Los fisioterapeutas o clínicas fisioterapéuticas por su naturaleza deben tratar datos de salud en su día a día. Los datos de salud son considerados datos de categorías especiales por el Reglamento Europeo 2016/679 (RGPD) y la ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD)
El fisioterapeuta deberá tener especial diligencia con las historias clínicas de los pacientes, los consentimientos informados, así como todas las demás pruebas, que necesite para el diagnóstico y tratamiento del paciente.
¿Necesita un fisioterapeuta nombrar un delegado de protección de datos?
El artículo 34 de la ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD) indica que los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades que entre ellas se encuentran:
Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.
Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.
¿Cómo define la ley un centro sanitario?
El artículo 3 de la Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, define estos tres conceptos:
Centro sanitario: el conjunto organizado de profesionales, instalaciones y medios técnicos que realiza actividades y presta servicios para cuidar la salud de los pacientes y usuarios.
Historia clínica: el conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial.
Paciente: la persona que requiere asistencia sanitaria y está sometida a cuidados profesionales para el mantenimiento o recuperación de su salud.
¿Cómo establece la ley la clasificación de centros, servicios y establecimiento sanitarios?
En el Anexo I del Real Decreto 1277/2003 establece la Clasificación de centros, servicios y establecimientos sanitarios, entre los que se encuentra las siguientes clasificaciones con las que normalmente los fisioterapeutas o las clínicas fisioterapéuticas se dan de alta en el Registro General de centros, servicios y establecimientos sanitarios de la Subdirección General de Información Sanitaria e Innovación del ministerio de Sanidad
C.2.2 Consultas de otros profesionales sanitarios: centros sanitarios donde un profesional sanitario (diferente de médico u odontólogo) realiza actividades sanitarias. También se consideran consultas, aunque haya más de un profesional sanitario, cuando la atención se centra fundamentalmente en uno de ellos y los restantes actúan de apoyo a este
C.2.4 Centros polivalentes: centros sanitarios donde profesionales sanitarios de diferentes especialidades ejercen su actividad atendiendo a pacientes con patologías diversas
El Artículo 7 de la ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias, define a la labor de los Fisioterapeutas: corresponde a los Diplomados universitarios en Fisioterapia la prestación de los cuidados propios de su disciplina, a través de tratamientos con medios y agentes físicos, dirigidos a la recuperación y rehabilitación de personas con disfunciones o discapacidades somáticas, así como a la prevención de las mismas.
¿Qué debe llevar a cabo un fisioterapeuta para adecuarse a la normativa de protección de datos?
Debe cumplir con el principio de responsabilidad proactiva que supone que la organización no solo es responsable de cumplir los principios y obligaciones de la normativa, sino que, además, debe ser capaz de demostrar dicho cumplimiento.
Las medidas que deberán implementarse en aplicación del principio de responsabilidad proactiva pueden clasificarse en 3 tipos:
→ Medidas jurídicas (como el uso de elaboración de cláusulas informativas, la elaboración del Registro de las actividades de tratamiento, etc.);
→ Medidas organizativas (como el nombramiento de responsables para gestionar el área de privacidad, la elaboración de procedimientos para atender los derechos de los interesados o la gestión de brechas de seguridad, la formación al personal, etc.);
→ Medidas técnicas (como la instalación de antimalware, mecanismos de control de accesos, política de contraseñas, realización de copias de seguridad, etc.).
Establecer las bases jurídicas de los tratamientos que se realizan en la clínica.
Efectuar un análisis de riesgos como exige la normativa
Realizar cláusulas informativas que establece el artículo 12, 13 y 14 del RGPD
Realizar el registro de actividades de tratamiento como establece el reglamento (RGPD)
Establecer las medidas de seguridad que se tienen que aplicar en la clínica.
Establecer mecanismos visibles, y sencillos, para el ejercicio de derechos ARSULIPO (derecho de Acceso, derecho de Rectificación, derecho de supresión («el derecho al olvido» lo denomina el propio RGPD), derecho a la limitación del tratamiento, derecho de Portabilidad, derecho de Oposición)
Nombrar un delegado de protección de datos en caso de que sea sujeto obligado
Solicítanos presupuesto y te ayudaremos a cumplir con el Reglamento Europeo 2016/679 (RGPD) y la ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPD) para fisioterapeutas.
Si tienes una página web deberás legalizarla de la siguiente manera incluyendo toda esta información en tu web:
Generar la Política de Privacidad: en la cual incluiremos, quién es el Responsable de los Datos, con que finalidad se recogen, cual es la legitimación para el uso de los datos, si van a ser cedidos, los plazos de conservación, como se puede ejercitar los derechos de acceso, rectificación, supresión, limitación, portabilidad, retirada del consentimiento y oposición de sus datos personales, así de cómo puede solicitar la tutela de derechos que no hayan sido debidamente atendidos a la Agencia Española de Protección de datos.
Generar un Aviso legal: el artículo 10 de la LSSI establece las menciones obligatorias sobre el nombre o denominación social y datos de contacto, los datos de inscripción en el Registro Mercantil u otros registros públicos, NIF, información sobre el precio de los productos, sobre las autorizaciones administrativas necesarias en su caso, datos del Colegio profesional y códigos de conducta a los que esté adherido.
Generar la política de Cookies: Se debe informar a los destinatarios sobre el uso que se realiza en la página web de cookies, si son propias o de terceros e indicando su definición, función y finalidad, ofreciendo la posibilidad de revocarlas de una forma sencilla e informada.