Protección de datos para Nutricionista y Dietistas

Reglamento General de Protección de Datos (RGPD): Norma europea que regula el tratamiento de datos personales en la Unión Europea.

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD): Ley española que adapta el RGPD a la legislación española.

Ley 41/2002 de autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica.

LSSI Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (Si existe página web) 

Debes proteger cualquier información que pueda identificar a un paciente, como: Nombre completo, DNI/NIE, Dirección, Teléfono, Correo electrónico, Historial médico, Resultados de análisis, información sobre su dieta y hábitos alimenticios.

Para cumplir con el Reglamento General de Protección de Datos (RGPD) y garantizar la transparencia en el tratamiento de datos de tus pacientes, debes proporcionarles información clara, concisa y comprensible. A continuación, te indicamos los pasos a seguir:

Identidad y datos de contacto del responsable del tratamiento: Debes indicar quién es el responsable de la gestión de los datos de tus pacientes.

Finalidad del tratamiento: Debes explicar claramente para qué vas a utilizar los datos de tus pacientes, como la prestación de asistencia sanitaria, la gestión de citas, etc.

Base legal del tratamiento: Debes indicar la base legal que te permite tratar los datos de tus pacientes, la relación contractual, la obligación legal o el interés legítimo.

Destinatarios de los datos: Debes informar a tus pacientes si vas a compartir sus datos con terceros, como otros profesionales sanitarios, compañías de seguros, etc.

Derechos de los pacientes: Debes informar a tus pacientes sobre sus derechos en materia de protección de datos, como el derecho de acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad de sus datos. Más abajo te indicamos en qué consisten estos derechos.

Información sobre la existencia de decisiones automatizadas, incluida la elaboración de perfiles: Debes informar a tus pacientes si vas a utilizar sus datos para realizar decisiones automatizadas, como la elaboración de perfiles para la evaluación de riesgos.

Plazo de conservación de los datos: Debes indicar cuánto tiempo vas a conservar los datos de tus pacientes.

La información debe ser proporcionada de forma clara, concisa y comprensible.

Puedes utilizar diferentes formatos para proporcionar la información, como un folleto informativo, un cartel o un aviso en tu página web.

Es importante que la información sea accesible para todos los pacientes, independientemente de su edad, discapacidad o idioma.

Debes proporcionar la información a tus pacientes antes de iniciar el tratamiento de sus datos.

Libre: El paciente debe poder dar su consentimiento sin ninguna presión.

Informado: El paciente debe ser informado de forma clara y comprensible sobre qué datos se van a tratar, para qué se van a utilizar y quién va a tener acceso a ellos.

Específico: El consentimiento debe ser específico para cada tratamiento de datos.

Expreso: El paciente debe dar su consentimiento de forma clara e inequívoca.

Los responsables y encargados del tratamiento de datos personales deberán mantener un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Este registro deberá contener la información que recoge al respecto el artículo 30 del RGPD y que es la siguiente:

El nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos.

Los fines del tratamiento.

Una descripción de las categorías de interesados y de las categorías de datos personales; así como las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales, en su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional.

Los plazos previstos para la supresión de las diferentes categorías de datos.

Una descripción general de las medidas técnicas y organizativas de seguridad.

Un análisis de riesgos en protección de datos es un proceso esencial para identificar, evaluar y mitigar los riesgos asociados al tratamiento de datos personales. Este proceso permite a las organizaciones:

Cumplir con el RGPD: El Reglamento General de Protección de Datos (RGPD) exige que las empresas realicen un análisis de riesgos para determinar qué medidas de seguridad son necesarias para proteger los datos personales.

Proteger los derechos de los interesados: El análisis de riesgos ayuda a identificar y prevenir posibles daños a los derechos y libertades de las personas físicas, como la discriminación, la pérdida de control sobre sus datos o el robo de identidad.

Minimizar el impacto de las brechas de seguridad: Un análisis de riesgos efectivo puede ayudar a reducir el impacto de una brecha de seguridad al identificar las vulnerabilidades y tomar medidas para prevenirlas o mitigarlas.

