Professional Documents
Culture Documents
Psicología: Guía
práctica
Módulo 2. Legislación de Protección de Datos y
formas de ejercicio profesional
Autora
Depósito Legal:
© Colegio Oficial de Psicólogos de Madrid, 2018
Nota aclaratoria: En beneficio de una mayor facilidad y claridad en la lectura y comprensión del texto, se utilizará un lenguaje
igualitario y no sexista. No obstante, se explicita que, en el uso de términos como los profesionales, los estudiantes, los
responsables, los psicólogos,... y cualquier otro que se encuentre en este documento, se hace referencia a hombres y mujeres, e
incluye el masculino y el femenino.
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Índice
1. Introducción 2
1
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
1. Introducción
En el Módulo 1 hemos visto los principios que cimientan un buen tratamiento de los
datos, en este módulo vamos a empezar a conocer cómo llevarlos a la práctica en el
día a día como psicólogos.
• Crear procedimientos para facilitar el ejercicio de los derechos sobre sus datos.
5
En el cuadro comparamos las obligaciones que teníamos con la LOPD y las que
tenemos con la nueva legislación.
2
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Para explicar de la manera más clara posible cómo llevar a la práctica estas
obligaciones, hemos dividido la intervención psicológica en 5 fases, y paso a paso
veremos qué buenas prácticas/obligaciones aplicar en cada momento y cómo hacerlo.
3
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Inicio Cese de
de la la
actividad Entrevista Evaluación Intervención actividad
4
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
carácter personal.
5
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Encargados
Empleados
Usuarios
Profesionales por cuenta propia
Los profesionales autónomos son los responsables de sus propios tratamientos de
datos ya que son quienes deciden sobre la finalidad, contenido y tratamiento de los
datos de carácter personal de sus clientes/pacientes. En la misma situación se
consideran a los profesionales que, aunque compartan un mismo espacio de trabajo,
constituyen una sociedad económica independiente y son responsables de sus propios
tratamientos de datos.
Además, son responsables de los ficheros aquellos profesionales por cuenta propia
que atienden a clientes de una empresa determinada sin mantener una relación
de dependencia con la misma, como es el caso de ciertos profesionales que
atienden a clientes de una compañía aseguradora sanitaria. Por tanto, son los
responsables de las historias clínicas de sus pacientes, y cuando cese su
actividad en la compañía deberán responsabilizarse de la custodia de las historias
clínicas o formalizar los pasos necesarios para la cesión de los datos a la empresa.
6
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Sociedad profesional
Este caso se refiere a cuando varios psicólogos forman una sociedad profesional
y el cliente/paciente contrata los servicios con la sociedad, no con uno de los
profesionales de forma específica. En este caso los ficheros serían responsabilidad
de la sociedad.
¿Qué hacer?
¿Cuándo?
Al cese
7
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
de servicios
Al ser contratados:
¿Cuándo?
¿Qué hacer?
• Al firmar el contrato laboral
• Informarse sobre la o de prestación de servicios
normativa y
procedimientos sobre la
protección de datos de
caracter personal en la
entidad contratante.
Al cese
8
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Como hemos visto en el módulo 1 con el RGPD los encargados de tratamiento van a
tener en algunos aspectos obligaciones propias que van más allá de las que tienen en
el ámbito que los une al responsable y que pueden ser supervisadas separadamente
por las autoridades de protección de datos.
9
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Es importante saber que los contratos de encargado del tratamiento concluidos con
anterioridad a la aplicación del RGPD en mayo de 2018 deben modificarse y adaptarse
a estos requisitos. La Ley 3/2018, de 5 de diciembre, de protección de datos
personales y garantía de los derechos digitales, indica lo siguiente en su disposición
transitoria segunda. Contratos de encargado del tratamiento:
En este enlace puedes acceder a más información sobre las directrices para elaborar
las cláusulas de protección de datos para este tipo de contratos.
Al cese:
10
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
11
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
• Crear procedimientos para facilitar el ejercicio de los derechos sobre sus datos.
5
• Nombrar y comunicar a la AEPD el Delegado de Protección de Datos (DPD) en
6 los casos obligatorios o si así se decide de forma voluntaria
Empezaremos por hacer una descripción de todas las actividades de tratamiento que
tenemos previsto realizar, pero antes de nada tenemos que saber qué es una actividad
de tratamiento.
