[LEGAL] Reglament General de Protecció de Dades (RGPD) – FAQ’s

Què és el RGPD?

El RGPD o Reglament General de Protecció de Dades és el text de referència Europeu en matèria de protecció de dades, que ve per reforçar i unificar la protecció de les dades de caràcter personal a la Unió Europea.

Aquest reglament ha reemplaçat a la Directiva 95/46/EC sobre la protecció de dades personals.

 

On s’aplica el RGPD? S’aplica a tota Europa?

Si, efectivament, s’aplica a tots els Estats Membres de la UE, si bé els Estats tenen llibertat normativa per promulgar lleis que adaptin la normativa a l’ordenament Estatal.

El Reglament General de Protecció de Dades és aplicable a 28 països membres de la Unió Europea, i a organitzacions i entitats fora de la Unió Europea, quan processin dades de ciutadans d’aquesta.

 

Hi haurà alguna normativa espanyola de desenvolupament?

Malgrat que els reglaments europeus, al contrari que les Directives europees, no requereixen lleis dels Estats per la seva transposició a l’ordenament jurídic nacional, donada la importància d’aquesta normativa. El Congrés dels Diputats està tramitant un projecte de llei en aquests moments (juliol 2018). La llei està previst que sigui aprovada abans de finals de l’any 2018.

 

A qui s’aplica el RGPD?

El RGPD s’aplica a totes les persones i entitats que processen informació personal de residents de la Unió Europea.

Afecta a les clíniques dentals a l’igual que a totes les entitats que tracten dades.

També aplica als professionals que treballen en qualitat d’autònoms sempre que tractin dades personals.

 

Com ha de ser el consentiment?

El consentiment ha de ser concedit a través d’un formulari fàcil d’entendre i d’accedir, en el que s’indiqui la finalitat de les dades. El consentiment ha de ser clar i fàcil de distingir, i ha de ser proporcionat utilitzant un llenguatge clar i planer. A més a més, ha de ser fàcil tant de revocar com de donar.

El consentiment ha de ser lliure, informat, específic i inequívoc. Això suposarà que els clausulats hauran d’informar de manera clara, especificant i detallant les finalitats, no donant lloc a confusions i permetent que l’afectat confirmi expressament la seva voluntat. Deixaran de considerar-se vàlids els consentiments tàcits o textos genèrics on no es dedueixin els usos previstos i no es podrà admetre un consentiment derivat de la inacció o del silenci.

 

Com redactar un missatge de consentiment clar i concís?

El missatge de consentiment ha de ser fàcilment comprensible per a qui estigui facilitant les seves dades. Estan prohibides per normativa pràctiques com les caselles de consentiment preseleccionades i el llenguatge confús o poc clar. És important recordar que el consentiment ha de ser verificable.

 

És obligatori posar mesures preventives en matèria de protecció de dades?

És imprescindible posar en marxa, i poder-ho provar, les mesures tècniques i organitzatives necessàries amb la finalitat de prevenir tot risc, tot i que ja no és obligatori notificar a la AEPD el tractament de les dades personals.

Això inclou els contracte amb tots els qui hagin de tenir accés a les dades, les polítiques de confidencialitat, la gestió dels riscos, la conservació de les dades, etc.

 

S’ha d’informar si hi ha una fuga de seguretat?

Si. Amb el nou RGPD, en cas de bretxa de seguretat, ja sigui per accident, s’haurà de notificar a l’Agència Espanyola de Protecció de Dades (AEPD) en les 72 hores següents de l’incident, per tal que els usuaris puguin prendre les mesures apropiades. La clínica dental haurà de conservar un registre intern dels diferents incidents.

 

És obligatori tenir un Delegat de Protecció de Dades?

A dia d’avui, les clíniques dentals no estan obligades a tenir un delegat de protecció de dades; tanmateix, conforme al projecte de llei espanyol (que està previst que s’aprovi a finals de l’any 2018), donat que es trobarien dins de les entitats que han de guardar històries clíniques, si que tindran aquesta obligació addicional.

