El Reglamento General de Protección de Datos (RGPD) se aplicará a partir de este mes de mayo y es importante que todas las pequeñas y medianas empresas se adapten a este nuevo Reglamento. Algunas de las preguntas más frecuentes las respondemos a continuación
1.- ¿Qué es el Reglamento General de Protección de Datos Personales?
El Reglamento trata la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El Reglamento entró en vigor en 2016, pero será de aplicación este próximo 25 de mayo.
2.- ¿Cuáles son sus objetivos?
Sus objetivos son dar armonía y uniformidad a la regulación de tratamiento de datos personales a nivel europeo, incrementando el control de los titulares sobre los datos y disminuyendo la desigualdad en la protección de datos entre los países miembros de la UE.
3.- Las clínicas pequeñas y/o medianas que ya cumplan con la actual LOPD, ¿deben adaptar sus políticas de protección de datos?
Sí, el RGPD sustituirá a la actual LOPD.
El RGPD será de aplicación directa el 25 de mayo en España hasta la aprobación del Proyecto de Ley Orgánica de Protección de Datos. Llegado ese momento, deberá ser revisado de nuevo para aplicar posibles cambios en las políticas que hasta el momento se estén implementando.
Mar España, directora de la Agencia Española de Protección de Datos, ya ha comentado públicamente que no habrá moratoria en la aplicación del RGPD y ha aconsejado a todas las empresas, con mención especial a las pequeñas y medianas empresas, que comiencen a adaptarse al Reglamento cuanto antes.
4.- ¿Qué es un Responsable de Protección de Datos?
Responsable es la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, solo o junto con otros, que determine los fines, contenido y uso del tratamiento de datos, aunque no lo realice materialmente.
En este caso, las personas físicas o empresas propietarias de las clínicas o laboratorios serían los Responsables, quienes van a tratar los datos personales de los interesados.
El Responsable deberá asegurarse de que los datos personales son:
a) Tratados de manera lícita, leal y transparente.
b) Recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines.
c) Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
d) Exactos y, si fuera necesario, actualizados.
Además, el Responsable tiene una “responsabilidad proactiva” por la que deberá ser capaz de demostrar que ha cumplido con sus obligaciones.
5.- ¿Qué es un Encargado de Protección de Datos?
El Encargado es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del Responsable del tratamiento.
Un ejemplo claro de Encargado sería una gestoría que lleve las nóminas de los trabajadores de una clínica o laboratorio.
6.- ¿Qué es un tratamiento?
Cualquier operación, automatizada o no, realizada sobre datos personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Para las clínicas y laboratorios, como Responsables de datos personales, es importante definir cuándo están tratando datos personales y en qué casos sus proveedores están tratando los datos personales de los “interesados” (como sus clientes o empleados) para cumplir con un servicio que presten.
7.- ¿Cuándo se puede llevar a cabo un tratamiento de datos de acuerdo con el RGPD?
Se puede llevar a cabo siempre que se dé, como mínimo, una de las siguientes condiciones con respecto al tratamiento:
a) El consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) La ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) El cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) Para proteger intereses vitales del interesado o de otra persona física;
e) El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) La satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. Este apartado no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.
Esta condición aplica siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Tiene que ir seguido (si no hay pies de página) porque esta excepción sólo aplica a este apartado concreto y no a todos.
8.- ¿Cuándo es necesario un consentimiento? ¿Qué es un consentimiento explícito y proactivo?
Se debería pedir consentimiento siempre para tratar los datos por parte de la clínica/laboratorio o si estos, quisieran comunicar o ceder los datos a otra empresa para otra finalidad distinta del consentimiento inicialmente dado. Además, deberán guardarse evidencias de los consentimientos prestados por los interesados.
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. El silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.
9.- Los datos personales de los empleados también deben ser protegidos.
Se deberá informar a los empleados de qué tratamiento se hace de sus datos personales. En algunos casos, no será necesario su consentimiento expreso, pero sí será necesario informarles (y guardar la evidencia de haberles informado) de cuál es su finalidad.
En este caso, no será necesario el consentimiento por existir una de las causas de licitud para el tratamiento de datos de acuerdo con el RGPD, “la ejecución del contrato laboral”.
10.- ¿Qué implica la adaptación en las clínicas/laboratorios?
El Responsable, además de la obligación de proteger los datos personales que posea frente a terceros como antes mencionamos, deberán, entre otros procesos:
1- Cumplir de forma diligente con el “deber de informar” antes de la toma de datos a los interesados de:
– quién será el Responsable de sus datos (ej. la clínica),
– la finalidad del tratamiento (por qué se necesitan sus datos),
– la legitimación del tratamiento (la causa por la que el responsable le va a tratar),
– los derechos que se pueden ejercer sobre sus datos personales cuando éstos sean tratados, y
– un link (si es la web) o una dirección online donde el interesado pueda acceder a mayor información sobre el tratamiento que se realiza de sus datos.
2- Tras haber cumplido el deber de informar con los documentos informativos creados ad hoc, se deberán recoger los consentimientos para los tratamientos (guardando así una evidencia) que sean necesarios en cada caso.
3- Mantener un “registro de actividades” y un documento que evidencie todas las medidas (técnicas y organizativas) que se han tomado de forma similar al anterior Documento de Seguridad de la LOPD. Por cada tratamiento que haga el Responsable se deberá hacer un análisis de los riesgos. Con la entrada en vigor del RGPD desaparece la obligación de la LOPD de registro de ficheros con la Agencia y el “Documento de Seguridad” (aunque como mencionamos, se deberá elaborar otro parecido).
4- Analizar qué proveedores y/o terceros pueden llegar a tratar datos personales del Responsable para implementar medidas necesarias como la firma de contratos de Encargado y/o de Prestación de Servicios SIN acceso a datos.
5- Tomar todas las medidas de seguridad informática necesarias para proteger la información que conservamos en nuestros sistemas y que son vulnerables.
11.- En el caso de prestadores de servicios sin acceso a datos para clínicas/laboratorios, ¿Cuándo se tratan datos personales?
Cuando prestamos el servicio, no actuamos como Encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.
Es obligación de la clínica o laboratorio, como Responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.
En caso contrario (recibir la información sin datos anonimizados), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.
En estos casos, cuando no se tenga acceso a datos personales de las clínicas/laboratorios, únicamente de forma accidental, no se deberá firmar un contrato de “Encargado de Tratamiento” en sí. Sin embargo, sí sería necesario firmar un “Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos”, donde se recojan las obligaciones del Responsable y del Encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.
En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos son: empresa de limpieza, mantenimiento técnico, cáterings de empresa…
Queda muy poco tiempo para adaptarse a la nueva normativa. A partir del 26 de mayo podrán aplicarse sanciones a cualquiera que haya recopilado datos para su actividad y no haya cumplido con el nuevo reglamento.
Proclinic S.A. informa de que esta comunicación no está destinada a ser y no constituye asesoramiento legal, recomendamos encarecidamente que se acuda a un experto en la materia para confirmar especificaciones en la aplicación del RGPD en cada caso concreto.