Protección de datos en clínicas estéticas: 8 errores comunes

proteccion de datos

A diario, nuestros asesores detectan múltiples fallos en el tratamiento de datos personales en las inspecciones que realizan a los centros sanitarios del sector estético. Las consecuencias de estos errores pueden ser fatales e irreparables para las entidades, no solo a nivel económico, sino –y lo que es más importante– a nivel reputacional. Repasamos los más habituales y cómo enmendarlos.

Por Liliam Valenzuela

Las clínicas de medicina estética, cirugía plástica y dermatología estética son consideradas centros sanitarios y, como parte de su actividad principal, tratan datos de salud de sus pacientes. Los datos relativos a la salud, dada su alta sensibilidad, son considerados “categorías especiales de datos” de acuerdo con el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD). Estos centros están obligados a cumplir las referidas normas, lo que implica que deberán implantar medidas para proteger la confidencialidad, la integridad y la disponibilidad de los datos que traten.

Más importante que el dinero

Es importante recordar que las sanciones por incumplimiento de la protección de datos pueden llegar hasta los 20 millones de euros o al 4 % de la facturación anual del ejercicio anterior, optándose siempre por la de mayor cuantía. Sobra decir que una sanción de este calibre podría suponer un desastre económico o incluso el cierre de la sociedad.

No obstante, cumplir la protección de datos no solo puede ahorrarle sanciones a la entidad, sino también proteger su reputación e influir en la toma de decisión del paciente. Esto es así porque los pacientes hoy en día eligen aquella clínica que, además de prestarle un servicio óptimo, le garantice la privacidad. Las sanciones de protección de datos son públicas y, además, a menudo se hacen virales. Por tanto, la publicación de una multa impuesta a una entidad del sector puede conllevar también una pérdida de confianza de los clientes. Y es preciso recordar que, si bien la multa puede ser pagable, la pérdida de confianza de los clientes podría ser irrecuperable.

Los errores más frecuentes

Desafortunadamente, muchas entidades del sector sanidad ignoran estos riesgos, y también desconocen los beneficios de cumplir la protección de datos. La falsa seguridad lleva a muchos empresarios a procrastinar en el cumplimiento. Sin embargo, es frecuente que, en las inspecciones que realiza nuestro equipo de asesores, se detecten múltiples fallos en el tratamiento de datos personales. A continuación, mencionamos algunos de ellos.

① No designar a un delegado de protección de datos

Muchos centros no designan delegados de protección de datos (en adelante “DPD”). En las clínicas estéticas se llevan a cabo tratamientos médicos, por lo que en su consideración de centros sanitarios y de acuerdo con el RGPD están legalmente obligados a designar esta figura. Esta designación debe notificarse a la Agencia Española de Protección de Datos en el plazo de 10 días desde el nombramiento.

Otro error habitual en este campo es que las clínicas, movidas por el ahorro de costes, la agilidad o el desinterés, externalizan el DPD con empresas o autónomos que no cuentan con la cualificación profesional y experiencia que exige el RGPD. El responsable de cada clínica debería exigir a su DPD que acredite estos requisitos, ya sea aportándole la Certificación Oficial de Delegado de Protección de Datos, o bien otro documento acreditativo. La Certificación Oficial de DPD, obtenida bajo el esquema nacional de la Agencia de Protección de Datos, si bien no garantiza la perfección en el asesoramiento, ofrece seguridad al tráfico jurídico.

② No informar adecuadamente a los pacientes

El RGPD establece la obligación de cumplir el principio de transparencia. Se debe informar al paciente sobre la finalidad para la que le pedimos sus datos, recabarle el consentimiento cuando sea obligatorio, informarle sobre el destino de su información, el plazo durante el cual la vamos a conservar y las vías que tiene para ejercer sus derechos o reclamaciones. Copiar y pegar textos legales de la competencia no solo no es ético, sino que tampoco es recomendable dada la especificidad que exige el RGPD en el contenido de la información. Dicha información puede ofrecerse mediante carteles informativos, cláusulas, políticas de privacidad. No se recomienda facilitar la información verbalmente ya que, salvo que se haya grabado la conversación, esta vía no permite acreditar que se ha cumplido el principio de transparencia.

Las sanciones por incumplir la protección de datos pueden llegar hasta los 20 millones de € o al 4 % de la facturación anual; siempre optándose por la de mayor cuantía

③ No solicitar consentimiento para el tratamiento de datos

Existen actividades de tratamiento de datos que requieren la expresa autorización del interesado. La realización de fotos o videos de pacientes, aunque tengan como destino exclusivamente formar parte de su historial clínico, son un ejemplo de tratamiento de datos que requiere consentimiento expreso y acreditable. Es frecuente en este sector recibir reclamaciones de clientes relacionadas con las fotos o videos captadas por los médicos, especialmente cuando estas se utilizan con fines comerciales y se publican en redes sociales o medios de comunicación.

④ No gestionar correctamente las reclamaciones de los interesados

El mero hecho de no responder a una reclamación de protección de datos o no responder dentro del plazo legal establecido ya es una infracción. En este sector es habitual que los pacientes soliciten copias de sus historias clínicas o informes médicos. También es frecuente que se reciban solicitudes de supresión o borrado de datos médicos.