 

Què significa la definició expandida del què és la informació personal?

Qualsevol informació que contribueixi o pugui estar relacionada amb la identificació d’un individu serà inclosa dins de la nova definició de dades personals del Reglament General de Protecció de Dades.

Pot ser: des d’un nom, una adreça de correu electrònic, detalls bancaris, publicacions en xarxes socials, informació mèdica, l’adreça IP d’un ordinador, i inclús dades biomètriques i genètiques.

 

El RGPD afecta als correus electrònics i als números de telèfon professionals?

L’adreça d’email d’una persona i el seu número de telèfon (sigui personal o professional) es considera informació personal.

 

Què ha de fer amb les meves llistes de contactes existents?

Es necessita obtenir una autorització nova i explícita, amb un consentiment exprés a partir de l’entrada en vigor del nou RGPD.

 

Quines noves eines de control amb les seves dades posseeixen els ciutadans?

El Reglament introdueix nous elements, com el dret a l’oblit i el dret a la portabilitat, que milloren la capacitat de decisió i control dels ciutadans sobre les dades personals que confien a tercers.

El dret a l’oblit és la conseqüència del dret que tenen els ciutadans a sol·licitar, i obtenir dels responsables, que les dades personals siguin suprimides quan ja no siguin necessàries per a la finalitat amb la que van ser recollides, quan s’hagi retirat el consentiment o quan aquests s’hagin recollit de forma il·lícita.

El dret a la portabilitat implica que l’interessat que hagi proporcionat les seves dades podrà sol·licitar i recuperar-les en un format que li permeti el seu trasllat a un altre responsable. Quan això sigui tècnicament possible, el responsable haurà de transferir les dades directament al nou responsable designat per l’interessat.

 

A quina edat poden els menors prestar el seu consentiment per al tractament de les seves dades personals? Puc tractar les dades d’un pacient menor d’edat?

El Reglament estableix que l’edat en la que els menors poden prestar per si mateixos el seu consentiment per al tractament de les seves dades personals (per exemple, xarxes socials) és de 16 anys. Tanmateix, permet rebaixar aquesta edat i que cada Estat membre pugui establir la seva pròpia, establint un límit inferior de 13 anys. Per sota d’aquesta edat, és necessari el consentiment de pares o tutors. El consentiment del pacient per si mateix no és vàlid. A Espanya, el límit d’edat passarà dels actuals 14 anys als 13 anys.

 

Què és la responsabilitat activa en el nou sistema de protecció de dades?

Un dels aspectes principals en els que el Reglament basa el nou sistema de protecció de dades és el què es coneix com a Responsabilitat Activa, és a dir, la prevenció per part de les organitzacions respecte a les obligacions que s’imposen amb el tractament de dades, el què suposa que les clíniques dentals han d’adoptar mesures que assegurin i acreditin que estan en condicions de complir amb els principis, drets i garanties que estableix el Reglament.

El què es pretén amb aquest principi és evitar que s’actuï només quan s’hagi produït la infracció, ja que els danys o perjudicis que s’hagin generat seran de molt difícil o impossible solució.

El Reglament es basa en la prevenció, el què es coneix com responsabilitat activa. Per això, les clíniques dentals han d’adoptar mesures que assegurin raonablement que estan en condicions de complir amb els principis, drets i garanties que el Reglament estableix. El Reglament entén que actuar només quan ja s’ha produït una infracció és insuficient com a estratègia, donat que aquesta infracció pot causar danys als interessats que puguin ser molt difícils de compensar o reparar.

Canvia la forma en la que s’ha d’obtenir el consentiment?

