Actualización de mayo de 2018: https://clinic-cloud.com/blog/nueva-ley-proteccion-datos/
__________________________________________________________________
Todos hemos oído hablar alguna vez de la LOPD (Ley Orgánica de Protección de Datos) pero realmente son pocos los que la conocen a fondo y la cumplen. En el sector de Servicios Médicos es de gran importancia su cumplimiento puesto que los datos médicos que manejan las clínicas son datos de carácter más sensible que los personales.
La LOPD se compone de dos partes, una implica un trámite puramente administrativo y la otra afecta al tratamiento de los datos y a la información del afectado.
Para cumplir la primera de las partes debemos, como propietarios de los datos, informar a la AEPD (Agencia Española de Protección de Datos) de qué datos, describiendo tipo y formato, almacenamos de los pacientes. Se hace a través de la web de la agencia rellenando una serie de documentos.
La segunda de las partes implica que:
- Los datos recogidos han de ser de Calidad, sólo deben de almacenarse datos que sean necesarios para realizar la labor administrativa y médica de la clínica.
- Se debe informar al paciente de los datos que se almacenan sobre él y de los derechos ARCO que son los derechos de Acceso, Rectificación, Cancelación y Oposición; y él nos debe dar su consentimiento libre, inequívoco, específico e informado. En este punto la ley exige que para datos personales y referentes a la salud el consentimiento sea expreso, aunque no necesariamente por escrito.
- Se debe almacenar de forma segura los datos, especialmente los médicos. La ley solo dice que se deben aplicar las medidas “técnicas y organizativas necesarias” para la protección de los datos. Si se almacenan físicamente se recomienda que estén bajo llave y protegidos por algún tipo de alarma o vigilancia. En caso de llevar un registro informatizado, éste debe estar protegido con contraseña y la comunicación servidor – equipo debe estar encriptada (SSL). Los datos médicos deberán estar doblemente protegidos es decir, sólo los profesionales médicos de la clínica deben poder acceder a ellos.
- Se debe guardar secreto y no compartir los datos recogidos, en otro caso de debe solicitar el consentimiento expreso por escrito para ello.
- La clínica debe disponer del «documento de seguridad» que detalle todas las medidas que se aplican para cumplir la LOPD de uso interno y éste podrá ser requerido por la administración.
En resumen, que debemos darnos de alta en la AEPD, tener un documento donde detallemos las medidas para cumplir la LOPD que tenemos adoptadas, debemos informar debidamente al paciente y pedirle su consentimiento expreso y usar un Sistema Gestión de los Datos que cumpla con la LOPD:
- Esté protegido con contraseña.
- Use una comunicación segura (encriptado) con la Base de Datos como HTTPS sobre SSL.
- Tenga los datos médicos protegidos y sólo accesibles a usuarios autorizados.
- Debe disponer en la ficha del paciente de un sitio para recoger el consentimiento expreso (una casilla de verificación).
- Y no está de más disponer de la posibilidad de imprimir un documento para recoger el consentimiento expreso por escrito del paciente para el tratamiento de sus datos y aceptación de que sean compartidos por los profesionales médicos de la misma.
¿¿Se os ocurre un software que cumpla con todos estos requisitos y que os facilite el cumplimiento de la LOPD?? A nosotros sí… ¡CLINIC CLOUD!