El RGPD es la normativa europea para proteger los datos de carácter personal que se aprobó en 2016 y entró en aplicación el 25 de mayo de 2018. Anteriormente, en España nos regíamos por la LOPD desde 1999. La ley obliga a todas las empresas, organismos y personas que manejan datos de carácter personal a cumplir con una serie de normas de seguridad para mantenerlos a salvo.
Existen una serie de elementos que debes cumplir:
Categorías de datos en “tres niveles”: básico (cualquier información relativa a una persona como por ejemplo el nombre, la IP…), especiales (origen étnico, racial, datos genéricos o biométricos, religión, salud, orientación sexual…) y penales (condenas).
No hay que inscribir nada en la AEPD, sino tener un Registro de Actividades de Tratamiento a nivel interno.
Consentimiento expreso
Información en dos capas (Información básica para el formulario -primera capa- + política de privacidad desarrollada -segunda capa-).
Derecho sobre los datos (acceso, rectificación, supresión y portabilidad). Derechos sobre el tratamiento (limitación, oposición, cancelación o elaboración de perfiles) y derecho a presentar reclamaciones ante la Autoridad de Control.
Principios: Licitud, lealtad y transparencia, confidencialidad, fines, conservación, minimización, exactitud, integridad y respuesta proactiva.
Medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
El primer paso es identificar amenazas para conocer el riesgo.
Medidas de seguridad para conservación de datos, restricción de acceso, eliminación, copias de seguridad, protección, riesgos, internacional, auditoria y certificado SSL.
En caso de violación de seguridad, tendremos que notificarlo en un plazo máximo de 72h a la autoridad de control.
La comunicación al interesado se exige si existe probabilidad de alto riesgo.
Referente a clínicas o centros de salud hay unas normás más específicas:
Los datos recogidos han de ser de Calidad, sólo deben de almacenarse datos que sean necesarios para realizar la labor administrativa y médica de la clínica.
Se debe informar al paciente de los datos que se almacenan sobre él y de los derechos ARCO que son los derechos de Acceso, Rectificación, Cancelación y Oposición; y él nos debe dar su consentimiento libre, inequívoco, específico e informado. En este punto la ley exige que para datos personales y referentes a la salud el consentimiento sea expreso, aunque no necesariamente por escrito.
Se debe almacenar de forma segura los datos, especialmente los médicos. La ley solo dice que se deben aplicar las medidas “técnicas y organizativas necesarias” para la protección de los datos. Si se almacenan físicamente se recomienda que estén bajo llave y protegidos por algún tipo de alarma o vigilancia. En caso de llevar un registro informatizado, éste debe estar protegido con contraseña y la comunicación servidor – equipo debe estar encriptada (SSL). Los datos médicos deberán estar doblemente protegidos es decir, sólo los profesionales médicos de la clínica deben poder acceder a ellos.
Se debe guardar secreto y no compartir los datos recogidos, en otro caso de debe solicitar el consentimiento expreso por escrito para ello.
La clínica debe disponer del “documento de seguridad” que detalle todas las medidas que se aplican para cumplir el RGPD de uso interno y éste podrá ser requerido por la administración.
En OptoGestion nos preocupa mucho la privacidad y la seguridad por lo que cumplimos con la normativa y ayudamos a nuestros usuarios a cumplir con ella.
OptoGestion es la Aplicación Online más completa y actualizada que te permite gestionar tu consulta de Optometría y Terapia Visual. Gestión clínica completa, gestión de las fichas de los pacientes, historias clínicas, ejercicios de terapia, formularios, anamnesis, protocolos, certificados, agenda, gestión económica, estadísticas de facturación, tratamientos, diagnósticos y mucho más.