La base fonamental per a tractar dades personals és el consentiment. El Reglament demana que el consentiment sigui lliure, informat, específic i inequívoc. Per poder considerar el consentiment com a “inequívoc” es requereix que hi hagi una declaració de l’interessat que indiqui el seu acord. El consentiment no pot deduir-se del silenci o de la inacció dels ciutadans.

El Reglament preveu que el consentiment hagi de ser “explícit” en alguns casos, com pot ser per autoritzar el tractament de dades sensibles, com són els de salut. Es tracta d’un requisit més estricte, ja que el consentiment no podrà entendre’s concedit implícitament. Serà precís que la declaració u acció es refereixin explícitament al consentiment i al tractament en qüestió.

S’ha de tenir en compte que el consentiment ha de ser verificable i que els qui recopilin dades personals han de ser capaços de demostrar que l’afectat va atorgar el seu consentiment. Per això, és important revisar els sistemes de risc del consentiment per tal que sigui possible verificar-ho davant d’una auditoria.

 

S’han de revisar els avisos o clàusules de privacitat?

Amb caràcter general, si. El Reglament preveu que s’incloguin a la informació que es proporciona als interessats una sèrie de qüestions, com explicar la base legal per al tractament de les dades, els períodes de retenció de les mateixes, i que els interessats puguin dirigir les seves reclamacions a les Autoritats de protecció de dades.

 

És convenient contractar una empresa per tal que m’assessori en aquesta matèria?

Llevat que alguna persona que es troba en plantilla de la clínica sigui molt experta en matèria legal i amb nocions també de processament de sistemes i informàtica, és millor contractar una empresa externa especialitzada.

 

Pot el COEC recomanar una empresa especialitzada en protecció de dades que em guiï en l’adaptació al nou RGPD a un preu col·lectiu?

Existeix una gran diversitat de consultories que es dediquen a aquesta matèria i donada la diversitat de les situacions en què es troben els col·legiats del COEC, no és possible aconseguir uns preus globals per a tots els col·legiats. Creiem que no seria correcte donat que no es pot avaluar d’igual manera unes situacions que unes altres.

 

Pot el COEC facilitar un llistat de totes les empreses que realitzen l’adaptació a la normativa?

No. Es tracta d’una informació de la qual no disposem y que a més a més no suposaria cap valor afegit pels col·legiats donar un llistat d’aquestes característiques.

 

Poden els ortodoncistes que treballen de manera externa per a les clíniques dentals treballar amb estudis de pacients (que contenen les seves dades personals) fora de la clínica dental?

Hauran de seguir-se uns protocols estrictes de seguretat degudament reglamentats i les dades no podran sortir de la clínica, o bé, si ho fan, hauran de ser remeses de manera protegida i encriptada.

En els casos en què un dentista tingui llogat un espai o un box en una clínica dental, cadascun dels dentistes que tracti les dades de caràcter personal haurà de seguir els protocols de seguretat que tinguin establerts per escrit els professionals.

Al respecte, els pactes de confidencialitat entre professionals no els eximeix de tenir els seus propis protocols de seguretat.

 

Quin és el millor moment per fer firmar el consentiment exprés a un pacient?

Quan el pacient signa el consentiment informat d’un tractament dental és un bon moment.

 

S’ha de canviar la clàusula informativa en matèria de protecció de dades?

Si, s’ha de canviar per una que reculli les obligacions del nou RGPD. En tots els casos en els que es reflexi fins ara la LOPD, ha de ser substituïda pel nou RGPD amb els requisits que ara s’estableixen.

 

Pot el COEC donar alguna plantilla de documents per donar compliment a la nova normativa?

Cada col·legiat ha de confeccionar les seves pròpies, donat que s’ha de plasmar la realitat verificable dels protocols i mesures de seguretat implantades a la clínica o consulta del professional en concret.

És obligatori crear un protocol d’actuació específic per al tractament de dades personals, tant de pacients com de treballadors?

Si, ha de ser un protocol que reculli totes les possibles interaccions amb les dades de caràcter personal de la clínica dental, especificant totes les accions vinculades a la protecció de dades.

