El 25 de mayo de 2016 entró en vigor en Europa la General Data Protection Regulation o GDPR (Regulación General de Protección de Datos), la norma que sustituye a nuestra LOPD actual. Sin embargo, las autoridades europeas dieron un plazo de 2 años para que las empresas pudieran adaptarse. De modo que fue a partir del 25 de mayo de 2018 cuando empezó a aplicarse de forma efectiva y podrá sancionarse a quien no cumpla (aunque aún no ha habido noticia de ninguna sanción).

Esto supone importantes cambios en la LOPD que tu clínica debe conocer y aplicar. ¿En qué consiste la LOPD 2018? Te explicamos cuáles son los puntos más importantes de la nueva norma.

¿Cómo es la GDRP o nueva LOPD ?

La nueva norma es de obligado cumplimiento para todas aquellas empresas, autónomos, entidades públicas y privadas que gestionen datos personales. Las clínicas son un ejemplo paradigmático de ello ya que manejan información personal bastante sensible (el historial médico de sus pacientes). ¿Qué debes saber cómo responsable de una clínica? Estas son las claves:

Registro obligatorio: Ya desde enero de este año todas las empresas deben llevar un registro con los datos de sus clientes.

Consentimiento: Para proporcionar sus datos a cualquier empresa el usuario debe dar un consentimiento activo y verificable. Es decir, ya no existe el consentimiento implícito.

Tipos de datos: La empresa solo podrá pedir los datos que sean exclusivamente necesarios para llevar a cabo su servicio.

Información al usuario: Para que el usuario esté correctamente informado sobre el tratamiento de sus datos, las clínicas deben dejar claro:

  • La base legal del tratamiento de datos.
  • Los tiempos de retención de esos datos.

Además, la solicitud de consentimiento debe ser inteligible y de fácil acceso (No puede haber “jerga legal” que dificulte su comprensión).

Derecho de acceso: Los usuarios tendrán derecho a saber qué se hace con sus datos, dónde y con qué fin.  Además, la empresa deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico.

Derecho al olvido: A partir de ahora el usuario podrá solicitar la eliminación de datos en tres circunstancias:

  • Los datos han sido obtenidos de forma ilícita.
  • Los datos ya no son necesarios.
  • El usuario ha retirado su consentimiento.

Delegado de protección de datos: esta nueva figura, que será el responsable de supervisar el cumplimiento de la LOPD en la empresa Debe aparecer en cualquier empresa que use bases de datos de organismos públicos o que se dedique al tratamiento de datos masivo.

Estudios de riesgo para modificaciones: En el caso de que la empresa realice alguna modificación sustancial en la gestión de datos (por ejemplo, en soporte o almacenaje) está obligada a hacer un estudio previo de riesgo y viabilidad. El objetivo es evitar que el cambio pueda exponer los datos de los usuarios.

LOPD sanciones destacadas

Uno de los aspectos más destacados de la nueva normativa son las importantes sanciones establecidas en caso de incumplimiento. El nuevo reglamento contempla sanciones mucho más altas que nuestra antigua LOPD. Si antes teníamos tres tipos de infracciones: leves, graves y muy graves, cuya cuantía oscilaba entre los 900 y los 600.000 euros, ahora se contemplan solo dos rangos:

  • Hasta 10 millones de euros o el 2% del volumen de negocio total anual del ejercicio financiero anterior.
  • Hasta 20 millones de euros o 4% de volumen del negocio total anual del ejercicio financiero anterior.

Las multas por infracciones se considerarán caso por caso y tendrán en cuenta una serie de criterios, como la naturaleza intencional de la infracción, el número de sujetos afectados y la existencia o no de infracciones previas.

Es decir, no se tiene porque llegar al límite máximo en el caso de infracciones leves:

En caso de infracción leve, o si la multa que probablemente se impusiera constituyese una carga desproporcionada para una persona física, en lugar de sanción mediante multa puede imponerse un apercibimiento. Debe no obstante prestarse especial atención a la naturaleza, gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante. La imposición de sanciones, incluidas las multas administrativas, debe estar sujeta a garantías procesales suficientes conforme a los principios generales del Derecho de la Unión y de la Carta, entre ellas el derecho a la tutela judicial efectiva y a un proceso con todas las garantías.

Además la normativa abre la puerta a que cada estado miembro pueda también imponer sanciones penales aparte de las administrativas.

La nueva LOPD afecta a todas aquellas empresas que trabajen en la UE (sin importar su tamaño) y manejen información de sus ciudadanos.

Cómo cumplir con la GDRP en clínicas

La forma de evitar sanciones es asegurarte de que cumples con los preceptos de la GDRP. Para ponerse al día la Agencia Española de Protección de Datos ha creado una página con toda la información sobre la nueva normativa. No obstante, si no te aclaras lo mejor es que te pongas en manos de una consultoría de protección de datos para adaptar tu negocio a los requisitos.

Desde Clinic Cloud podemos facilitar el cumplimiento de la LOPD 2018 en clínicas. Nuestro programa de gestión implementa todos los requisitos que marca la ley y garantiza la protección y privacidad de datos de tus pacientes. Por eso garantizamos que nuestro programa cumple con todos los estándares de protección de datos. Con Clinic Cloud mantendrás los datos de tus pacientes a salvo al tiempo que evitas sanciones para tu negocio. Pruébalo sin compromiso durante 15 días.