[LEGAL] PLA D’ADAPTACIÓ DELS DENTISTES AL NOU REGLAMENT GENERAL DE PROTECCIÓ DE DADES (RGPD)

Els dentistes hauran d’elaborar i desenvolupar un pla d’actuació a l’hora d’abordar els canvis en la regulació, en el qual han de col·laborar diferents departaments de la clínica dental: totes aquelles àrees que estiguin implicades en el tractament de dades.

Tot pla ha de ser realitzat d’una forma sistemàtica, documentada, mitjançant evidències, i tenir caràcter revisable.

Per a la seva realització serà de gran utilitat la documentació existent en la clínica dental. En concret: la relació de fitxers inscrits en el Registre de l’Agència Espanyola de Protecció de Dades (en endavant AEPD); el document de seguretat on es descriuen les mesures de seguretat existents; i els contractes amb proveïdors que tractin les dades dels usuaris.

Un pla d’actuació d’aquest tipus es pot estructurar en 7 actuacions bàsiques:

  • estudi de les dades i tractaments que es realitzen;
  • identificació de la legitimació del tractament, la causa que ens permet tractar les dades (que serà sempre la de la realització del tractament de salut bucodental);
  • informació als pacients;
  • atenció als drets dels pacients;
  • control de la relació entre el responsable i l’encarregat del tractament de dades;
  • mesures de responsabilitat proactiva;
  1. ESTUDI DE LES DADES DE CARÀCTER PERSONAL QUE ES TRACTEN
  • Aquesta primera fase té com a objectiu el coneixement. L’activitat que es desenvolupa dins d’ella s’ha de centrar a conèixer i realitzar una anàlisi de les dades que es tracten.
  • De quina categoria de dades es tracta, és a dir, són dades d’identificació, i de salut en el cas de les clíniques.
  • Quins són els tractaments o processos que es realitzen amb les dades.
  • On estan ubicades les dades.
  • Qui té accés a aquestes dades en la clínica i fora de la clínica (protètics o altres empreses o professionals amb els quals ens relacionem).
  • Quina utilitat tenen aquestes dades per a la clínica dental.

2. LEGITIMACIÓ DEL TRACTAMENT

Consisteix a estudiar i identificar quin és l’element o causa que permet tractar les dades de caràcter personal. El RGPD no aporta cap novetat essencial sobre aquest aspecte. Els motius pel que es poden tractar les dades segueixen sent els mateixos que els contemplats en la LOPD.

Les dades dels usuaris únicament es podran tractar quan:

  • sigui necessari per realitzar el què ha sol·licitat el pacient – per exemple, per atendre’l a la consulta – ;
  • els usuaris hagin donat el seu consentiment;
  • sigui necessari per protegir un interès vital dels usuaris;
  • sigui necessari per donar compliment a una obligació legal;
  • sigui necessari per al compliment d’un interès públic;

No obstant això, el nou RGPD sí que suposa un canvi important pel que fa al consentiment. El RGPD estableix que aquest consentiment ha de ser manifestat a través d’una declaració positiva, com pot ser a través d’una casella no pre-marcada. No cap el consentiment tàcit; és a dir serà necessari obtenir el consentiment exprés del pacient.

 3. INFORMACIÓ ALS INTERESSATS O PACIENTS

Aquesta és una obligació que afecta especialment al responsable del tractament de les dades. Aquesta obligació no és una novetat en si mateixa, ja que ja està present en l’actual LOPD. No obstant això, s’introdueixen alguns matisos sobre el contingut i la forma en què ha de facilitar-se la informació als usuaris.

Sobre la forma, el RGPD diu que s’ha de facilitar la informació als usuaris de manera concisa, transparent, intel·ligible, amb un llenguatge clar i senzill.

Pel que fa al contingut, el RGPD afegeix una sèrie de noves qüestions sobre les quals cal informar:

  • s’ha d’explicar la base legal per al tractament de les dades
  • s’ha d’informar sobre el període de conservació
  • s’ha d’informar sobre la possibilitat de fer reclamacions davant l’AEPD,
  • s’ha d’informar dels altres drets que incorpora el nou RGDP
  • s’ha d’informar, en el seu cas, de l’existència i de les dades de contacte del Delegat de Protecció de Dades de l’entitat

 4. ATENCIÓ DELS DRETS DELS INTERESSATS: PACIENTS

Matisa els drets ja existents per la LOPD i crea nous drets com el dret a l’oblit o de supressió, el dret a la limitació del tractament i el dret a la portabilitat de dades.

