Una de las preguntas que más he recibido últimamente ha sido sobre LOPD 2018 para terapeutas: ¿cómo adaptarte si realizas coaching o terapia?.
Por eso hoy tenemos a Marina Brocca resolviendo todas tus dudas sobre la LOPD. Te dejo con ella 🙂
¿LOPD? ¿Qué es esto? Lo primero que quiero contarte es que si eres terapeuta, tu trabajo está estrechamente vinculado a estas siglas, así que espero que te quedes, te sorprenderá saber lo importantes que son estas 4 letras en tu actividad.
Tengo que confesarte que antes de ponerme a escribir este post, no tenía información concreta sobre el nivel de conocimiento y adaptación de los terapeutas y coaches
a la regulación que protege los datos personales, la materia prima de todo profesional que trabaja en un entorno terapéutico y que además trabaja con información especialmente sensible..
El equipo de Ana ha realizado un trabajo increíble para analizar el conocimiento de su audiencia, coaches y terapeutas, y las inquietudes que tenían sobre el tema, un trabajo que me ha permitido crear este mega post enfocado en todos vuestros comentarios y dudas sobres el tema.
Gracias a ese estudio, he descubierto que gran parte de vosotros, necesita información urgente sobre la LOPD, como una pieza clave en vuestro trabajo y que puede condicionar vuestra continuidad del negocio, teniendo en cuenta que no es opcional y entraña riesgos económicos y reputacionales inasumibles.
Pero además, es un importante factor de credibilidad, ya que ofrecer garantías a quienes nos confían su información personal y mostrar nuestro compromiso con su intimidad, será un disparador de confianza, la base de cualquier relación profesional y personal.
Es muy significativo que casi el 70% desconozca de si cumple o no con la LOPD en la consulta y casi un 60%, tampoco sepa si cumple con esta regulación en su web.
Cuando acabes este post, prometo que no te quedarán dudas sobre si cumples o no en tu consulta y en tu web.
Tabla de contenidos de este post
- 1 Vayamos al grano ¿Qué es exactamente la LOPD?
- 2 ¿Debo cumplir la LOPD o el RGPD?
- 3 ¿Solo hay que cumplirla si trabajas como psicólogo o en cualquier tipo de terapia?
- 4 ¿Hay que darse de alta en algún lado?
- 5 ¿Cambia la documentación a firmar dependiendo de la nomenclatura con que los designes? pacientes, clientes, usuarios?
- 6 ¿Cambia algo si tienes el despacho en tu lugar de residencia?
- 7 Cómo cumplir con la LOPD dentro del trabajo de consulta
- 8
- 9 ¿Qué debo hacer si solo trabajo de forma online?
- 10 En caso de niños y niñas, ¿necesitamos el consentimiento de los padres para hacer terapia?
- 11 ¿Cuándo y de qué manera se llevan a cabo las inspecciones?
- 12 ¿Que tengo que hacer con mi web?
- 13 ¿Cómo puedo cumplir con el la nueva LOPD en mi consulta y mi web?
Vayamos al grano ¿Qué es exactamente la LOPD?
LOPD son las siglas de Ley Orgánica de Protección de datos que rige en España, objetivo de esta Ley es regular el tratamiento de los datos personales y proteger los derechos fundamentales de las personas físicas, y especialmente su derecho al honor, intimidad personal y familiar y a la propia imagen.
Cuando pensamos en datos personales, no recapacitamos en que estamos gestionando identidades que pueden verse comprometidas si no sabemos cómo gestionar esa información de forma segura.
En párrafo corto, la LOPD regula los derechos que tenemos los ciudadanos sobre nuestra información personal e impone una serie de obligaciones a todos aquellos que tratan esa información: profesionales, empresas, organismos públicos, etc..
Entre otras cosas, la LOPD prohíbe que se traten nuestros datos contra nuestra voluntad, por ejemplo, con fines publicitarios y exige a quienes traten esos datos, que garanticen la confidencialidad, la integridad y la disponibilidad de esa información.
