar explícitamente y por escrito de:
- Nombre del responsable del fichero.
- Motivo de la recogida de los datos.
- Finalidad de la recogida de los datos.
- Derechos de los interesados a rectificar, modificar o eliminar sus datos.
Para esto, conviene redactar un documento en el que se recojan los derechos en materia de protección de datos para que firmen los pacientes, información que puede consultarse en la página web de la AEPD
Conviene elaborar un CONTRATO DE CONSENTIMIENTO para el tratamiento de los datos personales.
Existen algunos modelos de contratos que puedes encontrar en internet pero, las directrices generales que han de contemplarse en el contrato son las siguientes:
- Libre: el contrato debe ser firmado en un marco de liberta. La concesión del mismo no puede estar condicionado a, por ejemplo, una rebaja en un servicio, consecución de un producto, o a cualquier otro tipo de condición.
- Específico: si el tratamiento de los datos tiene varias finalidades, se debe recoger el consentimiento para cada una de ellas. Además, hay que informar del plazo de conservación de los datos que, para historias clínicas suele ser de 5 años a contar desde el último tratamiento.
- Informado: Se deberá comunicar al cliente la finalidad del tratamiento para el que se quiere recabar el consentimiento, el nombre del responsable del tratamiento, como se van a tratar esos datos y los derechos de los que es titular el interesado (acceso, rectificación, supervisión, oposición, etc.)
- Inequívoco: El concsentimiento debe estar expresado de forma clara, de manera que no haya lugar a error
-
Realización de auditorías periódicas
Otra novedad del RGPD es la realización de auditorías bienales en las que se revisa su tu gabinete se adecua o no a la Ley, se emite un informe y se sugieren los cambios a implementar en caso necesario.
La auditoría se podrá realizar de forma interna o externa.
Nuevamente, bajo nuestro punto de vista, lo más recomendable es contar con una empresa externa que nos facilite la tarea.
CONSEJOS PRÁCTICOS:
- Respira: Toda la normativa y legislación está accesible en la pagina web de la AEPD. Muchas de las modificaciones puedes implantarlas tú mismo sin contar con formación en la materia.
- Delega: si económicamente puedes permitírtelo, contacta con una empresa especializada en materia de protección de datos que te asegure que todo queda bien hecho.
Contacto de interés:
Agencia Española de Protección de Datos
901 100 099 – 912 663 517
C/ Jorge Juan, 6. Madrid
Particularmente importante el cumplimiento en este sector. Por el tema del Código Deontológico. Un saludo.