12
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Captura de Uso y
datos tratamiento Destrucción
Clasificación y En su caso:
almacenamient Cesión del
o tratamiento
Pues nuestra primera misión será ver qué actividades de tratamiento realizamos en
estas fases para cumplir con la finalidad final para la que queremos realizar el
tratamiento, para poder describir todo lo que hacemos con los datos y poder realizar
el registro de actividades de tratamiento que sustituye a la obligación de
notificación de ficheros que determinaba la LOPD.
Bajando un nivel veríamos las operaciones que realizamos en cada una de estas fases
para cumplir con la finalidad de la historia clínica, (informar y recoger los datos de los
pacientes/clientes, custodiar la historia clínica, realizar cesiones etc.)
13
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Como ya hemos dicho para definir una actividad de tratamiento es muy importante
tener claro las finalidades para las cuáles queremos tratar los datos y una descripción
de todo lo relacionado con el tratamiento que realizamos.
Aquí se han mencionado tan sólo algunos ejemplos, en cada caso se deberá estudiar
los tratamientos que sea preciso registrar y que datos deberá contener según los
principios de protección de datos.
14
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Cada tratamiento incluirá una serie de operaciones como, por ejemplo la recogida,
registro, organización, estructuración, consulta o utilización de los datos.”
Para tratamientos muy sencillos, de escaso riesgo, que no implican datos sensibles
como los de salud, se puede utilizarla la herramienta Facilita, pero en nuestro caso lo
normal es que tengamos que hacer un análisis de riesgos, y por tanto no nos serviría
esta aplicación.
15
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Con esa información y detallando todas las operaciones que se realizan sobre cada
conjunto estructurado de datos podríamos empezar a elaborar el inventario
añadiendo la información que teníamos el documento de seguridad.
16
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
17
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Ya hemos visto como analizar nuestros tratamientos datos, ahora vamos a ver qué
otras cuestiones tenemos que analizar para completar nuestro registro.
Hay que pensar por tanto cuál de ellas se adapta mejor al tipo de tratamientos que
llevamos a cabo.
18
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
19
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
¿Alguna empresa nos ha contratado para prestar algún servicio que implique
tratamiento de datos?
Si es el profesional el contratado, se deberá incluir en el contrato de igual manera,
cláusulas de protección de datos en las que se indique el papel de cada parte en el
tratamiento.
20
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Destrucción de los datos personales una vez cumplido el objeto del contrato o en
su caso devolverlos al responsable, así como cualquier soporte o documento en
que conste algún dato de carácter personal.
Prohibición de utilizar los datos para una finalidad diferente a la del contrato.
Prohibición de comunicar estos datos a terceros, ni siquiera para su conservación.
El objeto, duración, naturaleza y la finalidad del tratamientos
El tipo de datos personales
El tipo de categorías de interesados
La obligación del encargado de tratar los datos personales únicamente siguiendo
instrucciones documentadas del responsable
Condiciones para que el responsable pueda dar su autorización previa, específica
o general, a las subcontrataciones
Puede asistir al responsable en la atención al ejercicio de derechos de los
interesados, si así se le encarga.
21
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Para seleccionar el responsable más adecuado, los responsables pueden valorar que
los encargados estén adheridos a códigos de conducta o certificados en el marco
de los esquemas de certificación previstos por el RGPD, lo que puede mostrar a
las autoridades de control que estamos haciendo todo lo posible para garantizar un
tratamiento seguro de los datos.
Además los encargados van a tener en algunos aspectos obligaciones propias que
van más allá de las que tienen en el ámbito que los une al responsable y que pueden
ser supervisadas separadamente por las autoridades de protección de datos.
22
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Si los datos no se obtienen directamente del propio interesado, habrá que informar de:
El origen de los datos.
La categoría de los datos.
También es importante tener en cuenta que al ser el responsable del fichero el que
debe probar que ha cumplido con el deber información, es necesario conservar el
soporte que acredite su cumplimiento durante el tiempo que persista el tratamiento
de los datos,
La Agencia Española ha elaborado una guía para facilitar los cambios que supone el
nuevo reglamento, puedes consultarla aquí, no obstante en el siguiente módulo
veremos un ejemplo.
23
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Es muy importante comprobar que los servidores de datos de todos los servicios que
utilicemos estén situados en territorio europeo, para así garantizar que cumplen con
las medidas de seguridad exigidas por la legislación de protección de datos, pero es
posible que se realice en países fuera del territorio europeo. Eso sí, no todos los
países tienen la misma exigencia en este tema, por lo que habrá que verificar
cuidadosamente a qué países va ir la información.
