La Fisioterapia, al igual que muchas otras profesiones sanitarias, maneja numerosos datos personales; algunos de ellos, de carácter sensible, como la información sobre pacientes.
En materia de privacidad, esto requiere un estricto cumplimiento de dos normas: el Reglamento General 2076/679, de Protección de Datos (RGPD), y la Ley Orgánica 3/2018, de protección de datos y garantía de los derechos digitales (LOPDGDD). Este marco legal establece estándares rigurosos para la recogida, el almacenamiento y el uso de ciertos datos, con el objetivo de proteger los derechos y la privacidad de las personas.
Cumplimiento normativo del RGPD
El RGPD establece una serie de principios fundamentales que los fisioterapeutas deben cumplir, como la necesidad de utilizar los datos de acuerdo con una base de legitimación adecuada (consentimiento, obligación legal, ejecución de relación contractual, interés legítimo, interés vital). Además, tienen que utilizar los datos mínimos y necesarios con una finalidad adecuada y limitada, conservarlos por el tiempo legalmente establecido e informar siempre al paciente de todo ello, así como implementar medidas técnicas y organizativas que garanticen la seguridad de la información.
Hay que recordar que el consentimiento no es la base de legitimación correcta en el vínculo fisioterapeuta-paciente, sino la ejecución de una relación contractual entre el paciente y el profesional. El consentimiento se tendrá que solicitar solo para la realización de los tratamientos. Es decir, desde un punto de vista clínico, y podrá ser por escrito o verbal, dependiendo de si el tratamiento es invasivo o no invasivo.
Una cuestión diferente es que el fisioterapeuta quiera enviar comunicaciones de servicios a sus pacientes (newsletters, por ejemplo), en cuyo caso deberá solicitar el consentimiento previo.
Información y transparencia
De acuerdo con el RGPD, la información al paciente es esencial para la recopilación y el uso de sus datos personales. Cada fisioterapeuta debe comunicar de manera clara y comprensible quién es el responsable del tratamiento, finalidad y legitimación, criterios de conservación, comunicación a terceros y ejercicio de derechos, y si existe un delegado de Protección de Datos.
Si se trata de una clínica, también debe informar adecuadamente a sus trabajadores y en su web a través de unos textos legales (aviso legal, política de privacidad y política de cookies), y realizar contratos con proveedores que tengan acceso a datos personales (encargados del tratamiento), como son aquellos fisioterapeutas autónomos que pueda contratar.
Registro de actividades de tratamiento
De acuerdo con el RGPD, los fisioterapeutas deben mantener un registro detallado de todas las actividades de tratamiento de datos personales. Este registro debe de incluir:
- el nombre y los datos de contacto del responsable del tratamiento (nombre y apellidos del fisioterapeuta autónomo o la razón social si es empresa) y, en su caso, del delegado de Protección de Datos;
- los fines del tratamiento;
- una descripción de las categorías de interesados (por ejemplo: pacientes, empleados, etc.) y de las categorías de datos personales (como: datos identificativos y de contacto, de circunstancias personales, datos de salud, imagen, bancarios, etc.);
- las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales (como: bancos, aseguradoras, mutuas de accidentes, etc.);
- en su caso, las transferencias de datos personales a un tercer país o una organización internacional;
- cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos;
- y cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Seguridad de los datos y análisis de riesgos
Los fisioterapeutas deben implementar medidas de seguridad adecuadas para garantizar la protección de los datos personales, tanto en soporte digital como en formato impreso en papel. La normativa deja a discreción del responsable cómo deben ser estas medidas, dependiendo de sus necesidades, de los medios utilizados, recursos económicos, etc.
Esto implica hacer un análisis de riesgo de las medidas existentes, implementar aquellas que sean necesarias para mitigar los riesgos, y evaluarlas periódicamente para comprobar su eficacia. Las medidas de seguridad pueden incluir el cifrado de datos, la seudonimización, la limitación del acceso a la información y las copias de seguridad.
Derechos de los individuos
La normativa indicada otorga a los individuos una serie de derechos en relación con sus datos personales: de acceso, rectificación, oposición, supresión, portabilidad y limitación al tratamiento de los datos, así como poder retirar su consentimiento en cualquier momento.
Los fisioterapeutas deben cumplir con estas solicitudes y proporcionar a sus pacientes información clara sobre cómo ejercer sus derechos. Siempre se debe responder al ejercicio de estos derechos y el plazo máximo para hacerlo es de un mes.
Brechas de seguridad
Una brecha de seguridad puede ser una contingencia que afecte a la confidencialidad, disponibilidad o integridad de la información. Entre ellas pueden estar una suplantación de identidad, un acceso indebido a datos, un virus que encripte la información o la destruya, un robo o usurpación, etc.
Si esto ocurre, cada fisioterapeuta tendrá que analizar la gravedad y la afectación de los datos, y número de personas afectadas, para determinar si está o no ante la obligación de notificar tal brecha a la Agencia Española de Protección de Datos y, en su caso, a los afectados. El plazo para hacerlo es, en principio, de 72 horas desde que tuvo conocimiento de la incidencia. En cualquier caso, se debe de dejar un registro interno de la brecha.
Ante una brecha tendremos que saber cómo reaccionar, aplicando medidas reactivas para mitigarla o solucionarla, y acciones preventivas para que no vuelva a suceder en el futuro.
Transferencias internacionales de datos
Si un fisioterapeuta realiza transferencias internacionales de datos fuera del Espacio Económico Europeo (EEE), debe garantizar que se cumplan los requisitos de protección de datos del RGPD.
Esto puede ocurrir cuando se adquieren softwares clínicos de propietarios fuera del EEE y habría que aplicar las cláusulas contractuales estándar o la adhesión a esquemas de certificación específicos.
Delegado de protección de datos
Los centros sanitarios obligados al mantenimiento de las historias clínicas de los pacientes deben designar un delegado de Protección de Datos (DPO), ya que así lo recoge el artículo 34 de la LOPDGDD.
El DPO puede designarse de manera interna. Es decir, puede ejercer esa posición un empleado del centro sanitario, siempre y cuando tenga conocimientos suficientes y experiencia. O, lo más habitual, contratarse un DPO externo.
En cualquier caso, el DPO debe tener completa independencia y contar con los recursos necesarios para poder desempeñar todas sus funciones de acuerdo a la ley.
La única excepción al nombramiento obligatorio de un DPO es para profesionales sanitarios que ejerzan su actividad de manera privada y a título individual, si bien podrán designarlo de manera voluntaria.
Conclusiones
El cumplimiento del Reglamento General de Protección de Datos es un aspecto fundamental de la práctica fisioterápica, ética y legalmente. Cada fisioterapeuta tiene la obligación de estar plenamente informado sobre sus obligaciones bajo el RGPD y tomar medidas proactivas para garantizar la protección de los datos personales de sus pacientes.
No solo vale con crear una cláusula informativa para los pacientes o argumentar que no se guarda información clínica, ya que la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, indica que los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, para prestar la debida asistencia al paciente durante el tiempo adecuado a cada caso; y como mínimo, durante cinco años, contados desde la fecha de alta, del último proceso asistencial.
Con esto no se cumple con la normativa y la mayoría de las consultas que llegan para el DPO del CPFCM son en este sentido. Hay una insuficiente concienciación e información por parte de este colectivo de sus obligaciones en esta materia y de las sanciones que puede imponer la Agencia Española de Protección de Datos.
Para ser conscientes de su relevancia, la sanción máxima que contempla el RGPD puede llegar a 20 millones de euros o el 4% del volumen de facturación del año anterior al que está en curso.
Sin llegar a esa cantidad, en el caso de los fisioterapeutas, lo normal es que la horquilla pueda ir desde unos 3.000 euros, en una infracción muy leve, hasta multas que estén en el rango de los 100.000-200.000 euros, suficiente cuantía como para tener que cerrar un negocio -teniendo en cuenta además que los autónomos responden con sus bienes personales-.
Por eso, es fundamental asesorarse adecuadamente con un profesional que aclare qué hay que cumplir, de un modo ajustado y personalizado según la forma de prestar el servicio.
Puedes consultar tus dudas con la Asesoría de Protección de Datos que ofrece el Colegio, a través de Secretaría (por correo electrónico: cpfm@cfisiomad.org; o solicitando una consulta presencial con el asesor: 91 504 55 85).
Este servicio incluye un asesoramiento básico. No abarca el desarrollo de una investigación o informe jurídico ni realizar tu adaptación personalizada a la normativa sobre Protección de Datos.
Si así lo necesitas, puedes contactar con Mesher Consulting Data, que te facilitará sus honorarios por dicho servicio.
Para acceder a las preguntas más frecuentes que recibimos en el Colegio sobre este asunto, pincha aquí.
