Con fecha 6 de Diciembre del 2018, se publicó en el BOE la largamente esperada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante, nueva LOPD). El texto establece nuevas obligaciones para todos los responsables del tratamiento de datos, y como no podía ser de otra forma, incide especialmente en los centros sanitarios obligados a custodiar el historial clínico de sus pacientes. Esta ley era necesaria en la medida en que el famoso Reglamento General de Protección de Datos (RGPD) dejó determinados aspectos abiertos a los legisladores de los países europeos.

Lo que sigue es un pequeño resumen que, bajo el punto de vista de Villahermosa, las clínicas de fisioterapia deberían de tener en cuenta, una vez más, para asegurar el cumplimiento de la tan cambiante normativa de privacidad y protección de datos.

Uno de los aspectos que más me suelen pedir, dice Alfonso, es la "redacción de un consentimiento" para la recogida de tratamiento de datos de los pacientes. Desde siempre, he defendido que tal consentimiento no es necesario, y lo que debemos hacer es revisar para qué queremos esos datos (para organizar la historia clínica, para mandarles un sms recordatorio de una citación, para gestión de agenda, para facturar...) y en base a ello, elaborar un documento específico informativo, lo más aclaratorio posible, que informe realmente de "para qué" queremos los datos del paciente. La nueva LOPD así lo reconoce. En síntesis, establece que el profesional sanitario reconocido como tal (Ley 44/2003, de ordenación de profesiones sanitarias, siendo el fisioterapeuta el profesional que se dedica " a la prestación de los cuidados propios de su disciplina, a través de tratamientos con medios y agentes físicos, dirigidos a la recuperación y rehabilitación de personas con disfunciones o discapacidades somáticas, así como a la prevención de las mismas" ) está obligado a conservar el historial clínico del paciente (Ley 41/2002, de Autonomía del Paciente), y como tal, la base jurídica para la cual el mismo necesita los datos del paciente no debe ser el consentimiento, sino el cumplimiento de la citada obligación legal. No deja de ser curioso que un fisioterapeuta extienda un documento de protección de datos al paciente donde se le "solicite un consentimiento" que está obligado a darnos, ya que existe la obligación legal de tratamiento de esos datos. Lo cierto es que no encaja en absoluto, por tanto, pedir tal permiso al mismo si el paciente no se puede negar. Esto, que parece de perogrullo, queda más que claro con la nueva LOPD, que cita las dos leyes anteriores como bases legitimadoras para el tratamiento de los datos. Resulta imprescindible revisar de nuevo esos documentos que extendemos a los pacientes porque francamente, podemos estar cometiendo una infracción si solicitamos algo que el paciente nos tiene que entregar: su información personal. El citado consentimiento, entendido el mismo como un "permiso" que el paciente puede o no puede darnos en base a sus preferencias, debe destinarse sola y exclusivamente a aspectos accesorios y sobre los que el profesional tiene capacidad de decisión: por ejemplo, el envío de una oferta promocional por email no es un tratamiento obligatorio, y requiere que el cliente lo apruebe con la marcación explícita de una casilla. El envío de un recordatorio de una citación por Whatsapp, siendo éste un medio bastante intrusivo para el tratamiento (Whatsapp pertenece a Facebook) también lo requiere. En definitiva: revisemos para qué queremos los datos, y facilitemos un documento lo más definitorio posible para el paciente. No existen modelos unívocos: el documento informativo de una clínica no tiene porqué valer para otra clínica. 