- ¿Recibes correos publicitarios de empresas o personas a quienes no conoces de nada y nunca les has dado tu permiso para mandarte sus promociones?
- ¿Te llaman empresas para hacerte ofertas con las que nunca tuviste relación comercial?
- ¿Has asistido a un evento y han publicado una foto tuya en la web o red social sin tu consentimiento?
- ¿Te han metido en una lista de suscripciones después de apuntarte a un webinair sin que te lo informaran?
- ¿Has realizado una prueba y la lista de los examinados aparece publicada en una web?
- ¿Hay una cámara de videovigilancia en el restaurante que no esté advertida?
Estas son algunas de las situaciones más comunes que intenta prevenir la LOPD, entre otras muchas más que vulneran nuestro derecho a la intimidad. Tus datos personales te pertenecen y sólo tú puedes decidir quien los gestiona, con qué finalidad, con quien los comparte y hasta cuando, cuando alguien no respeta esas decisiones, está vulnerando la LOPD.
¿Debo cumplir la LOPD o el RGPD?
Es una pregunta que te estarás haciendo y es posible que tengas un lío de siglas descomunal, porque hace meses que nos bombardean con correos pidiendo que cumplamos o aceptemos las nuevas políticas del RGPD y ya ni sepas si debes olvidarte de la LOPD o que se supone que tienes que cumplir.
Es un tema que se te hace bola ¿verdad?
Te lo pondré fácil. En mayo de 2018 entró en vigor el RGPD, el Reglamento Europeo de Protección de datos, esta regulación unifica derechos y obligaciones en todos los países de la unión europea, para que todos los ciudadanos europeos tengamos los mismos derechos, es por eso, que afecta a cualquier empresa o responsable que trate datos de europeos, residan o no en Europa, es por eso por lo que empresas como Facebook o Google, que no son europeas, tuvieron que plegarse y hacer cambios considerables para cumplir.
Pues bien, el RGPD, obligó a todas las regulaciones nacionales en materia de protección de datos, incluida nuestra LOPD, a adaptarse al RGPD, por tanto, cada país , debía aprobar una legislación propia para aterrizar localmente las exigencias del RGPD.
Justamente, ese ajuste de nuestra LOPD al RGPD es lo que se conoce como la LOPDGDD, es decir, Ley de Protección de Datos y garantía de los derechos digitales que estamos estrenado desde que el 6 de diciembre pasado por fin se publicó en el BOE, es por eso que coloquialmente, hablamos de la “nueva LOPD”, en este post puedes encontrar todas las novedades que introduce.
Sé que es un poco lioso, así que te he preparado un esquema más sencillo.
¿Solo hay que cumplirla si trabajas como psicólogo o en cualquier tipo de terapia?
Pues no, debe cumplirla todo aquel que trabaje con datos personales de otros , independientemente de su oficio e independientemente también si eres profesional o empresa..
Recuerda que como datos personales, se entiende todo aquello que permita identificar a una persona o hacerlo identificable, desde una IP, hasta una huella biométrica, un correo electrónico, la voz, una imagen, etc.
Lo que está claro, que cuanto más sensible sea la información que trates, mayor es el nivel de protección que debes asumir, mayor responsabilidad, mayores obligaciones, no es lo mismo que se vean expuestos datos de salud de un paciente que datos de correos electrónicos de una lista.
Si trabajas en ámbitos terapéuticos, de forma online u offline, esto lo sabes mejor que yo, la materia prima de tu trabajo son los datos especialmente delicados, que pueden comprometer seriamente la privacidad de una persona, desde las notas de una consulta, las fichas de un paciente, el historial clínico, etc.
Pero además trabajas con información menos sensible pero sujeta también a protección, como los datos de contactos de estos pacientes, los datos de suscriptores si tienes un blog, datos de colaboradores, proveedores o empleados, toda esta información debe ser tratada conforme a unas normas muy específicas, igual que no puedes manipular alimentos en un restaurante sin respetar las normas de higiene y sanitarias, no puedes tratar datos de otras personas si no respetas unas normas y no cumples con las exigencias legales que regulan su tratamiento ¿tiene sentido verdad?