Aun más grave que no facilitar estos datos al paciente sería, por ejemplo, facilitar un historial clínico a un paciente que luego resulta no ser quien dijo ser, o facilitar informes médicos a terceros que no acreditan representación legal o voluntaria. Se trata de derechos personalísimos, por lo que debe identificarse al paciente antes de proceder con su solicitud o exigir al solicitante que se acredite la representación en su caso. Solo podrá facilitarse información a terceros cuando estos vengan autorizados o acrediten representación legal. Para mitigar estos riesgos es conveniente confeccionar un protocolo para la gestión de este tipo de solicitudes y formar al personal que tramita estas solicitudes.

Copiar y pegar textos legales de la competencia no solo no es ético, sino que tampoco es recomendable dada la especificidad que exige el RGPD en el contenido de la información

⑤ Llamar a los pacientes por su nombre en la sala de espera

Algunas clínicas han implantado acertadamente sistemas automáticos de gestión de turnos asignando códigos a los pacientes. Sin embargo, es frecuente encontrar al médico o al personal auxiliar llamando al paciente por su nombre en las salas de espera, a veces a gritos, ignorando que esto es un claro incumplimiento de protección de datos.

En una ocasión, un profesional médico comentó a nuestro equipo asesor que disfrutaba salir a la sala de espera a llamar a sus pacientes por su nombre, para darles un trato más cercano. Aseguró que sus pacientes preferían ser llamados de esta manera. Decidimos realizar una encuesta anónima, y resultó que de los 42 encuestados, 39 preferían que no se dijeran su nombre y apellidos delante de desconocidos. El profesional comprendió que tenía 39 potenciales denunciantes en su consulta.

⑥ Ausencia de procedimientos seguros de destrucción documental

Los historiales médicos, recetas u otros documentos con datos personales, sean o no de salud, no se pueden tirar a la basura sin previa destrucción. Deben ser destruidos de forma tal que no sea posible su reconstrucción. Para ello puede recurrirse a proveedores externos de destrucción documental o colocarse contenedores y trituradoras en las salas de trabajo según lo requiera el volumen.

⑦ Escasas medidas tecnológicas de protección de la información

La información de salud es altamente sensible y apetecible para el mercado negro de la ciberdelincuencia, ya que está entre las informaciones más valiosas y mejor pagadas. Los datos se han convertido en el petróleo del siglo XXI. Los ciberdelitos han alcanzado cifras alarmantes, lo que resulta trascendental en este sector. El coste de recuperación que debe asumir una empresa cuando es víctima de un ciberataque exitoso puede ir desde los miles hasta los millones de euros. A esto se deberá sumar la sanción de protección de datos que recaerá siempre que la empresa no sea capaz de demostrar que, con carácter previo, implantó medidas para evitarlo.

La falta de conciencia sobre estos riesgos a menudo deriva en una deficiente inversión en cuanto a recursos y tiempo para la prevención de incidentes de seguridad. Pensemos en todo lo que pasaría en una clínica si se paraliza la actividad informática por 24 horas. Seguramente el coste económico sería cuantioso, y lo peor es que esta paralización podría acarrear daños para la salud.

⑧ Plantilla no formada ni comprometida

La formación del personal es otro aspecto clave. A la hora de no cometer errores, me atrevo a decir que forma parte de los mínimos necesarios. De nada sirve tener un plan de protección de datos eficaz si no es conocido por los empleados que gestionan los datos. Existe la falsa creencia de que, si el empleado firma un documento, aunque no se lo lea, la culpa de un incumplimiento posterior ejecutado por este recaerá siempre en su persona. Sin embargo, si el trabajador no entendió el contenido firmado es muy probable que cometa un error, y aún más probable que la responsabilidad recaiga sobre la empresa, no sobre el trabajador. Los empleados deben conocer las consecuencias de los errores, el alcance de sus obligaciones y compromisos, y todo esto debe informárseles por escrito y reforzarse con cursos de formación o sesiones explicativas.

Deberá prestarse especial atención a la formación de los empleados también en el ámbito tecnológico, ya que una gran parte de los incidentes de seguridad se producen por fallos humanos. El personal debe entrenarse para mantener un nivel de alerta frente a técnicas de ingeniería social mediante las cuales los ciberdelincuentes pretenden engañarles o manipularles para extraer información.

Dicho así parece complicado cumplir esta normativa, pero lo cierto es que los planes de protección de datos se pueden adaptar perfectamente a las características de la empresa, incluidas las pymes, micropymes y empresarios autónomos. La clave está en recabar un buen asesoramiento y dedicarle al menos un 0,5 % de las horas laborables en el cómputo anual.

Ante este panorama de sanciones y daños irreversibles que pueden sufrir las entidades, creemos que la pregunta no debería ser cuánto me cuesta cumplir todo esto, sino cuánto me ahorro al cumplirlo.

Te puede interesar también…

Redes sociales e intrusismo: Lo que preocupa a los profesionales

La medicina NO se sortea