En este artículo vamos explicar a grandes rasgos las diferentes obligaciones que tiene una clínica dental, o una clínica de odontología en relación a la protección de datos o RGPD.
- En primer lugar y es común a todas las empresas es realizar un registro de actividades de tratamiento. También conocido como RAT: Que no es otra cosa que estructurar: qué tipo de datos recopilamos de los pacientes, si los vamos a ceder a alguien, el tiempo que los vamos a conservar, etc…
- En segundo lugar, realizar un análisis de riesgos de los datos que tenemos de los pacientes, para saber derivado de este análisis de riesgos si es obligatorio o no realizar un PIA, o análisis de impacto. Ya os adelanto que en el caso de las clínicas si que tenemos que realizarlo por el tipo de datos que tenemos.
- Decidir si nombramos un delegado de proteccion de datos para la clínica dental; sólo sería necesario si tenemos muchas clínicas o manejamos un número de pacientes muy elevado. En la gran mayoría de las ocasiones no haría falta.
- Establecer el tipo de datos que vamos a solicitar a los pacientes, que no sean excesivos en relación a la finalidad que vamos a realizar; en este caso que es común a todas las empresas, es mas flexible en las clínicas debido a que en las clínicas sí es viable solicitar antecedentes de enfermados, o preguntar sobre enfermedades no relacionadas con la boca porque puede estar relacionado con posibles complicaciones. Este punto se ve mas claro en una floristería, no tendría sentido preguntar si está casado o soltero. Parece una tontería, pero en muchas ocasiones se solicitan en los formularios datos que son excesivos en relación a la finalidad para la cual vamos a necesitar los datos y luego vienen posibles sanciones.
- Cumplir con el derecho de información: Aquí siempre hay que entender el derecho de información con el consentimiento; pues como van siempre de la mano, es decir, siempre te ponen delante el derecho de información y firmamos, pero son cosas diferentes. El derecho de información siempre hay que hacerlo ( lee este artículo sobre lo que hay que informar) pero el consentimiento, no siempre es necesario. Hay diferentes bases que nos habilitan a tratar los datos de los pacientes, una de ellas es el consentimiento, pero hay mas, como por ejemplo tener un contrato, o por razones de salud; por lo que si sólo le vamos a prestar el servicio de tratamiento odontológico sólo sería necesario informar, porque en realidad nos podemos basar en que tenemos un contrato con ellos, o por razones de salud; esto se traduce en que sólo sería necesario un cartel en la clínica. Pero si además de eso, luego le vamos a enviar publicidad, o los datos y su imagen serán utilizados en ponencias de congresos o charlas, aquí si tenemos que pedir el consentimiento, porque la primera finalidad esencial que es el tratamiento odontológico y el consentimiento se les suma otros tratamiento. Ademas hay que cumplir con el derecho de información de los trabajadores. El derecho de información también tiene que estar puesto en la página web de la clínica.
- Firma de compromisos de confidencialidad con los trabajadores de la clínica. De tal forma que si se van a la competencia o montar su propia clínica no se lleven los datos o no puedan llamarlo durante x tiempo.
- Firma de los contratos de prestación de servicios; es decir con los proveedores que pueden ver nuestros datos, imaginemos profesionales subcontratados, asesores fiscales, aplicaciones informáticas que si se rompe el software se conectan de forma remota. En resumen son contratos de confidencialidad.
- Proteger mediante controles de seguridad los datos de los pacientes: por ejemplo, usuarios y contraseñas, llaves para el acceso a los expedientes.
A grandes rasgos estas son las obligaciones que necesitaría una clínica dental para cumplir con la protección de datos.