¿Hay que darse de alta en algún lado?
Con la antigua LOPD, debias dar de alta unos ficheros en la Agencia Española de protección de datos, esa obligación queda extinguida en el RGPD y por tanto, en la nueva LOPD, en lugar de eso, deberás tener un registro de tratamientos, un documento interno en donde se expliquen los tratamientos que desarrollas, los encargados de tratamientos, las finalidades, destinatarios, medidas de seguridad que vas aplicar, etc. , entre otros documentos y registros que tendrás que incorporar en tu día a día.
Muchas veces reducimos la protección de datos a un mero trámite, damos de alta un fichero y creemos que ya cumplimos, esa falsa creencia de cumplimiento basada en el trámite, es uno de los motivos porque se suprime ese requisito.
O creemos que es suficiente con cambiar unos textos, poner otros, tener un manual que nunca vas a leer, realmente, la protección de datos es un hábito de trabajo, es tener en cuenta los derechos de aquellos que te confían su información desde que recoges ese dato hasta que destruyes esa información.
¿Cambia la documentación a firmar dependiendo de la nomenclatura con que los designes? pacientes, clientes, usuarios?
Lo que debes tener en cuenta es que tendrás que analizar los diferentes tratamientos que realices y aplicar una serie de procedimientos y medidas de seguridad que garanticen que durante todo el ciclo de vida de un dato, desde que lo recoges hasta que lo eliminas, estés cumpliendo con las exigencias legales de la nueva LOPD.
Esto implica contar con sistema de gestión de la protección de datos, es decir, tener claros los procedimientos que tienes que seguir antes de requerir datos personales, como permitir
que estas personas ejerzan su derecho a acceder, rectificar, limitar, cancelar o oponerse al tratamiento.
Por otra parte, cada tratamiento que realices, pacientes, clientes, usuarios, empleados, etc, deberá estar reflejado en el registro de actividades de tratamientos y en función al riesgo de cada uno de esos tratamientos, deberás aplicar determinadas medidas de seguridad.
Una cuestión básica en la nueva LOPD es que las medidas de seguridad que tengas que asumir, dependerán justamente de un análisis de riesgo previo que tendrás que realizar, porque ya no hay medidas de seguridad estándar, ahora tienes que evaluar los riesgos que estos tratamientos suponen para los derechos y libertades de las personas y aplicar las medidas de seguridad apropiadas y adecuadas al riesgo detectado .
Ten en cuenta que hay dos grupos de riesgos que afectan al tratamiento de cualquier información personal:
- Riesgos asociados a la protección de la información: asociadas a la integridad, disponibilidad y confidencialidad de los datos. Por ejemplo, acceso no autorizado a los datos o pérdida de datos.
- Riesgos asociados al cumplimiento de los requisitos regulatorios: relacionados con los derechos y libertades de las personas que te confían su información. Por ejemplo, no requerir el consentimiento cuando proceda o que no sepas atender el ejercicio de los derechos que el RGPD y la nueva LOPD le otorga al titular de los datos .
Tu sistema de protección de datos deberá tenerlos en cuenta y además deberás acreditar la debida diligencia, porque si tienes algún percance en ese tratamiento, como la pérdida de historiales, o que te roben el portátil con información confidencial de tus pacientes, serás tú quien deba acreditar que contabas con las medidas de seguridad para minimizar el riesgo, por ejemplo, tu portátil tenía clave de acceso, la información sensible estaba cifrada y cuentas con copias de seguridad para recuperar esa información. Si esos datos se vieran expuestos porque no tenías implantada ninguna medida de seguridad, el problema será mayúsculo.