24
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Cuando se hayan ofrecido garantías adecuadas sobre la protección que los datos
recibirán en su destino,
Cuando se aplique alguna de las excepciones que permiten transferir los datos sin
garantías de protección adecuada por razones de necesidad vinculadas al propio
interés del titular de los datos o a intereses generales.
En este enlace se puede comprobar si una empresa de Estados Unidos está afiliada al
Escudo de Privacidad o “Privacy Shield” del Departamento de Comercio de Estados
Unidos. Las empresas adheridas a este escudo de privacidad contraen una serie de
obligaciones para cumplir con unos principios de privacidad acordes al RGPD.
Otros de los temas que es preciso valorar es cómo vamos a conservar los datos y las
medidas de seguridad que vamos a implantar.
necesitarán?
Se deben conservar los datos de tal forma que los pacientes/clientes puedan ejercer
su derecho de acceso, rectificación, cancelación, oposición, portabilidad de los
datos y limitación del tratamiento de los datos personales propios. Para ello la
información tiene que estar almacenada de tal forma que se pueda facilitar el ejercicio
de dichos derechos, es decir de forma organizada, estructurada por algún criterio
específico (alfabético, por número expediente, etc.).
Dependiendo del nivel de seguridad que determinemos del fichero se deben aplicar
diferentes medidas de seguridad. Si hay alguna legislación que nos maque algún
criterio se utilizará, si no es así se deberá dejar indicado cuál es el criterio seguido.
25
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Más adelante en este módulo vernos algunas de las medidas a aplicar, pero antes de
nada vamos a ver cómo hacer el análisis de riesgos y en su caso la evaluación de
impacto.
Hay que aplicar las medidas que después de evaluar los riesgos, nos garanticen que
los tratamientos van a ser conformes a lo indicado por el reglamento y poder
demostrarlo.
Por tanto es obligatorio realizar una valoración del riesgo de los tratamientos que
realicen, para poder saber qué medidas hay que aplicar, El tipo de análisis a realizar
dependerá de los tipos, cantidad y variedad de tratamientos que se realicen, de la
naturaleza de los datos, del número de interesados que pueden estar afectados.
26
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
No es lo mismo una gran organización que requiera por la complejidad del tratamiento
que realice utilizar alguna de las metodologías de análisis existentes, como puede ser
MAGERIT, que una empresa pequeña con tratamientos poco complejos que podrá
realizar una análisis de riesgo sencillo, documentando lo básico, que puede consistir
en pararse a pensar en el tratamiento. En esos casos puede ayudar la herramienta
que ofrece la Agencia en su página para tratamientos de poco riesgo Facilita.
Siempre hay que tener en mente que en temas de protección de datos casi siempre
menos es más, hay que tratar exactamente los datos que necesitemos y antes incluso
de empezar a realizar un análisis de riesgos analizar la necesidad y proporcionalidad
del tratamiento, vamos a aplicar lo que hemos aprendido en el módulo 1, sobre
principios de protección de datos, cuando hablamos del principio de calidad y
consentimiento de la información según la LOPD o de los de minimización y licitud y
consentimiento o según el RGPD.
.
Es muy importante realizar una ponderación, para ver si el tratamiento que queremos
iniciar pasa el juicio de idoneidad, necesidad y proporcionalidad en relación a los fines
para los que queremos tratar los datos.
¿Tenemos base legal, es decir es lícito el tratamiento que vamos a realizar? (ya
vimos cuáles eran las bases legales para un tratamiento en el principio de licitud).
¿El tratamiento, con toda la información que tenemos es necesario realmente?
¿Las actividades de tratamiento son proporcionales o hay medidas de menos
riesgo?
27
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
28
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Las fases que nos indican que hay que seguir a la hora de realizar un análisis de
riesgos dónde el foco de atención no se centra tanto en las amenazas que se ciernen
sobre una compañía, sino en el riesgo que puede haber para los derechos y libertades
de las personas (sobre todo en este contexto el derecho a la protección de datos de
carácter personal).