Optimizar la gestión de datos: El análisis de riesgos permite a las empresas optimizar la gestión de sus datos al identificar los procesos que no son necesarios o que presentan un alto riesgo.

El análisis de riesgos debe seguir una serie de pasos:

Identificar los activos de información: El primer paso es identificar los datos personales que la empresa trata, incluyendo su tipología, sensibilidad y ubicación.

Identificar las amenazas y vulnerabilidades: Es necesario identificar las posibles amenazas a los datos personales, como accesos no autorizados, errores humanos, ataques informáticos o fallos técnicos.

Evaluar el impacto de los riesgos: Se debe evaluar la probabilidad de que cada amenaza se materialice y el impacto potencial que tendría en los derechos y libertades de las personas físicas.

Implementar medidas de seguridad: En base a la evaluación de riesgos, se deben implementar medidas de seguridad técnicas y organizativas para mitigar los riesgos.

Monitorizar y revisar el análisis de riesgos: El análisis de riesgos debe ser un proceso continuo, por lo que es necesario monitorizar y revisar los riesgos de forma regular para asegurar que las medidas de seguridad siguen siendo efectivas.

Un acuerdo de confidencialidad es un contrato legal que establece las obligaciones de las partes firmantes con respecto a la información confidencial que se comparte entre ellas. En el contexto de la protección de datos, este tipo de acuerdo juega un papel fundamental para garantizar la seguridad y privacidad de la información personal.

La información confidencial en un acuerdo de protección de datos puede incluir:

Datos personales: Cualquier información que pueda identificar a una persona física, como nombre, dirección, número de teléfono, correo electrónico, datos bancarios, etc.

Información comercial: Datos relacionados con la actividad comercial de una empresa, como estrategias de marketing, planes de negocio, información financiera, etc.

Información técnica: Patentes, diseños, software, algoritmos, etc.

Las obligaciones que se establecen en un acuerdo de confidencialidad pueden variar según las necesidades específicas de las partes, pero generalmente incluyen:

No divulgar la información confidencial a terceros sin autorización.

Utilizar la información confidencial solo para los fines específicos para los que fue compartida.

Tomar las medidas necesarias para proteger la confidencialidad de la información.

Firmar un acuerdo de confidencialidad es importante por las siguientes razones:

Protege la información confidencial de las partes, genera confianza entre las partes, permite compartir información sensible de forma segura. Reduce el riesgo de fugas de datos. Ayuda a cumplir con las leyes de protección de datos.

Se recomienda firmar un acuerdo de confidencialidad siempre que se vaya a compartir información confidencial con terceros, como:

Al compartir información con empleados o colaboradores externos.

Al participar en un proyecto con otras organizaciones.

En resumen, un acuerdo de confidencialidad es una herramienta esencial para proteger la información confidencial en el contexto de la protección de datos.

Una evaluación de impacto en protección de datos (EIPD) es un proceso que permite identificar y analizar los riesgos que un determinado tratamiento de datos personales puede suponer para los derechos y libertades de las personas.

En cualquier caso, las clínicas, centros o autónomos no están obligados a  realizar una EIPD a no ser que el tratamiento de datos personales implique:

Evaluación sistemática y exhaustiva de aspectos de personas físicas que se base en un tratamiento automatizado.

Tratamiento a gran escala de datos personales de categorías especiales de datos.

Observación sistemática a gran escala de una zona de acceso público. 

El reglamento europeo de protección de datos define a un encargado de tratamiento la persona física o jurídica, autoridad  pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Por ello un contrato de encargado de tratamiento es un acuerdo legal entre el responsable del tratamiento y el encargado del tratamiento, en el que se establecen las obligaciones y responsabilidades de cada parte en relación con el tratamiento de datos personales.

Es necesario un contrato de encargado de tratamiento siempre que el responsable del tratamiento encomiende a un tercero el tratamiento de datos personales por su cuenta.

