Los requisitos que la Ley de Protección de Datos de carácter personal impone para fichero de salud son altos, pero no es necesario tener que contratar una empresa para que gestione dichos requisitos.
Si queremos hacerlo nosotros mismos (ya tengas una clínica propia o trabajes en varias pero tengas tu propio archivo de pacientes) debemos hacer lo siguiente:
1- Dar de alta el fichero en la Agencia de Protección de Datos: Se puede hacer a través de la web de la AEPD rellenando y enviando este archivo. En el PDF que nos descargamos señalamos «Alta» y después «Tipo.» Así podremos elegir el modelo para «Pacientes», facilitándose así la cumplimentación del formulario. En cuanto a las formas de presentación, lo mas cómodo es el envío por Internet con certificado digital (Dni electrónico), si disponemos del mismo. Del formulario solo destacar una parte, el punto «Sistema de tratamiento» en el que pone «automatizado», «manual» y «mixto», refiriéndose a ficheros informatizados, por escrito y ambos a la vez respectivamente. Las medidas de seguridad serán diferentes si es informatizado o manual. Las veremos mas adelante.
2- Disponer de un Documento de seguridad: este libro contiene quien es el responsable del fichero, quienes pueden manejar los datos (los trabajadores de la consulta, por ejemplo) y con quien compartimos datos (protésico, gestoría…). En el libro también se incluirán los informes de auditorias y los posibles problemas detectados y su solución. Este libro debe estar en la consulta impreso y disponible para cualquier inspección de la Agencia. En la web de la misma podemos descargarnos un modelo editable en word y tenemos, además, guías para saber como rellenarlo.
3- Cumplir las medidas de seguridad: al igual que con los dos anteriores, la AEPD dispone de un manual para saber cuales son las medidas que debemos cumplir. Hay que tener en cuenta que las medidas de seguridad son mayores en caso de ficheros informáticos (automatizados) dado lo fácil que es copiar esos datos. En los ficheros manuales suele bastar con guardar los datos en un archivador con llave en una habitación que también disponga de cerradura, además de no dejar las historias a la vista del público. En los informáticos, además del control de acceso (mediante clave), también será necesario realizar una copia de seguridad semanal con un disco duro externo.
4- Realizar auditoria cada dos años: no tenemos porqué encargarla a una empresa externa, sino que podemos hacerlo nosotros mismos. Para ello rellenaremos la serie de preguntas que aparecen en el manual que antes o hemos puesto, a partir de la página 42.
Y eso es todo, como veis es sencillo y fácil de realizar.
En futuras entradas trataremos temas relacionados con la protección de datos como qué nos puede pedir un paciente o cuanto tiempo debemos guardar las historias.