La nueva LOPD establece también cuándo debe existir un Delegado de Protección de Datos. Si bien anteriores redacciones de la ley parecían establecer que los centros sanitarios obligados a conservar el historial clínico deberían contar con un Delegado de Protección de Datos, en el texto final se ha añadido la excepción en relación al tratamiento "a título individual" de un profesional sanitario. A la espera de interpretaciones por nuestra autoridad de control, todo parece indicar que pequeñas clínicas con un solo profesional fisioterapeuta no estarán obligadas a implementar esta figura ni a tener que contratar ningún delegado externo. Como siempre, habrá que estar a la situación concreta de la clínica: ante supuesto de corresponsabilidad del centro, es imperativo el establecimiento de este delegado, así como en centros sanitarios donde convivan varios profesionales. Si bien, para clínicas unipersonales también existe la posibilidad de implantar esta figura de forma voluntaria, lo que confiere indudables beneficios para la misma, y sobre todo, da una imagen de seriedad y garantías en relación al cumplimiento de esta importante normativa que el cliente percibe. No olvidemos finalmente que si una clínica cuenta con un Delegado de Protección de Datos, el mismo debe inscribirse en el registro de la AEPD. Mi consejo en todo caso es que se implante de forma generalizada en las clínicas, incluso aunque no exista obligatoriedad. 

Resulta llamativo también la mención que se hace en la nueva LOPD a determinados servicios de protección de datos que sin lugar a dudas podemos considerar de fraudulentos. Desgraciadamente, al albor de los cambios normativos que ha habido en el 2018, han aparecido muchísimas consultoras que, con malas prácticas, han intentado "vender" servicios, muchos de ellos con cargo a fondos de formación. He recibido muchísimas llamadas de clientes que han recibido llamadas de empresas que se han hecho pasar por la administración pública, indicando que no cumplían con la ley y que estaban obligadas a hacer un "curso" en materia de protección de datos. Ha habido otros casos en los que se han hecho pasar directamente por la Agencia Española de Protección de Datos (incluso falseando nombres y con utilización de logotipos oficiales). La ley trata de dar las herramientas suficientes para luchar contra estas malas prácticas. De hecho, "realizar prácticas comerciales en las que se coarte el poder de decisión de los destinatarios mediante la referencia a la posible imposición de sanciones" o "actuar con la intención de suplantar la identidad de la Agencia Española de Protección de Datos" son prácticas consideradas a partir de ahora como "agresivas" y que pueden ser constitutivas de sanción según la normativa de competencia. La AEPD ha habilitado un canal de denuncia al respecto. Desde estas líneas solo puedo rogaros que si recibís llamadas de teléfono de tipo intimidatorio en relación al cumplimiento de esta normativa me lo hagáis saber o lo pongáis en comunicación del propio colegio. Lo vengo repitiendo desde siempre: la única forma que existe hoy en día de cumplir con la normativa de protección de datos es que alguien vaya a vuestra clínica y os la explique y os de la formación necesaria. 

Desgraciadamente toca hablar a continuación de sanciones. Existe un antes y después del pasado 25 de Mayo de 2018. La enorme "campaña divulgativa" que muchas empresas realizaron informando del tratamiento de nuestros datos no han hecho sino "despertar" las reclamaciones ante la AEPD. Se calcula que las mismas han aumentado un 35 por ciento, según fuentes de la propia autoridad de control. Existe una tendencia clara a "instrumentalizar" la protección de datos. El caso típico es el del paciente que acude a la AEPD (se puede hacer simplemente por vía telemática) y realiza una denuncia contra una clínica en base a un supuesto incumplimiento (según su punto de vista). Muchas denuncias no prosperan pero el susto se produce, y en todo caso es necesario la redacción de una serie de escritos que acrediten el cumplimiento cuando nos lo requieran. Las sanciones puede llegar a suponer un porcentaje importante de la facturación anual de la clínica. Casos como la pérdida de la copia de seguridad si la misma no está cifrada, el envío de emails con datos sanitarios con informaciones "en texto plano" (nuevamente, sin mecanismos de cifrado) o ataques informáticos (por ejemplo tipo "ransomware", con cifrado de documentos) que podamos recibir suponen un verdadero quebradero de cabeza ahora también ante la autoridad de control, que pueden desembocar en cuantiosas sanciones si no se consigue demostrar que hemos tomado precauciones. 

Alfonso Villahermosa Iglesias

Administrador de Legaltech Consulting