El contrato de encargado de tratamiento debe contener al menos la siguiente información:

Identidad y datos de contacto del responsable del tratamiento y del encargado del tratamiento.

Objeto del tratamiento.

Duración del tratamiento.

Naturaleza y finalidad del tratamiento.

Tipo de datos personales y categorías de interesados.

Obligaciones del encargado del tratamiento.

Derechos del responsable del tratamiento.

Los profesionales que proporcionan servicios de tele-asistencia y/o videoconferencia a pacientes deberán adoptar las medidas necesarias para garantizar su competencia: formación, experiencia supervisada, estudio y experiencia profesional, así como el conocimiento y experiencia requeridos para una práctica competente en el manejo de riesgos. La atención en tele-asistencia y/o videoconferencia debe cumplir los mismos estándares éticos y profesionales que la práctica presencial.

Los profesionales deben valorar si poseen las condiciones necesarias y conocen suficientemente estas herramientas para realizar este servicio.

Antes de comprometerse al empleo de estos medios, deben valorar si esta modalidad es adecuada, eficaz y segura en cada paciente de manera individual.

Deberán tener en cuenta el conocimiento y competencia del paciente a la hora de usar las tecnologías específicas para proporcionar este servicio. Se debe evaluar cuidadosamente el entorno en el cual se proporcionarán los servicios, para determinar qué impacto pueda tener sobre la eficacia, privacidad y/o seguridad de la intervención propuesta a través de estos medios.

El delegado de Protección de Datos conocido como DPO o DPD es una figura clave en la adecuación a la legislación de protección de datos según el RGPD. La ley indica que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en el supuesto: 

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes. Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.

Es decir, un nutricionista o dietista que trabaje a título individual en su propio gabinete no está obligado a nombrar un delegado de protección de datos. En el caso que sea un centro donde trabajen varios profesionales y no ejerzan la actividad a título individual deberán nombrar un delegado de protección de datos y su nombramiento debe ser comunicado al registro de delegados de la Agencia Española de protección de datos. 

La función principal del delegado de protección de datos es orientar, asesorar y supervisar al responsable o al encargado de las actividades de tratamiento de datos para asegurar el cumplimiento del RGPD. Además, realiza labores de mediación entre los usuarios y el responsable de los datos y actúa como la persona de contacto con las Autoridades de control.

Derecho de acceso: El interesado tendrá derecho a obtener confirmación de si se están tratando o no datos personales que le conciernen. Derecho de rectificación: El interesado tendrá derecho a obtener la rectificación de los datos personales inexactos que le conciernan o incompletos. Derecho de supresión: El interesado tendrá derecho a obtener la supresión de los datos personales que le conciernan cuando los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo. Derecho de limitación: Podrá solicitar la limitación del tratamiento de sus datos personales, en cuyo caso únicamente los conservaría para el ejercicio o la defensa de reclamaciones. Derecho a la portabilidad de sus datos: Por lo que puede solicitarnos que sus datos personales automatizados sean cedidos o transferidos a cualquier otra empresa que nos indique en un formato estructurado, inteligible y automatizado. Derecho de retirar el consentimiento: Usted tendrá derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento antes de su retirada. Derecho de oposición: El interesado tendrá derecho a ponerse al tratamiento de sus datos.

Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

Debes notificar la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas.

Consejos adicionales:

Es importante que tengas una política de privacidad clara y comprensible que informe a tus pacientes sobre cómo tratas sus datos.

Debes formar a tu personal en materia de protección de datos.

Debes realizar auditorías periódicas para asegurarte de que cumples con la normativa de protección de datos. 

No es recomendable utilizar WhatsApp para comunicarse con tus pacientes, ya que no es una plataforma segura para el tratamiento de datos personales. Se recomienda utilizar plataformas de comunicación que sean seguras y que cumplan con la normativa de protección de datos.

No puedes usar las fotos de tus pacientes en tu página web o en redes sociales sin su consentimiento expreso.