Lo mismo ocurre con las personas o empresas con las que compartas información de clientes, pacientes, empleados, etc. como una gestoría, un colaborador, un web master. Debes blindar esas relaciones mediante un contrato de encargo y asegurarte que cumplen también con el RGPD, si no estableces un contrato que regule sus obligaciones respecto a la protección de datos, si este mete la pata, la responsabilidad será también tuya.
¿Cambia algo si tienes el despacho en tu lugar de residencia?
Uno de los puntos esenciales en el RGPD y en la nueva LOPD es la transparencia informativa, ahora deberás informar a todos tus pacientes en el momento en que recabes sus datos, de una serie de cuestiones vinculadas a su información, para mayor claridad, se propone informar por capas, es decir, que proporciones información básica en una primera capa (justo al pié del formulario físico o ficha del paciente) y la completes con información en una segunda (reverso de la ficha o formulario) , entre los puntos a informar, están todos tus datos como responsable de esa información, como nombre y apellidos, DNI, dirección y ese es justamente el único punto en el que puede afectarte trabajar desde casa, pero es parte de las obligaciones a las que estamos sujetos todos los que gestionamos información de otros.
Cómo cumplir con la LOPD dentro del trabajo de consulta
Tanto su trabajas de forma offline u online, hay muchas obligaciones derivadas de esta regulación que aplican a tu consulta y que voy a intentar resumir en una tabla de control de cumplimiento que te servirá para chequear al mismo tiempo, en que punto estás y los aspectos que te quedan por subsanar.
Está organizada por obligaciones en materia RGPD y nueva LOPD.
¿Qué debo hacer si solo trabajo de forma online?
Como comentaba al principio, independientemente de cómo recabes los datos y el ámbito en que desarrolles tu trabajo, offline u online, debes cumplir todos los requisitos exigidos y resumidos en la tabla.
En cuanto a las adecuaciones concretas que tienes que implantar en tu web, Inicialmente debes adecuar todos tus sistemas de captura para cumplir con dos requisitos básicos del RGPD y la Nueva LOPD, a saber:
- Transparencia: Informar de manera clara, específica y de forma previa al tratamiento sobre la identidad del responsable, las finalidades de tratamiento y los derechos que asisten a los que te facilitan datos. Para que eso sea posible, la Agencia de protección de datos recomienda un sistema de información por capas, es decir, información básica justo debajo del formulario, formación complementaria en un enlace a la política de privacidad.
- Consentimiento: El RGPD refuerza el consentimiento y prohíbe los consentimientos tácitos o por omisión en aquellos casos en dónde no existe otra base legal para tratar los datos, como es el caso de personas que te contactan por una web, suscriptores, etc, esto significa que debes asegurarte que ese consentimiento sea explícito e inequívoco, eso implica una acción afirmativa clara y emplear un lenguaje claro, no valen las casillas premarcadas.
El consentimiento debe ser también verificable: requiere un registro escrito de cuándo y cómo alguien te dio su permiso para tratar sus datos personales.
Por tanto, en un entorno online, deberás revisar y adecuar todos tus formularios para que incluyan una primera y segunda capa y un check box que recabe el consentimiento explícito, tal y como lo hace Ana en esta web:
También deberás tener adecuados todos tus textos legales a las exigencias de transparencia, claridad y honestidad que exige el RGPD. Recuerda que una política de privacidad es una declaración de intenciones y un contrato vinculante con tu audiencia, no puedes hacer un copy pega de otros textos, porque cada web necesita un traje legal a medida.
Entre los textos que tienes que adecuar están:
- Política de privacidad
- Aviso legal
- Política de cookies y pop up de advertencia de cookies
- Textos legales a pié de formulario
- Condiciones de contratación (en caso de que la contratación se realice de forma online)
En caso de niños y niñas, ¿necesitamos el consentimiento de los padres para hacer terapia?
Sí, se requiere un consentimiento escrito del padre o tutor legal de los menores de 14 años para poder tratar sus datos.
¿Cuándo y de qué manera se llevan a cabo las inspecciones?