Identificar amenazas y
riesgos Tratar riesgos
Evaluar
riesgos
29
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Es muy importante identificar los riesgos a los que están expuestas las actividades de
tratamiento, si no los identificamos no vamos a poder evaluarlos y tratarlos
posteriormente. Para ello:
30
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
AMENAZAS
En qué dominios se pueden ver afectados
IMPACTO
SOBRE EL NEGOCIO DERECHOS Y
SOBRE NORMATIVAS DAÑO IMÁGEN (ESCALA
(ESCALA OPERATIVA) LIBERTADES DE LAS
(ESCALA LEGAL) REPUTACIONAL)
PERSONAS
Se debe realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD) con
carácter previo a la puesta en marcha, de aquellos tratamientos que sea probable que
conlleven un alto riesgo para los derechos y libertades de los interesados.
31
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Cuanto más de estos criterios tenga un tratamiento más probable es que vaya a
suponer un alto riesgo en el tratamiento y concluyamos que SI deberemos realizar la
evaluación de impacto, en el siguiente punto veremos cómo hacer este análisis más
complejo que conlleva la evaluación de impacto.
Si finalmente determinamos que NO hace falta una evaluación de impacto, deberemos
justificar y documentar los motivos que nos han hecho llegar a esa conclusión, dejando
claro que se ha cumplido con la obligación de hacer un análisis de riesgos previa para
llegar a la conclusión aunque sea un análisis básico de riesgos, que es un análisis
simplificado que utilizamos cuando llegamos a la conclusión de que es de bajo riesgo.
Este análisis, para riesgos no elevados o Gestión de riesgos por defecto, nos
centramos en los aspectos más relevantes que puedan impactar en las actividades de
tratamiento. En la Guía Práctica de análisis de riesgos en los tratamientos de datos
personales sujetos al RGPD se pueden ver plantillas para realizar estos análisis
básicos (anexos 1,2 y 3).
En este pantallazo de la guía se puede ver los niveles de riesgo según la probabilidad
de ocurrencia.
32
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
33
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
34
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
En este caso de análisis simple, en los que el nivel de riesgo es medio o bajo,
podemos pasar sin más valoración a aplicar las medidas de seguridad o controles para
mitigar los riesgos. Veremos con más detalle estos controles en el apartado de
medidas de seguridad, pero aquí podemos ver un ejemplo.
MEDIDAS CONROL
TIPOLOGIA RIESGO
RIESGO
MEDIDAS CONROL
Evaluación de Impacto
En el siguiente gráfico sacado de Guía práctica para las evaluaciones de impacto en la
protección de los datos sujetas al RGPD se ve muy claramente todo el proceso de
análisis de riesgo y evaluación de impacto.
35
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
36
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
CONTEXTO
Analizar la necesidad y proporcionalidad del
Describir el ciclo de vida de los datos tratamiento
GESTIÓN DE RIESGOS
Idenfificar amenazas y
Evaluar los riesgos Tratar los riesgos
riesgos
CONCLUSIÓN
Plan de acción Informe de conclusiones
Evaluación de riesgos
En esta fase vamos a relacionar la probabilidad de que se produzca una amenaza con
el impacto que podría causar, ya hemos visto esta fórmula:
37
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
En este pantallazo podernos ver unos ejemplos de cómo realizar esta relación para
incluirlo en nuestra matriz de riesgo
38
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Reducir el riesgo Establecer medias para que el riesgo sea menor, para que
disminuya la probabilidad de ocurrencia o el impacto causado.
Retener el riesgo Disminuir el riesgo inherente a un nivel que consideremos
aceptable, bajar del nivel 2 al 1 por ejemplo.
Compartir por ejemplo con una aseguradora las consecuencias que
Transferir el riesgo
se produzcan.
Anulación del riesgo No realizar el tratamiento porque no compensa asumir los riesgos
39
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Conclusión
Una vez realizada la evaluación se deberá describir cada control para tratar cada
riesgo, planear cómo se van a implantar los controles, qué tareas implicará y qué
personas se responsabilizarán de que se cumpla, indicando los plazos, y dejarlo todo
documentado.
Por último recordar que es un proceso continuo, que se deben revisar las medidas y
controles implantados cada cierto tiempo y supervisar que realmente funcionan,
realizando auditorías para valorar si hay que realizar cambios, sobre todo si hay
cambios sustanciales en el tratamiento.
