La exigente legislación en materia de protección de datos en nuestro país será modificada próximamente por la más que previsible entrada en vigor del futuro Reglamento Europeo de Protección de Datos de Carácter Personal, que viene a establecer criterios homogéneos de aplicabilidad en todos los países de la Unión Europea. No obstante, esta materia, de capital importancia para un profesional sanitario, tiene actualmente muchos requerimientos de carácter jurídico, técnico y organizativo que han de ser tenidos muy en cuenta, pudiendo tener que hacer frente a importantes sanciones por parte de la AEPD (Agencia Española de Protección de Datos).

Para un fisioterapeuta, el cumplimiento de la normativa de protección de datos de carácter personal es de vital importancia. Ello es así por la necesidad del mismo de tratar datos personales que incluyen informaciones relativas a la salud (informes evolutivos, certificados sanitarios o la propia factura emitida).

El presente artículo pretende desarrollar los últimos requerimientos que ha establecido la AEPD para centros sanitarios como son las clínicas de fisioterapia:

INSCRIBIR LOS FICHEROS EN LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

• No sólo debemos inscribir los datos relativos a pacientes, sino también cualquier fichero que por su naturaleza contenga datos personales. Las últimas inspecciones han obligado a profesionales sanitarios a inscribir ficheros relativos a agenda de contactos, facturación, contabilidad, nóminas o currículum vitae. Ojo con esto a la hora de proceder con este requerimiento, pues la mayoría inscribe un fichero relativo al "historial clínico" o "pacientes", cuando los datos personales se tratan de multitud de formas, y no son solo los relativos a los pacientes. No hacerlo puede conllevar la imposición de una sanción económica importante.

CONSENTIMIENTO EXPRESO EN PROTECCIÓN DE DATOS

• El consentimiento al paciente ha de ser claro, conciso y debe informar de forma clara sobre la obtención de datos personales. Probablemente sea esta la obligación mas importante y la que mas problemas plantea. Ha de tenerse muy en cuenta que al tratar datos de salud la ley obliga a pedir un consentimiento expreso. El mismo, es recomendable que se pida mediante la correspondiente cláusula firmada donde se haga mención a los tratamientos de datos, al responsable, las posibles cesiones de datos (hay que estudiar caso por caso a cada mutua o entidad externa que nos lo solicite), los destinatarios de la información, etc. El famoso cartel informativo puede ayudar, pero es mucho más efectivo la firma del paciente. Mucho cuidado con este requerimiento, porque no hacerlo podría conllevar una sanción de 40.000 euros, ya que el profesional estaría tratando datos de salud de un paciente que no le ha dado un consentimiento al respecto. No confundir con el "consentimiento informado", donde el paciente declara que ha sido informado de los riesgos y beneficios del tratamiento con ciertos tratamientos (ej. punción seca). El consentimiento expreso en protección de datos es adicional y protege otro derecho distinto, el de la privacidad.

• Firmar un compromiso de confidencialidad con el gestor / asesor. En muchas ocasiones, las facturas que emite el profesional fisioterapeuta pueden incluir datos de salud (p.ej., lumbalgia, etc). Y esas facturas son cedidas, “tal cual”, al gestor o asesor, el cual necesita esos datos para la gestión de facturación, fiscalidad y contabilidad. Ello hace que el gestor sea depositario de información muy sensible, con datos de salud. Es imprescindible firmar un contrato de privacidad con el gestor, contrato que ha de estar bien redactado, identificándose a los ficheros, las medidas de seguridad, la obligatoriedad de tratarse exclusivamente para finalidades fiscales y contables, etc. Es obligación del profesional fisioterapeuta extender al gestor el mencionado contrato. No hacerlo puede derivar en la imposición de una sanción idéntica a la anterior, dependiendo del volumen de datos tratados y la existencia o no existencia de datos de salud en la factura emitida por el fisioterapeuta.

CUMPLIR CON EL DEBER DE SECRETO

• El art. 10 de la Ley de Protección de datos establece que cualquier persona que tenga conocimiento de una información de carácter personal está obligado a guardar el secreto de la misma. Es muy importante que todo el personal firme las correspondientes cláusulas de confidencialidad, para evitar problemas al respecto.

MEDIDAS DE SEGURIDAD

• Implantar determinadas medidas de seguridad en el sistema de información (ordenadores, portátiles, pdas..) que traten datos personales, diferenciando tres niveles de seguridad en virtud de la sensibilidad de los datos: básico, medio y alto. Se trata del principal caballo de batalla, pues la normativa vigente obliga a la integración de un registro de accesos, un registro de incidencias, un inventariado de soportes, o una descripción del sistema de información en el “día a día” de la entidad.

DOCUMENTACIÓN EN PAPEL

• Toda la documentación en soporte papel debe situarse en dependencias restringidas (armarios bajo llave, cajas fuertes).

DOCUMENTO DE SEGURIDAD

• Elaborar un Documento de Seguridad donde se regulen los procedimientos de seguridad del fisioterapeuta y las funciones del personal que trata datos personales. Este Documento debe estar a disposición de la Agencia ante una inspección. Debe mantenerse actualizado.

AUDITORÍA

• Realizar una Auditoría por profesionales especializados cada dos años, elaborando como resultado de la misma el correspondiente Informe de Auditoría en el que se determinen las medidas correctoras para adaptar al fisioterapeuta a la normativa vigente.

Recordad, que el Colegio mantiene vigente un convenio de colaboración con la entidad Legaltech Consulting, autores de este artículo, con un servicio preferente y con importantes descuentos para colegiados.

Podéis acceder a las condiciones del convenio y datos de contacto a través de la zona restringida de la web, en la opción COLEGIADOS-PROMOCIONES.