La Agencia española de protección de datos, rara vez actúa por oficio, digamos que prácticamente nunca, actúa cuando hay una denuncia por parte de algún afectado, en ese caso, el denunciado tendrá que aportar la carga de la prueba y demostrar que no ha infligido ninguna de tus obligaciones respecto al RGPD, si cumples con todas las exigencias de la tabla en cuento a tu actividad y tu web está adecuada también al RGPD, es complicado que recibas una denuncia.
Hay muchos indicios que delatan al infractor y que lo ponen en evidencia, por ejemplo:
- No disponer de cláusulas informativas claras y ajustadas al RGPD al requerir datos personales,
- No requerir el consentimiento expreso cuando procede
- No tener modelos de ejercicio de derecho
- No permitir revocar el consentimiento de forma automática en una lista
- No tener una política de privacidad adecuada al RGPD
- No tener adecuados los formularios de tu web
El problema es que además, el RGPD prevé un sistema de indemnizaciones que puede incentivar las denuncias, y esto es algo que no deberías subestimar, el oportunismo unido a la picaresca, puede generarte más de un dolor de cabeza si no has asegurado tu adecuación.
¿Que tengo que hacer con mi web?
Tu web es un espacio que recaba datos personales y que está sujeto a dos regulaciones, la LOPD-RGPD y la LSSI, la Ley de servicios de la información y el comercio electrónico, para no hacer interminable este contenido, te recomiendo que leas este post en dónde explico en una guía paso a paso cómo adecuar tu web/blog al RGPD.
Lo que tienes que saber, es que independientemente de cómo obtengas esos datos , vía online o presencial, debes cumplir con el RGPD y la nueva LOPD.
¿Cómo puedo cumplir con el la nueva LOPD en mi consulta y mi web?
Y ahora es cuando te llevas las manos a la cabeza pensando en todo lo que tienes que hacer, con una mezcla de pánico y agobio…¿Cuánto me costará poner todo al día? ¿Cuántas horas tendré que dedicar a este proceso? ¿Qué pasa si me pillan sin tener todo esto resuelto?
Cómo te decía antes, con el RGPD, las evidencias de cumplimiento son muy visibles para cualquiera, cualquier usuario puede detectarlo nada más entrar en tu consulta o en tu web.
No tienes de qué preocuparte…
Cumplir con todos los requisitos que te he señalado a lo largo del post, no es nada sencillo, porque requiere un sistema de gestión de la protección de datos y va mucho más allá de unos pocos documentos o plantillas.
¿Cómo puedes solucionarlo todo sin sacrificar tiempo y ahorros?
Puedes legalizar tú mismo tu negocio con los Kits para RGPD, una solución con casi todo lo que necesitas para tener una web completamente legal.
Aquí tienes la información de los kits.
¿Conocías ya todos estos aspectos que tenías que tener en cuenta?
Elena dice
Fantástico artículo! A ponernos las pilas!!!!
Marina Brocca dice
Muchísimas gracias Elena, es un placer contribuir con esta comunidad.
Un fuerte abrazo
Cristina dice
Muy buen artículo!
¿Entiendo entonces que se ha actualizado la app? Pregunté cuando salió y en aquel momento no cubría datos sensibles, ni el módulo de e-commerce.
Muchas gracias a las dos 🙂
Marina Brocca dice
Hola Cristina, la herramienta se ha actualizado, solo que el análisis de riesgo que exigen los tratamientos de datos sensibles está en fase beta. Respecto al e-commerce, ya está desarrollado el módulo infoproductos, que es básicamente el que vosotros necesitáis, para productos físicos, lo hacemos mediante consultoría personalizada.
Un abrazo
Belinda dice
Hola, ho todavía soy de las que usa papel. Llamarme antigua pero en consulta las notas y demás las cojo en papel y lo guardo bajo llave. Tengo que tener algo más en cuenta? Necesitaría el programa que comentáis igualmente?
Gracias!