Planificación
Ejecución
Mejora Seguimiento
40
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
En muchos casos vamos a tener que seguir aplicando las mismas medidas que
indicaba el anterior Reglamento de protección de datos, puesto que coincidirá el nivel
asignado con el anterior criterio marcado por la ley (básico, medio, alto) con el nivel de
seguridad que vamos a aplicar tras el análisis, pero puede ser que tras realizar el
análisis de riesgos, determinemos que es necesario completarlas con medidas
adicionales, incluso podría darse el caso de poder prescindir de alguna.
En este enlace se puede consultar información sobre la ISO 27001 que es un estándar
de implantación de un SGSI (Sistema de Gestión de Seguridad de la Información).
Para que nos sirva de guía vamos a ver las medidas que establecen la LOPD y su
reglamento de desarrollo, diferenciando por el sistema de tratamiento utilizado para
almacenar los datos. Recordad que ya no está vigente, aquí se ofrece con un carácter
meramente orientativo.
41
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
• El coste de la técnica
1
2 • Los costes de aplicación
• La naturaleza, el alcance, el contexto y los fines del tratamiento
3
• Los riesgos para los derechos y libertades
4
42
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Aun no siendo obligatorio este modelo de seguridad, como decimos, con la nueva
normativa, si ya lo tenemos hecho, nos serviría, como hemos comentado junto con el
registro de actividades para cumplirlo.
Éstas son las medidas de seguridad que establece la LOPD según el nivel de
seguridad, llevándolo al RGPD interpretaremos que dónde dice nivel medio y alto sería
lo que con el nuevo reglamento consideramos categorías especiales de datos o
43
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
44
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
FICHERO FICHERO
MEDIDAS
NO AUT. AUT.
45
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Con el RGPD además como ya hemos visto es obligatorio notificar a la Agencia las
violaciones o quiebras de seguridad en los términos que vamos a ver un poco más
adelante en el apartado dedicado a las Notificaciones de Seguridad.
46
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
47
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Registro de accesos. En el caso de ficheros con datos de nivel alto – como ocurre
con la historia clínica- se registrará:
usuario.
fecha y hora.
fichero accedido.
tipo de acceso.
y si ha sido autorizado o denegado.
48
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Es interesante saber que si el responsable del fichero es una persona física y puede
garantizar que será la única persona que accederá y tratará los datos
(documentándolo en el documento de seguridad), en ese caso no será necesario el
registro de accesos.
Identificación y autenticación. Las medidas deben garantizar la correcta
identificación, inequívoca y personalizada –autenticación- de los usuarios.
El documento de seguridad se establecerá una periodicidad para cambiar las
contraseñas, no superior a un año. Además, en ficheros con nivel alto se debe limitar
el número de intentos reiterados de acceso no autorizado.
49
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
50
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
vulnerables, o que se estimen que puede ser un riesgo elevado para los derechos
o libertades de las personas.
Asegurarse que el software destinado a tratar con los datos de carácter personal
describan en su descripción técnica el nivel de seguridad que permitan alcanzar
(básico, medio o alto) Para la historia clínica se requiere que pueda alcanzar un
nivel alto de seguridad.
RGPD
Por tanto es muy importante tener y dejar documentado los procedimientos que
vayamos a implantar para comunicar con rapidez una incidencia, también tenemos
que tener en cuenta que si contratamos un encargado de tratamientos deberemos
acordar, como hemos visto, y dejar constancia en el contrato de cómo deberán
comunicarnos cualquier incidencia para darnos un margen de maniobra y poder
responder en esas 72 horas. También se les puede encargar que realicen ellos la
notificación, pero deberá dejarse acordado en el contrato de prestación de servicios.
51
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
52
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como
“quiebras de seguridad”, de una forma muy amplia, que incluye todo incidente que ocasione la
destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos,
conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos
datos. Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases
de datos de una organización (incluso por su propio personal) o el borrado accidental de
algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas
como el Reglamento establece.
Cualquier incidente no es una violación de seguridad, hay que tener certeza de que se
ha producido y tener conocimiento suficiente de su naturaleza y alcance antes de
comunicarla a la Agencia. La mera sospecha de que ha existido una quiebra o saber
que ha habido algún tipo de incidente sin más, no deberían dar lugar, todavía, a la
notificación, dado que en esas condiciones aún no sabemos si hay un riesgo para los
derechos y libertades de los interesados.
• La naturaleza de la violación
53
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Si se valora que la quiebra de seguridad es tal que hay un alto riesgo para los
derechos y libertades de las personas, habrá que comunicárselo también a los
afectados, con el objetivo de que el afectado pueda reaccionar tan pronto como
pueda, por ejemplo cambiando sus contraseñas.
