La LOPD (ley de protección de datos personales), para que nos entendamos, es una ley para que los usuarios y consumidores estén protegidos frente al tráfico y mal uso de sus datos personales. Es decir, los datos que pueden identificar a un usuario (nombre, DNI, etc) y los datos vinculados a estos (historia clínica, facturas, etc). Son esos datos los que protege la ley.

La pregunta es ¿qué dice la ley y qué tengo que hacer para cumplirla? Porque lo qué puede pasar si no cumplimos la LOPD ya lo sabemos. Básicamente lo que debe hacer es:

  1. Inscribir los ficheros afectados por la ley: es un trámite administrativo que consiste en informar a la AEPD (Agencia Española de Protección de Datos) de qué datos, tipo y formato son los que tienes de los usuarios. Se hace a través de la web de la agencia rellenando una serie de documentos.
  2. Calidad de datos: los datos que se recojan deben ser de calidad. ¿Qué significa? A grandes rasgos, que no se recojan datos innecesarios ni mediante engaños, que solo se usen para lo estrictamente necesario y las personas que lo necesiten realmente para su trabajo y, sobre todo, que los datos sean eliminados cuando ya no se necesiten.
  3. Deber de información y consentimiento del tratamiento: debes informar al paciente de sus derechos respecto a los datos que tienes de él. Esto se cumple simplemente entregando una hoja con la información de la ley que deberán devolver firmada (es muy importante que conserves esta hoja, puesto que en caso contrario un paciente podría denunciarte). No confundir con el consentimiento informado.
  4. Seguridad de los datos: los datos deben almacenarse en un lugar seguro, especialmente las historias clínicas dado que son considerados datos de especial protección. La ley es ambigua en este sentido y solo dice que se deben aplicar las medidas “técnicas y organizativas necesarias” para la protección de los datos. La mayor parte de los expertos que hemos consultados coinciden en que si los registros clínicos se conservan en formato físico (historia clínica en papel) se deben guardar en una caja fuerte en la misma clínica que, a poder ser, deberá disponer de un sistema de alarma o videovigilancia; y en el caso de registros automatizados (historia clínica en formato electrónico) si el acceso es remoto, los servidores deberán accederse mediante sistemas de encriptación, entre otras medidas que sí vienen especificadas en la ley y que deberás exigir al proveedor del programa y si el acceso es local (programa instalado en un ordenador de la clínica) se deberá añadir una contraseña al ordenador para poder acceder al mismo y se deberá encriptar el disco duro.
  5. Deber de secreto: se debe guardar el secreto acerca de los datos recogidos.
  6. Transferencia de datos: en caso de que se deban transferir datos se deberá obtener el permiso por escrito del afectado. Por ejemplo, si queremos que un colega revise uno de nuestros casos, no podemos darle la historia clínica sin más, debemos solicitar y obtener el permiso del paciente.
  7. Derechos ARCO: los derechos ARCO son los derechos de Acceso, Rectificación, Cancelación y Oposición y deben facilitarse. Esto significa simplemente que si un paciente nos pide que eliminemos sus datos o los modifiquemos debemos hacerlo sin poner ningún tipo de trabas.
  8. Documento de seguridad y registros: la clínica debe disponer del denominado “documento de seguridad” y de una serie de registros que manda la ley que existan (aunque casi nunca se utilizan en clínicas normales). Se trata de un documento que detalla todas estas medidas y otras que se van a aplicar y que debe existir para en caso de inspección (no se le envía a la administración, solo es para uso interno, pero debe estar!). Se elabora a partir de un modelo más o menos desarrollado. Por ejemplo, en la web de la AEPD existe un modelo, pero es muy básico y hay muchas cosas a modificar para adaptarlo.

Aunque parezcan muchas cosas, realmente es aplicar el sentido común una vez sabes qué hay que hacer. PodoRed viene con un kit de adaptación a la LOPD que permite acelerar la puesta en marcha de las medidas legales necesarias para evitar sanciones. El kit lleva el formulario para dar de alta los ficheros junto con instrucciones precisas sobre lo que hay que poner en cada apartado, un documento de seguridad casi terminado (hay huecos dónde dice “pon tu nombre aquí”, “indica el número de empleados aquí”, etc) y todos los registros necesarios para cumplir todos los requisitos legales.