És necessari disposar de claus d’accés diferents per a tots els ordinadors, que es produeixi el bloqueig d’ordinadors sistemàtic i regular, canviant les claus de forma continuada per part de cadascuna de les persones que accedeixin a la informació. Cada usuari ha de tenir un accés propi i diferenciat de la resta de treballadors, determinant també a quin nivell d’accés d’informació poden accedir.

També serà necessari encriptar totes les carpetes que puguin tenir informació de pacients, tant de salut com econòmiques.

 

Obligatorietat i funcions del Delegat de Seguretat (DPO)

En el nou Reglament apareix la obligació de contractar un Delegat de Protecció de Dades (DPO); això és una persona amb coneixements especialitzats en Dret i en la pràctica en matèria de protecció de dades.

Totes les Entitats públiques hauran de comptar amb un DPO i en el sector privat les clíniques dentals que realitzin tractament de dades de categories especials o bé relatives a condemnes o infraccions penals, de forma sistemàtica, habitual i massiva.

El DPO podrà ser un empleat del responsable del tractament o no, però, en tot cas, haurà d’estar en condicions de desenvolupar les seves funcions de forma independent.

 

El RGPD afecta especialment als dentistes?

El RGPD els afecta de ple, ja que el tipus de dades que es tracten són especialment sensibles, les dades de salut.

El Reglament defineix com a dades personals relacionades amb la salut aquelles “relatives a la salut física o mental d’una persona física, inclosa la prestació de serveis d’atenció sanitària, que revelin informació sobre el seu estat de salut” (article 4.15).

En aquesta definició el nou matís és que ara també s’inclouen com a dades de salut la informació o dades relatives a la prestació de serveis d’atenció sanitària que revelin informació sobre l’estat de salut d’una persona.

Per això, per la transcendència que puguin tenir aquest tipus de dades per a la privacitat del interessat, el RGPD atorga a aquest tipus de dades una major protecció, la qual fa que s’hagin d’acomplir una sèrie de condicions addicionals per al seu tractament.

En aquest camp en particular, el RGPD es complementa amb la Llei d’Autonomia del Pacient 41/2002, de 14 de novembre, la qual s’encarrega de regular els drets i les obligacions en matèria d’informació i documentació clínica.

La informació i la documentació clínica ha d’estar orientada per “la dignitat de la persona humana, el respecte a l’autonomia de la seva voluntat i la seva intimitat”, segons l’article 2 d’aquesta llei.

 

Quina és la informació que els pacients han de rebre per prestar el seu consentiment?

Amb el RGPD augmenta el nivell d’informació que tots els usuaris han de rebre dels responsables del tractament de les seves dades. En aquest sentit, la informació facilitada ha de contenir com a mínim els següents detalls:

  • Les dades de contacte del Delegat de Protecció de Dades, quan aquest sigui designat.
  • La base jurídica o legitimació per al tractament.
  • El termini o els criteris de conservació de la informació.
  • L’existència de decisions automatitzades o elaboració de perfils.
  • La previsió de transferències a tercers països.
  • El dret a presentar una reclamació davant de l’Agència de Protecció de Dades.

 

 

Quines mesures organitzatives i de seguretat ha d’aplicar la Clínica Dental?

La nova normativa preveu que s’apliquin mesures en funció del risc que puguin incórrer en e tractament de les dades.

Per tant, atenent a això, en el cas del tractament de dades de salut el nivell del risc és enorme, per la qual cosa s’hauran de dissenyar unes mesures organitzatives i de seguretat conforme al citat risc.

 

Què és l’avaluació d’Impacte?

Dins de les mesures de responsabilitat activa exigides pel RGPD es troba l’Avaluació d’Impacte, el concepte de la qual s’introdueix en el seu article 35, essent obligatori per a processaments d’alt risc, en els que s’inclouen les dades de salut.

