Las implicaciones del RGPD para los dietistas

El Reglamento General de Protección de Datos ha causado una preocupación entre los profesionales de las más diversas áreas. El área de la nutrición no es excepción. En este marco, el primer paso es tener la conciencia de que existen nuevas reglas de la protección de datos y asegurarte de que tu y tu organización están enterados de las principales obligaciones. Si estás leyendo este texto entonces acabas de dar el primer paso.

En este artículo, abordaremos algunas de las implicaciones del Reglamento General de Protección de Datos (en adelante, RGPD o Reglamento) para los dietistas-nutricionistas. Si quieres saber más sobre el RGPD y los pasos que Nutrium está tomando hacia la conformidad, lee nuestra publicación anterior aquí.

También puedes consultar el Reglamento y visitar el sitio web de la Comisión Nacional de Protección de Datos para obtener más información.

Las partes en juego

No es posible explicar, convenientemente, el RGPD sin que, previamente, se aclaren algunos conceptos centrales sobre sus intervinientes. Las relaciones en el Reglamento se configuran de la siguiente manera: el titular de datos (tu paciente) pone a disposición sus datos personales al responsable del tratamiento (el profesional de nutrición) que se responsabiliza por tratar estos datos de la forma exigida por el Reglamento.

En algunas ocasiones, el responsable del tratamiento podrá subcontratar a un tercero para realizar algunas de dichas operaciones de tratamiento de datos personales. Estos terceros, en la nomenclatura del RGPD, se designan como subcontratistas.

Es el caso de nuestra empresa. Healthium es, sobre todo, subcontratista del profesional y puede contratualizar el tratamiento de los datos con otros subcontratistas. Estos subcontratistas deberán darle todas las garantías que cumplen los requisitos del RGPD.

Licitud del tratamiento

Como responsable del tratamiento, y para evitar las complicaciones legales y las sanciones, debes asegurarte de que todo el tratamiento de los datos personales de tus pacientes es lícito, o sea, que tiene en su base al menos una justificación legal para su realización. El RGPD consagra, en el artículo 6, seis motivos para que el tratamiento que haces de los datos se considere lícito. Veamos tres de ellos:

• Consentimiento: puedes optar por hacer el tratamiento basado en el consentimiento. Siempre que el titular haya dado su consentimiento explícito e informado, el tratamiento será legítimo. Por ejemplo, deberás recurrir al consentimiento siempre que quieras utilizar los datos de tu paciente a efectos de marketing. Nada impide que realices tus consultas sobre la base del consentimiento, pero, ten en cuenta que, en estas situaciones el paciente podrá retirar el consentimiento en cualquier momento, impidiéndole proseguir el tratamiento de sus datos. Tendrás, además, que disponer de los medios organizativos para comprobar ese consentimiento y para conferir al titular de los datos la fácil retirada del consentimiento.
• Ejecución del contrato: será lícito el tratamiento de datos cuando sea necesario para la ejecución del contrato. Por ejemplo, en un contrato de trabajo que celebre con una secretaria será lícito recoger todos los datos personales necesarios para la identificación de las partes de dicho contrato y para el procesamiento de los salarios. Datos como el nombre completo, la dirección o el número de una cuenta bancaria, por ejemplo.
• Interés legítimo: se verifica siempre que el tratamiento sea necesario para la continuación de los intereses legítimos del responsable del tratamiento o por terceros. Por ejemplo, el dietista tiene un interés legítimo en recoger datos relativos a la salud de su paciente ya que son estos datos que le permiten realizar con éxito la consulta.

En último análisis corresponde al dietista elegir y analizar cuál es el fundamento a que va a recurrir o a la que está sujeto. Podrán existir fundamentos de licitud más adecuados que otros, según el tratamiento de que se trate.

Por ejemplo, fundar el tratamiento de datos en "intereses legítimos" puede parecer el camino más simple, pero obligará a la elaboración de una "evaluación sobre los intereses legítimos" para que queden claros para el titular de los datos los intereses concretos.

Por otro lado, el "consentimiento" entrega al titular de los datos personales el control casi absoluto sobre sus datos. Este es un método que se considera más transparente, pero a veces no es práctico de aplicar, ya que obligará al mantenimiento de un registro organizado de esos consentimientos e impondrá de sí la capacidad de garantizar los derechos conexos al consentimiento.

Los derechos de tus pacientes

Como hemos visto, además de ser tus pacientes son también titulares de datos personales. Como tal, el RGPD viene a establecer un conjunto de derechos con los que tendrás que cumplir. A lo largo de las próximas líneas intentaremos, de forma sucinta, explicar y demostrar cómo podrás cumplir con algunos de esos derechos:

