La historia clínica de tus pacientes, blindada.
Datos de salud (categoría especial del Art. 9 RGPD), historia clínica bajo la Ley 41/2002, consentimiento informado, accesos trazables, encargados (laboratorios y software clínico) y protocolos de brecha de alto riesgo. Razonamiento auditable sobre la normativa sanitaria y de protección de datos que de verdad aplica a una clínica.
Los datos de salud son categoría especial: el incumplimiento se sanciona en el tramo alto del RGPD
Accesos indebidos a historiales, falta de medidas o cesiones sin base: patrón sancionador AEPD de varios miles a decenas de miles de euros
El acceso a la historia clínica por personal no autorizado, o más allá de lo necesario para la asistencia, es uno de los incumplimientos que la AEPD sanciona con mayor severidad por tratarse de categoría especial (Art. 9 RGPD). Se exige control de accesos por usuario y registro de quién consulta cada historial.
Comentar el estado de salud de un paciente con terceros sin base jurídica, o dejar historiales a la vista en recepción, vulnera el deber de confidencialidad (Art. 5.1.f RGPD) y el secreto sanitario de la Ley 41/2002. La AEPD lo sanciona de forma recurrente.
La historia clínica debe conservarse un mínimo de cinco años desde el alta de cada proceso (Art. 17 Ley 41/2002), y eliminarse o anonimizarse cuando ya no procede. Conservar de más sin justificación, o destruir antes de plazo, genera responsabilidad.
Trabajar con laboratorios externos, software clínico en la nube o servicios de transcripción sin contrato de encargado del tratamiento (Art. 28 RGPD) deja los datos de salud sin cobertura jurídica. Es un fallo muy común en clínicas pequeñas.
Los 5 problemas reales, ya resueltos.
Acceso a la historia clínica
Varias personas del centro acceden al programa de gestión. ¿Quién puede ver qué? ¿Hay que registrar los accesos? ¿Y el personal administrativo?
Control de accesos por usuario · principio de necesidad de conocer · registro de accesos a datos de salud · Art. 9 y 32 RGPD · Ley 41/2002.
El agente analiza tu organización (roles, software, recepción), cita el Art. 9 RGPD y la Ley 41/2002, y genera la política de accesos y el registro mínimo exigible.
Consentimiento informado y finalidades
Recoges datos para asistencia, pero también quieres mandar recordatorios, encuestas o publicidad de servicios. ¿Necesitas consentimientos separados?
Base jurídica de asistencia sanitaria (Art. 9.2.h RGPD) · consentimiento separado para finalidades no asistenciales · información en capas.
Plantillas de consentimiento y de información al paciente que separan la asistencia de las comunicaciones comerciales, con el texto exacto que exige la AEPD.
Brecha de datos de salud
Un portátil con historiales se pierde, o el software clínico sufre un ataque. ¿Hay que notificar a la AEPD? ¿A los pacientes?
Datos de salud = alto riesgo · notificación a la AEPD en 72 h (Art. 33) · comunicación a los afectados si hay alto riesgo (Art. 34).
El flujo guiado de brecha 72h evalúa el riesgo, prepara la notificación a la AEPD y el comunicado a los pacientes, con plazos y registro de la incidencia.
Encargados: laboratorio, nube y transcripción
Mandas muestras a un laboratorio, usas software clínico en la nube y a veces transcripción externa. ¿Qué contratos necesitas?
Contrato de encargado Art. 28 RGPD con cada proveedor · garantías de seguridad · ubicación de los datos · transferencias internacionales si la nube está fuera de la UE.
Registro de encargados con la clínica + contratos Art. 28 listos y el análisis de transferencias si algún proveedor está fuera del EEE.
Videovigilancia en consulta y sala de espera
Hay cámaras en recepción y pasillos. ¿Pueden grabar la sala de espera? ¿Y zonas donde se trata a pacientes?
Proporcionalidad (Art. 5.1.c RGPD) · cartel informativo (Art. 13) · prohibición de grabar zonas de tratamiento o intimidad · conservación 30 días.
Análisis de cada cámara, cartelería modelo AEPD y la política de videovigilancia adaptada a un centro sanitario.
3 plantillas listas para usar.
Generadas a partir del caso real de cada cliente. Documentos editables, con su base legal.
Política de accesos a la historia clínica
Quién accede a qué, con registro de accesos.
Consentimiento e información al paciente
Asistencia y comunicaciones separadas, en capas.
Registro de actividades de tratamiento sanitario
RAT específico de centro sanitario.
Decenas de miles de centros sanitarios privados en España: clínicas, consultas, fisioterapia, psicología, podología, centros de diagnóstico y consultorios.
Una de las muchas carteras que tu asesoría puede atender con AIM ÆGIS.
Ofrece esto a tus clientes de clínicas médicas.
Te enseñamos en 30 minutos cómo AIM ÆGIS razona sobre este sector y cómo quedaría bajo tu marca. Sin compromiso.
Solicita una demo