L’Avaluació d’Impacte ha de realitzar-la la clínica dental responsable del tractament, tot i que ha de comptar amb l’assessorament del Delegat de Protecció de Dades.

L’avaluació d’impacte és una anàlisi del risc l’objectiu de la qual és permetre als responsables del tractament prendre mesures adequades per reduir aquests riscos.

 

Està obligat el dentista a efectuar un registre de les activitats de tractament?

Els responsables i els encarregats estan obligats en els casos de tractaments de dades de salut a mantenir un registre de les activitats de tractament que realitzin.

Aquest registre ha de contenir, almenys, les següents dades:

  • Identificació i dades de contacte del responsable, corresponsable, representant i delegat de protecció de dades.
  • Finalitats del tractament.
  • Descripció de categories d’interessats i dades.
  • Categories de destinataris existents o previstos (inclusivament en tercers països o organitzacions internacionals).
  • Transferències internacionals de dades i documentació de garanties per a transferències de dades internacionals exceptuades sobre base d’interessos legítims imperiosos.

 

Què he de fer davant de la necessitat de comunicació de les dades?

És habitual que les dades es comuniquin entre entitats per al millor tractament del pacient. En aquests casos, l’interessat haurà de tenir constància d’això, ja que serà ell qui permeti aquesta transmissió.

El responsable del fitxer haurà de complir determinats requisits:

  • Definir en un contracte escrit la regulació del tractament de dades per compte d’un tercer.
  • Establir que aquest tercer únicament tractarà les dades conforme a les seves instruccions.
  • Comprovar que les dades no seran utilitzades amb finalitats diferents a les determinades en el contracte, ni seran comunicades a altres persones.
  • El tercer haurà de complir amb les mateixes mesures de seguretat que les que observa el responsable del fitxer.

 

Què succeeix amb les mútues i les companyies d’assegurances?

En el cas particular i excepcional de les mútues i de les companyies d’assegurances, les dades mèdiques poden comunicar-se d’acord a principi de qualitat i únicament per tal de portar a terme l’elaboració de la factura de la despesa sanitària.

Això si, només són els que resultin adequats, pertinents i no excessius per a determinar l’import de dita assistència sanitària i atenent a l’article 24 del RGPD, s’haurà de subscriure un contracte de Destinatari de dades entre l’Assegurador i la Clínica Dental o el professional dentista.

 

Quines són algunes de les recomanacions de l’Agència Espanyola de Protecció de Dades aplicables tant a petites clíniques dentals gestionades per un dentista autònom com a grans centres sanitaris?

 

  • Mantenir al dia la relació de fitxers inscrits a l’Agència de Protecció de Dades d’acord al tractament de dades que es realitza.
  • Incloure en impresos i formularis de recollida de dades dels pacients les clàusules informatives i d’obtenció de consentiment corresponent, així com les relatives a possibles cessions de dades.
  • Disposar dels compromisos de confidencialitat dels treballadors degudament signats i portar a terme formació periòdica a la plantilla en aquesta matèria.
  • Tenir la documentació obligatòria (document de seguretat, inventari de suports, relació d’usuaris, etc.) actualitzada per part del personal corresponent.
  • Disposar dels contractes amb els encarregats de tractament i informar al personal de neteja, per exemple, sobre la necessitat de garantir la confidencialitat de les dades.
  • Adoptar les mesures corresponents per a l’emmagatzematge de la documentació en paper (historials clínics) així com la destrucció de la mateixa.
  • Formar al personal d’atenció al públic sobre els drets que poden exercitar els pacients.
  • Portar a terme una auditoria completa del sistema informàtic de gestió dels pacients per a complir amb les prescripcions establertes al RD1720/2007.

Realitzar les auditories biennals obligatòries, així com els controls periòdics corresponents.

Share on FacebookTweet about this on TwitterShare on Google+Share on LinkedIn