• Derecho a ser informado: siempre que se recopilen los datos personales de los pacientes, deben prestarle, de forma clara, concisa y transparente, toda la información contenida en el artículo 13.º del Reglamento. Este es un conjunto extenso de informaciones que, idealmente, deberán ser compiladas en un documento y disponibles al cliente. Puedes hacerlo de diversas formas: comunicando oralmente esta información al paciente; entregando el documento impreso en la consulta; dedicando una página en tu sitio web e invitando al paciente a leerla; entre otras formas.
• Derecho de acceso: el paciente tiene el derecho a saber si sus datos están siendo objeto de tratamiento y, en este caso, tiene el derecho a acceder a sus datos personales. En estas situaciones, el dietista deberá proporcionar al paciente todos los detalles sobre los datos personales en fase de tratamiento, proporcionándole toda la información prevista en el artículo 15.º. La información deberá ser suministrada en formato electrónico de uso corriente, por ejemplo, en pdf.
• Derecho de rectificación y supresión: cuando el paciente se enfrenta con información errónea o incompleta, puede requerir que su información sea corregida. Puede aún obtener del dietista la supresión de sus datos sin demora injustificada y es cierto que es al dietista que corresponde, en un primer momento, analizar la pertinencia de esta solicitud, en los termos del art. 17.º.
• Derecho de portabilidad: siempre que el tratamiento se base en el consentimiento o en un contrato y se realice por medios automáticos, el responsable del tratamiento, a petición del titular de los datos, le proporcionará toda la información en un fichero de lectura automática y de uso corriente como, por ejemplo, un documento pdf, Word o incluso Excel.
• Derecho de oposición y derecho de limitación: El derecho oposición se aplica, sobre todo, a las situaciones en que la licitud del tratamiento se realiza sobre la base de los intereses legítimos del dietista. En estos casos, dado que no existe una solicitud previa de consentimiento, se permite su posterior oposición. La limitación del tratamiento, a su vez, se destina a situaciones en las que no se desea la supresión inmediata de los datos personales y, como tal, se requiere sólo su limitación.

Registro de las actividades de tratamiento

Si nos piden para definir el RGPD en dos palabras sería: método y organización. Por lo menos, son estas palabras que mejor definen la exigencia del artículo 30.º: el dietista y especialmente las clínicas de nutrición están, en principio, obligados a realizar el mapeo de los datos personales que procesan.

Así, deberá compilar, en formato escrito y en un archivo electrónico (en una hoja de Excel, por ejemplo) todas las categorías de titulares de datos personales y datos personales que recopila, describiendo y asociándolos a los fines de tratamiento a que se destinan. Deben ser a "todos" ya que esta asignación puede tener que abarcar no sólo los datos de los clientes, sino también, por ejemplo, los datos de los trabajadores, cuando proceda.

Deberá, además, explicitar a qué subcontratistas recurre y poner a disposición su nombre y contacto, así como los contactos de su Encargado de Protección de Datos y de su representante, cuando proceda. La lista aquí expuesta no es exhaustiva. Podrá consultar la lista completa del artículo 30.º del Reglamento.

Nos gustaría subrayar que este es un documento de enorme importancia y que deberá ponerse a disposición de la entidad fiscalizadora cuando sea necesario. No debe confundirse con documentos como Políticas de Privacidad cuya vocación es tendencialmente pública y de información de los pacientes.

Seguridad y protección de datos

Una de las mayores preocupaciones del Reglamento es garantizar que el tratamiento de los datos personales se haga de la forma más segura posible. Como tal, los dietistas están adscritos a implementar en sus consultorios todas las medidas de seguridad necesarias para la protección de los datos personales de sus pacientes.

Estas medidas pueden pasar, por ejemplo, por la elección de proveedores Cloud que se ajusten al Reglamento; por la encriptación de los dispositivos electrónicos que contengan datos personales, como ordenadores; por la renovación periódica de sus contraseñas; entre otras medidas.

Sin embargo, dado que el Reglamento no se aplica sólo al contexto digital, también deben tomarse precauciones relativas al espacio físico del consultorio. Los armarios con archivos de los pacientes deberán estar cerrados a la llave y deberá limitarse el acceso a ese tipo de archivos sólo a aquellos grupos de personas estrictamente necesarios.

Además, todos los documentos en papel, especialmente aquellos que contengan datos de categorías consideradas sensibles, deberán eliminarse adecuadamente, en particular, mediante trituradoras de papel.

Por último, debes estar preparado para las hipótesis de violación de datos. En estos casos, cuando todas las medidas de seguridad fallan y se compruebe que la infracción de datos ha puesto en peligro los derechos y libertades de las personas físicas, en particular, por pérdida o robo, deberás notificar a la Comisión Nacional de Protección de Datos y al titular de datos personales, sin demora injustificada.

Conclusión

Estas son sólo algunas de las medidas que tendrás que adoptar a lo largo de los próximos tiempos y carecen de una planificación ponderada y de algún estudio del Reglamento. De la parte del equipo de Nutrium estaremos siempre disponibles para ayudarte, estamos implementando todas las medidas necesarias para que puedas responder a los pedidos de tus pacientes lo más eficientemente posible.

Una última nota sólo para decir que el presente artículo fue escrito teniendo en cuenta una audiencia mundial de profesionales de nutrición. A pesar de ser un buen punto de partida, este artículo no es, por la necesidad de adecuación al medio en que es publicado, exhaustivo. Las informaciones que aquí ofrecemos carecen de concreción de país a país y de profesional a profesional. Por favor, infórmate con tu abogado previamente o con tus órganos y asociaciones locales.