Com a novetat, el RGPD estableix que el termini per atendre els drets és d’un mes màxim, que pot prorrogar-se fins a dos mesos segons les circumstàncies i de forma justificada, i que l’atenció als drets ha de ser gratuïta, encara que es preveu que es pugui sol·licitar un pagament en determinades ocasions, com en el cas de que la sol·licitud sigui repetitiva.

 5. LES RELACIONS ENTRE EL RESPONSABLE I L’ENCARREGAT DEL TRACTAMENT DE LES DADES DE CARÀCTER PERSONAL

S’han d’analitzar les relacions entre la clínica dental i tots els proveïdors que tracten les dades dels usuaris, perquè se’ls considera com a encarregats de tractament.

Sobre aquestes relacions es pot dir que el RGPD introdueix alguns matisos.

El RGPD imposa als encarregats obligacions que els són aplicables directament, com:

  • mantenir un registre d’activitats de tractament;
  • determinar les mesures de seguretat aplicables als tractaments;
  • designar a un Delegat de Protecció de Dades quan sigui necessari
  • col·laborar amb l’Autoritat de control (AEPD).

També imposa als responsables actuar amb diligència a l’hora de seleccionar als proveïdors que actuen com a encarregats. Només poden contractar a aquells que siguin capaços i puguin demostrar que compleixen amb el RGPD oferint les garanties necessàries o a través de certificats o adhesions a codis de conducta.

Recull que les relacions entre els responsables i els encarregats es formalitzin per escrit.

 6. MESURES DE RESPONSABILITAT PROACTIVA

 Què implica la responsabilitat activa recollida en el RGPD? Una sèrie de mesures de caràcter tècnic i organitzatiu.

El RGPD es basa en la prevenció. Les clíniques dentals han d’adoptar mesures que assegurin raonablement que estan en condicions de complir amb els principis, drets i garanties que el RGPD estableix. El RGPD entén que actuar només quan ja s’ha produït una infracció és insuficient com a estratègia, atès que aquesta infracció pot causar danys als interessats que poden ser molt difícils de compensar o reparar.

Les clíniques dentals hauran de demostrar que actuen de forma diligent cada vegada que vagin a desenvolupar un tractament de dades.

S’haurà de dur a terme diferents accions:

  1. Una anàlisi de risc documentat sobre quin és l’impacte que té sobre la protecció de quin tipus de dades es tracten – els dentistes tracten dades sobre salut -;
  • quin volum de dades es tracta -si es refereixen a una gran quantitat de persones o un % elevat de la població – (en general no seria d’aplicació );
  • si es realitzen perfils o segmentació de les dades (en general no seria d’aplicació);
  • si s’estan utilitzant tècniques de seguiment de comportament dels usuaris a través de cookies o, per exemple, de dispositius mòbils (en general no seria d’aplicació)

Segons el tipus de resposta que donem a aquestes preguntes el tractament de dades serà de major o menor risc.

  1. En funció del risc determinat, serà necessari adoptar una sèrie de mesures a fi de minimitzar o eliminar els riscos detectats, que són principalment:
  • portar un registre d’activitats de tractament actualitzat;
  • adoptar mesures de protecció de dades des del disseny i per defecte;
  • implementar mesures de seguretat tècniques i organitzatives per assegurar la integritat i confidencialitat de la informació;
  • nomenar a un delegat de protecció de dades si es realitzen tractaments de dades a gran escala o una observació sistemàtica a través de cookies;
  • realitzar una avaluació d’impacte, realitzant un estudi exhaustiu sobre quin tipus de dades es tracten, qui té accés a les dades, on s’emmagatzemen, etc., per valorar el risc i establir mesures que puguin mitigar-ho o eliminar-ho;
  • dur a terme consultes prèvies a l’AEPD segons els casos; i notificar els incidents de seguretat a l’autoritat de control i als usuaris ( pacients) quan la incidència pugui suposar un alt risc.
Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedIn