LOPD en la clínica dental

El pasado viernes tuvimos en nuestra clínica un curso de formación interna sobre la Ley Orgánica de Protección de Datos de Carácter Personal o LOPD.

Logo Lecce Consultores

Actualmente, la empresa que nos asesora en este ámbito es LECCE Consultores, y nos impartieron una charla de una manera muy didáctica y amena para todos. Desde aquí queremos darles las gracias.

Logo UNE 17:9001 AENOR

Desde que en 2011 obtuvimos la certificación UNE 17:9001 por parte de AENOR, como norma de calidad en nuestro servicio, atendemos a estos requisitos de una manera muy estricta. Aún así, nunca está de más que recibamos un recuerdo periódico sobre protección de datos y su aplicación directa en nuestra clínica.

En materia de protección de datos, las clínica dentales así como cualquier centro sanitario que maneje historiales y datos personales de pacientes, son centros con datos especialmente protegidos por lo que se requieren de medidas de seguridad de nivel alto.

Las obligaciones que impone la LOPD a los centros sanitarios son:

  • Inscribir los ficheros en el Registro.
  • Redactar un Documento de Seguridad.
  • Garantizar la seguridad en el tratamiento de datos personales.
  • Cumplir con una serie de obligaciones formales.

Y uno se dirá asi mismo: «Si sólo se trata de tener bien controlados los historiales de los pacientes…».

Multiple-Patient-Record

Efectivamente ese es uno de los puntos más importantes. Hoy en día los historiales de los pacientes no sólo están en un fichero físico (soporte no automatizado), sino también en un fichero informático (soporte automatizado). Estos ficheros, tanto los analógicos como los digitales tienen que ser almacenados de una manera específica para cumplir en todo momento el Reglamento de desarrollo de la LOPD vigente desde 21 de diciembre de 2007.

Los ficheros físicos se almacenan en una carpeta por paciente, que a su vez son almacenados bajo llave. En el día a día, se extraen sólo los ficheros de los pacientes que tienen cita previa. Estos ficheros en «circulación» se depositan en un lugar específico de la clínica bien custodiado por nuestro personal.

file0001774757246

Para los ficheros digitales o automatizados, que se integran en el programa informático de gestión de nuestra clínica se presentan nuevas consideraciones.

El acceso a cualquiera de los ordenadores de la clínica está protegido por una contraseña específica a cada trabajador. Ocurre igualmente para el acceso al programa informático de gestión de los historiales. Cada trabajador que accede a los ordenadores de la clínica tiene su propio nombre de usuario y su propia contraseña que sólo la conoce él mismo y nadie más. De esa manera en todo momento, por un lado vamos a tener registro de quién ha accedido a esos datos, y por el otro, cualquier persona no autorizada no va a poder acceder a esa información.

Los datos de los pacientes son copiados diariamente en copias de seguridad interna que nos van a permitir rescartarlos en casos de sufrir cualquier tipo de avería infromática. Por otro lado, se procede a una copia de seguridad externa semanalmente, mediante un disco duro físico que no se almacena dentro de la clínica. De esa manera en caso de sufrir un robo o desperfectos en el servidor que almacena los historiales de los pacientes, vamos a poder restaurar la situación volcando de nuevo los datos copiados.
Man's Hands Signing DocumentPor otro lado, conviene saber, que todo trabajador que accede a la clínica, desde los doctores, pasando por las auxiliares, recepcionistas, colaboradores, personal de limpieza, laboratorios de prótesis, etc, ha firmado una clausula de protección de datos, con la que se les obliga a responder ante la LOPD en nuestro centro. De esa manera todo aquel que tenga un acceso a nuestra clínica por haber sido contratado para darnos un servicio, va a saber que los datos de los pacientes no pueden salir de nuestra clínica.

Los datos de los pacientes sólo los puede conocer el paciente, y los profesionales asociados a velar por su salud, en este caso por su salud bucodental. De esta manera el paciente que acude a tratarse a nuestra clínica firma un contrato por el que nos cede sus datos de filiación y médicos para que nos permita darle un servicio médico individualizado.

Esto lo podemos ver muy claro en los paciente famosos. Por ejemplo, si viniese Brad Pitt, por poner un ejemplo, a nuestra consulta y le hemos tenido que extraer una muela. Supongamos que al día siguiente aparece un tweet o una publicación en Facebook, comentando que dicho paciente se ha realizado una extracción en nuestra clínica por haber consumido demasiadas «chucherías». Es evidente que estamos inclumpliendo severamente la norma. De igual importancia es cuando un paciente tiene alguna enfermedad infecciosa tipo hepatitis C o VIH.

Ley Orgánica de Protección de DatosLa LOPD tiene una serie de principios de protección de datos que nosotros también aplicamos en nuestro ámbito. En el principio de calidad, se establece que sólo debemos de obtener los datos necesarios para nuestro cometido. Estos datos serán sólo los necesarios para poder por un lado ofrecer un diagnóstico y un tratamiento adecuados al paciente, y por el otro, asegurarnos de que sus datos van a ser custodiados correctamente y no van a sufrir la cesión a terceros.