Se considera que hay un alto riesgo de que la violación de seguridad ocasione daños
importantes a los interesados cuando por ejemplo se desvele información confidencial,
como contraseñas o participación en determinadas actividades o se difundan de forma
masiva datos sensibles o se puedan producir perjuicios económicos para los
afectados.
Puede ser que la misma Agencia tras conocer la violación de seguridad, se ponga en
contacto con el responsable para indicarle que comunique la quiebra de seguridad a
los afectados.
54
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Así mismo también da la posibilidad de que se opte por contar con un delegado de
protección de datos de forma voluntaria, para garantizar el cumplimiento del
reglamento y así tratar de evitar también las elevadas sanciones que marca el nuevo
reglamento, la designación voluntaria de un DPD es una forma de mostrar nuestra
diligencia e interés en hacer un correcto tratamiento de los datos y podrá beneficiarnos
en caso de surgir algún problema.
55
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Para finalizar este apartado, se muestra una lista para revisar si el tratamiento que ya
estáis haciendo según la LOPD se ajusta a este nuevo enfoque de protección de datos
proactiva tal y como recomiendan en la Guía del Reglamento General de Protección
de datos para Responsables de tratamiento del tratamiento.
56
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
¿Ha revisado las medidas de seguridad que aplica a sus tratamientos a la luz
de los resultados del análisis de riesgo de los mismos?
¿Considera que puede seguir aplicando las medidas de seguridad previstas
en el Reglamento de la LOPD?
Según el tipo de tratamiento que realiza y los resultados del análisis de riesgos
previo, ¿tiene que nombrar un Delegado de Protección de Datos?
¿Ha hecho pública la designación del DPD y sus datos de contacto y los ha
comunicado a la autoridad de protección de datos?
¿Ha establecido procedimientos para que los interesados contacten con el
DPD?
57
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
¿Cuándo?
¿Qué hacer?
profesional?
La ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y
de derechos y obligaciones en materia de información y documentación clínica es la
regulación específica sobre la historia clínica.
58
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
Dicha ley determina que se deberá conservar la historia clínica por un periodo de al
menos 5 años contados a partir de la fecha de alta del último proceso asistencial,
también hay que recordar que podrá conservarse la documentación durante más
tiempo a efectos judiciales, si el profesional valora que puede ser conveniente, por las
características de un caso en concreto, por preverse una reclamación civil como
consecuencia de una acción profesional o porque lo pudiera solicitar un juez. En todo
caso, si el historial hubiera sido destruido por haber transcurrido más de cinco años,
no se incumplirá la Ley.
custodia?
Hay que destruir los documentos o soportes que contengan datos de carácter personal
de tal forma que se impida el acceso a la información contenida en el mismo o su
recuperación posterior. Se pueden emplear máquinas destructoras de documentos o
encargar la gestión a empresas especializadas que certifiquen que la destrucción será
realizada mediante procedimientos que garanticen el cumplimiento de la legislación de
protección de datos.
59
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
En ambos casos el responsable del fichero es la persona que contrata, pero sí existe
para el profesional, la obligación de realizar un tratamiento de los datos según los
principios de protección de datos y cumplir con las normativas y procedimientos que
indique el responsable del fichero.
60
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
61
Protección de datos en Psicología: Guía práctica
Módulo 2. Legislación en Protección de datos y formas de ejercicio profesional
En este caso se actúa como encargado del tratamiento, se podrá acceder a los datos
que resulten necesarios para la prestación del servicio al responsable del fichero,
según las instrucciones de éste. Si los servicios se prestan en los locales del
responsable del fichero, en el documento de seguridad de éste deberá hacerse
constar esta circunstancia.
Si los servicios no se prestaran en los locales del responsable del fichero sino en los
del propio profesional contratado, deberá elaborarse un documento de seguridad,
identificando el fichero y el responsable del mismo e incorporando las medidas de
seguridad a implantar según el nivel de seguridad del fichero.
Si algún paciente quisiera seguir el tratamiento con el profesional, deberá ser el propio
paciente/cliente quién solicite al responsable del fichero una copia de su historia clínica
y se la facilitará con posterioridad al profesional, en ningún caso podría disponer de
otra manera de la historia clínica ya que es responsabilidad del responsable del
fichero.
62