Los establecimientos sanitarios tienen acceso, en su actividad diaria, a una gran cantidad de datos que merecen especial protección con el objetivo de preservar la intimidad de los pacientes. Las ópticas, en su consideración de “establecimientos sanitarios” y, como el resto de sus hermanos (farmacias, botiquines, ortopedias, centros de audioprótesis), tratan datos de categorías sensibles de manera sistemática y habitual, concretamente datos relativos a la salud visual de sus pacientes.
En consecuencia, deben cumplir adecuadamente con el Reglamento General de Protección de Datos y la Ley 3/2018 de Protección de Datos y Garantía de los Derechos Digitales. Para ello, deben confeccionar un Plan de Cumplimiento en materia de Protección de Datos que debe incluir, como mínimo, lo siguiente:
- Registro de actividades de tratamiento (RAT): En el RAT se deben describir los datos que se recogen, finalidad, legitimación, medidas de seguridad que se aplican, si el tratamiento es manual, mixto o automatizado, si se prevén cesiones, plazos de conservación… Debe conservarse en la empresa, tenerlo siempre actualizado y a disposición de la Autoridad de Control si ésta nos lo solicita.
- Análisis de riesgo (AR): En el AR se determina el riesgo inicial de cada actividad de tratamiento, y el riesgo residual que resulta una vez implantadas las medidas de seguridad. Para ello, debe valorarse la probabilidad de que se produzcan escenarios de riesgos y el impacto que estos escenarios podrían causar en los derechos y libertades de los interesados en lo que respecta a la protección de sus datos personales si los daños llegaran a producirse.
Pautas para proteger los Datos Personales en las ópticas cuando existen riesgos
Dependiendo del resultado del análisis de riesgos anterior, y de si el tratamiento se realiza a gran escala, la óptica podría necesitar realizar, además:
- Evaluación de impacto: Consiste en realizar un estudio del impacto que un determinado tratamiento de datos considerado de riesgo puede entrañar para los derechos y libertades de los interesados cuyos datos se tratan. Tras ese análisis, se deberá afrontar la gestión eficaz de los riesgos identificados mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos.
- Delegado de Protección de datos: Se deberá designar y notificar a la Agencia de Protección de Datos (AEPD) un Delegado que deberá contar con conocimientos especializados en Derecho y, obviamente, en protección de datos. El Delegado actuará de forma independiente y a él se le atribuyen una serie de funciones reguladas en el art. 39 RGPD, entre las que destacan informar, asesorar y supervisar el cumplimiento del RGPD. No todas las ópticas deberán contar obligatoriamente con esta figura, sino que se requiere un análisis específico para determinarlo. No obstante, la designación voluntaria de esta figura siempre será considerado por la AEPD como un plus de diligencia en el cumplimiento.
Elementos a tener en cuenta dentro de la óptica para cumplir con la protección de datos
- Contratos de confidencialidad con encargados de tratamiento: Se deberán firmar acuerdos de protección de datos con empresas externas que presten servicios a la óptica con acceso a determinados datos. Estas empresas suelen ser asesorías laborales, fiscales y contables, empresas de informática, empresas de videovigilancia, etc. Además de firmar dicho contrato, debemos solicitarles que acrediten el cumplimiento de la normativa actual de protección de datos; de ahí la importancia de ser diligentes en la selección de proveedores.
- Política de protección de datos (PPD): Se debe confeccionar una PPD que establezca las normas para el buen uso de los recursos propios de la Óptica a fin de cumplir con la normativa de aplicación, así como con las obligaciones de confidencialidad del personal respecto al tratamiento de datos que realizan por razón de sus funciones. Los empleados y directivos deben conocerla y comprometerse por escrito al cumplimiento de las obligaciones que contiene.
- Cláusulas de información y consentimiento para clientes y pacientes: Con la nueva normativa, el consentimiento debe ser expreso y específico para cada finalidad. Para recabarlo necesitamos cláusulas que indiquen, entre otros aspectos, datos del Responsable (la óptica), la legitimación, finalidad, posibles cesiones de datos a un tercero (laboratorios o talleres), los derechos que pueden ejercer los pacientes, etc. Se deberá analizar cada canal de entrada de datos, evaluar la finalidad para la que se recoge la información, y determinar en qué casos procede recabar consentimiento y en qué casos podemos basarnos en otra causa de legitimación del tratamiento.
- Modelos para ejercicio de derechos: La óptica deberá contar con un procedimiento para ejercicio de derechos de acceso, rectificación, supresión, portabilidad, limitación y revocación del consentimiento cuando proceda. De igual forma, deberá contar con modelos a disposición de los pacientes para que puedan ejercer dichos derechos.
Con un Plan de Cumplimiento de Protección de Datos que contenga como mínimo estos aspectos, las ópticas pueden incluirse en ese conjunto de empresas que no van a ciegas. Dejarse asesorar por expertos en este sector será la clave para mirar hacia delante con seguridad jurídica y confianza, que permitirá respetar los datos personales y de salud de los pacientes, además de evitar las importantes sanciones a las que se exponen las empresas, más aún cuando son responsables de manejar información sensible.