De esta manera, por ejemplo, un paciente podría preguntarnos: «¿Realmente es necesario que diga mi estado civil para realizarme una limpieza?». Pues resulta que tiene más importancia de lo que en un principio uno podría pensar… El estado civil nos puede dar una información necesaria a la hora de custodiar los datos de un paciente menor de edad. Por ejemplo, supongamos que una madre divorciada nos trae a su hijo para revisión y limpieza. La madre nos facilitará todos los datos, tanto médicos como de filiación, de su hijo. Al cabo de un tiempo, acude su padre y nos dice que le entreguemos el histrial de su hijo porque van a cambiar de residencia. En ese momento, podríamos cometer una falta grave en materia de protección de datos, si le entregamos los datos, sin conocer cual de los dos padres tiene la patria potestad de su hijo.

padresOtro ejemplo, sería a la hora de entregar una factura. En el mismo ejemplo anterior, podría venir el padre pidiendo la factura del tratamiento dental que le realizamos a su hijo hace unas semana cuando vino con su madre. En ese momento, tendremos que valorar si ese simple acto de «entregar una factura» lo podemos llevar a cabo. Podría ser que el tratamiento hubiera sido abonado por la madre y pudiéramos cometer una falta grave al entregárselo al padre, estando estos divorciados…

Enfin, como estos ejemplos anteriores se dan multitud de situaciones. Es por ello que necesitamos los datos que pedimos. Un único objetivo está detrás de todo: cumplir la LOPD.

Cumpliendo la ley, cumplimos con nuestro cometido: dar el mejor servicio al paciente.

¿Te ha surgido alguna duda? Hablaremos más sobre la LOPD en las clínica dentales, aunque mientras, puedes escribir un comentario justo debajo…

 

Related Posts Plugin for WordPress, Blogger...

5 pensamientos en “LOPD en la clínica dental

  1. Avatarnuevokindle

    Hola Guillem, muchas gracias por la información, con los ejemplos queda mucho más claro.

    Tengo una pregunta, la parte de la copia de seguridad digital, la que hacéis en un disco duro semanalmente, ¿sabes las normas que tiene que cumplir esta copia? me refiero a cosas como si se puede almacenar en algún servicio de disco duro en la nube (dropbox, google drive), si tiene que estar encriptada de alguna manera por si se pierde el disco duro, la frecuencia, cosas así.

    Gracias y un saludo

    -Carlos

  2. Guillem Esteve PardoGuillem Esteve Pardo Autor

    Hola Carlos, no soy un experto en esta materia y estamos constantemente recomendados por la empresa que nos ayuda en materia de LOPD.
    En principio, la copia de seguridad externa, es un complemento a la copia de seguridad interna, que queda en la clínica. La hacemos semanalmente por tener un respaldo de la copia principal por si hubiera algún accidente en la clínica en el que pudiera deteriorarse el sistema informático, pero creo que no es obligatoria. La copia está regulada por una contraseña y supongo que el programa correspondiente hará su propia encriptación de los datos.
    En cuanto a realizar la copia de seguridad en la nube, en el momento que nosotros lo preguntamos nos dijeron que no, pues dicho sistema todavía no ofrecía la seguridad suficiente que requieren los datos médicos (nivel alto de seguridad). Aún así esto varía de la noche a la mañana y actualmente no sé si habrá cambiado la normativa.
    Hay un programa de gestión dental (http://www.gestiondeclinica.es) que trabaja en la nube y supongo que estarán cumpliendo dicha normativa a raja tabla, por lo que casi seguro que hay alguna manera de hacerlo. Si contactas con ellos a lo mejor te pueden aconsejar con más criterio que yo…
    Por lo que he podido ver, ellos han creado su propia macro-base de datos: http://www.gestiondeclinica.es/softwaregestionodontologicaonline_intergestiona.aspx#bank

    Espero haber resuelto algo tus dudas!
    Un saludo y gracias por tu comentario!

  3. Avatarnuevokindle

    Hola Gillem, gracias, duda resuelta!

    El tema del encriptado lo pregunto porque hay programas que utilizan su propio formato de fichero, pero esto no es lo mismo que encriptado, que implica una seguridad mucho más alta. Estoy mirando sobre esto pero no encuentro nada concreto de momento, ni información específica sobre lo que significa seguridad de nivel alto en detalle, por ejemplo, ¿se necesita encriptación? ¿se necesita doble backup? ¿el programa que se use en la clínica tiene que cumplir alguna cosa extra?, cosas así.

    Muchas gracias por tu respuesta.

    -Carlos

  4. AvatarJosé Burgos Rodríguez

    Estimado amigos, soy especialista en copias de seguridad y recuperación de desastres. Tenemos muchos clientes que son clínicas dentales. Tenemos un producto que hace copias cada 15′, encriptadas por una clave que sólo el cliente sabe y que mantiene varias réplicas locales y remotas por medio de Internet. Las copias remotas son almacenadas donde el cliente elija (ej: la casa del director o dueño de la clínica), cumpliendo asi la LOPD en su nivel más alto.
    Quedo a vuestra disposición para ayudaros a resolver dudas al respecto.
    Saludos cordiales.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.