La Agencia de Protección de Datos saca una guía para la auto-evaluación de la clínica

Las administraciones públicas suelen ser casi siempre pesadas máquinas burocráticas dónde el último interés es hacerlo fácil al usuario (el profesional en este caso). Sin embargo, la Agencia Española de Protección de Datos Personales, es un caso distinto en esta práctica y además de tener una web bastante manejable, se preocupa de vez en cuando por sacar guías y documentos que te facilitan la vida.

Aunque mucha gente piensa que esto de la LOPD (Ley Orgánica de Protección de Datos Personales) es una pesadilla que se debe dejar en manos profesionales, la verdad es que cualquier emprendedor puede realizar los pasos básicos para cumplir la ley en una sola tarde (otra cosa es que se encuentre una deficiencia, en cuyo caso se tardará algo más en resolverla, pero no suele suceder y los problemas son mínimos). Junto con PodoRed, por ejemplo, entregamos un kit de adaptación a la LOPD que viene a ser lo mismo que algunas “consultoras” venden por más de 100 euros al año y que según los comentarios de nuestros clientes es “un juego de niños” (literalmente).

Como hemos explicado ya en anteriores artículos de este blog, la adaptación a la LOPD de la clínica consiste en tres elementos básicos: la inscripción del fichero o ficheros, la creación del documento de seguridad y las auditorias internas o externas bianuales. La nueva guía que ha sacado la Agencia de Protección de Datos permite la auto-evaluación de la clínica o de cualquier otro tipo de negocio, además de explicar los pasos básicos anteriormente mencionados.

Se trata de una guía de 72 páginas que se puede leer en un día en los tiempos muertos y que te servirá tanto si gestionas tu mismo la LOPD en la clínica como si lo hace una empresa externa, porque aunque así sea, siempre es conveniente estar informado de porqué se deben hacer las cosas de una determinada manera y no de otra (y alguna vez sucede que la empresa en la que confías falla y eres tú el que se da cuenta). La guía, en cualquier caso, no sustituye a otros documentos elaborados por la propia Agencia o a explicaciones como las que de vez en cuando ofrecemos en este y otros blogs, sino que la complementa y sobretodo explica la legislación con ejemplos claros y cuadros explicativos que añaden mucho colorido a las explicaciones, haciendo fácil entender el hilo argumental y no perderse en cifras y tecnicismo retorcidos.

Ciertamente, de las tres partes de las que consta la adaptación a la LOPD de una clínica, la primera (la inscripción del fichero) se deja bastante de lado, pero casi todo el texto explica muy bien y en líneas generales el contenido que debe tener un buen documento de seguridad y cómo hacer una buena auditoria (recordemos que es perfectamente posible realizar auditorias internas, es decir, que el propio personal de la clínicas sea quién audite la correcta implementación de los protocolos de seguridad de los datos). En especial es interesantísimo el anexo I de la guía, puesto que es un conjunto de preguntas que respondiéndolas correctamente formaría el documento final que se debe hacer en una auditoria interna. Además esas preguntas sirven para asegurarse de que todo el software que se va a adquirir cumplirá con la LOPD (si ya tienes la clínica abierta y el software comprado y te das cuenta de que el software no cumple con la LOPD entonces tendrás que cambiar de programas de gestión o arriesgarte a seguir trabajando con programas obsoletos; a veces lo gratis sale caro). El anexo III, ofrece la estructura del documento que debe tener el informe resultante de la auto-evaluación de la clínica.

4 Comments

 Add your comment
  1. gracias por recordar lo de los dos años, a mi se me habia pasado por completo y espero que no me digan nada por ello.

    • Si es cierto que hay que realizar auditorías bianuales pero no caigas en la trampa de que te lo haga ningún listo de los muchos que hay en este país , es tan simple como que hagas un documento tuyo propio donde digas que no has realizado ningún cambio o de haberlo realizado que lo incluyas en el documento de seguridad que obrara en tu poder, con eso si tienes una inspección de la AEPD no te pueden decir nada y por supuesto y más importante sancionarte.

  2. Buenas noches, gracias por este post tan clarificador. Tengo una pregunta: la auditoría interna, es un documento que lo hago y lo guardo por si tengo alguna vez una auditoría? O hay que enviarlo, registrarlo de algún modo en la AGPD?

    Gracias de antemano

    • Efectivamente, es un documento que se realiza y se guarda en la clínica por si alguna vez viene una inspección y lo solicita. Debe cuñarlo y/o firmarlo.

Leave a Comment

Your email address will not be published.

*