Confidencialidad y Protección de Datos en Telepsicología PDF

Summary

This document discusses the legal and ethical aspects of online psychological practice, covering data protection regulations, including the Spanish LOPDGDD and the EU RGPD. It also details ethical guidelines and security measures related to online therapy.

Full Transcript

El psicólogo, como ofertante del servicio, es el responsable de asegurar el cumplimiento que alude a las condiciones del espacio terapéutico tanto presencial como el online, al soporte a través del cual se lleva a cabo la intervención, a los requisitos del paciente para poder beneficiarse de este ti...

El psicólogo, como ofertante del servicio, es el responsable de asegurar el cumplimiento que alude a las condiciones del espacio terapéutico tanto presencial como el online, al soporte a través del cual se lleva a cabo la intervención, a los requisitos del paciente para poder beneficiarse de este tipo de intervención y a las exigencias necesarias para el éxito de la terapia; con independencia de las responsabilidades atribuibles a la plataforma tecnológica de comunicación o al centro sanitario en el que se presten servicios terapéuticos. Teniendo en cuenta dicha responsabilidad, conozcamos los aspectos normativos. El psicólogo ha de estar informado y actualizado sobre las intervenciones en Telepsicológica referidos al cumplimiento de normas éticas y de protección de datos, privacidad y confidencialidad, seguridad de la información, saber gestionar las situaciones de riesgo o crisis, así como discriminar cuándo es recomendable y cuándo no ofrecer este servicio para garantizar una terapia adecuada. En general, en la intervención Telepsicológica, se aplicarán los mismos principios que en terapia presencial respecto a la normativa ética y deontología que garantiza una práctica psicológica adecuada. Cumplimiento de normas legales, aspectos éticos y deontológicos por parte del psicólogo. Normativa relativa a la terapias online: será de obligado cumplimiento la legislación que, en nuestro país, regula los servicios online, la protección de datos personales y las relativas a confidencialidad, privacidad y seguridad de las comunicaciones entre particulares Normas éticas: Código deontológico, Consejo General de la Psicología de España. Protección de datos, privacidad y confidencialidad: • • • • • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. LOPDGDD Reglamento Europeo de Protección de Datos (RGPD), del 26 DE ABRIL DE 2016 Y que está vigente desde el pasado 25 de mayo de 2018. Competencias profesionales del psicólogo sanitario Ley General de Salud pública 33/2011 (Disposición adicional séptima). Autorización de centros, servicios y establecimien-tos sanitarios. Real Decreto 1277/2003. Orden SCO/1741/2006 Condiciones del espacio terapéutico. Normas legales sobre seguridad informática: Normas ISO 27001. 1 CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS La obligación de obtener el consentimiento viene regulado en legislación vigente: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y el Reglamento Europeo de Protección de Datos en vigor desde el 25 de mayo de 2016. ¿Qué es la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD)? La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales es la adaptación de la normativa española al reglamento europeo sobre protección de datos (RGPD). La LOPDGDD 3/2018 llega para sustituir a la LOPD 15/1999, la anterior normativa sobre protección de datos, que ha quedado derogada. El objetivo de esta ley es proporcionar una base legal sólida y actualizada para regular el tratamiento de los datos personales de las personas físicas, así como la libre circulación de los mismos. La presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. Además, pretende garantizar el respeto a los derechos digitales indicados en el artículo 18.4 de la Constitución Española. Por tanto, la protección de datos se ejercerá en base a los establecido en esta ley orgánica y a lo dispuesto en el Reglamento UE 2016/679.v Tanto el Reglamento General de Protección de Datos europeo como la Ley Orgánica de Protección de Datos española nacieron con el fin de preservar la intimidad de los ciudadanos en el uso que de sus datos hacen las empresas. Y muy especialmente en el ámbito de las nuevas tecnologías y de Internet. Una de las principales diferencias entre LOPD y RGPD es su ámbito de aplicación: mientras que la LOPD solo se aplicaba en España, el Reglamento General de Protección de Datos tiene aplicación en todo el mundo, siempre que los datos que se protejan pertenezcan a personas residentes en la Unión Europea. Tanto la Directiva europea como la LOPD se crearon para establecer el adecuado equilibrio entre la libre circulación de datos en el ámbito de la Unión Europea y la necesaria protección de la vida privada de los ciudadanos de la misma. Así mismo, la Directiva Europea pedía que cada estado miembro de la Unión crease un organismo nacional y autónomo destinado a velar por la protección de datos. En nuestro país, esa institución es la Agencia Española de Protección de Datos, que ya existía con anterioridad y que fue adaptada a lo indicado por la citada Directiva. El Reglamento General de Protección de Datos ha cumplido este año su tercer aniversario. 2 El 25 de mayo del 2018 comenzó a aplicarse en el ámbito del espacio UE una normativa común sobre regulación de la privacidad, circulación y tratamiento de los datos de las personas físicas. Una norma que limita el tratamiento de los datos personales en entidades públicas y empresas. El objetivo, no hay que perderlo nunca de perspectiva, es proteger al usuario en un mundo digitalizado en el que cada vez somos menos dueños de nuestra información más personal, de la que disponen no solo los grandes oligopolios de internet, sino cualquier empresa que utilicemos con la que establecemos una relación y, por supuesto, los organismos institucionales. A los emprendedores y empresarios, el RGPD afecta además, en lo que se refiere a la obligación y responsabilidad de cumplirlo, sea cuál sea el tamaño o actividad de nuestro negocio. Y, echando la vista atrás, lo cierto es que los inicios no fueron sencillos, sobre todo para las PYMES que temían no contar con los recursos suficientes para cumplir en su totalidad estas nuevas reglas de juego. Por otra parte, la LOPD recogía los llamados derechos ARCO, que las empresas debían facilitar a los titulares de los datos. Son los de Acceso, Rectificación, Cancelación y Oposición. Y también debía realizar una auditoría bienal de sus procedimientos de seguridad. En nuestro caso Las diferencias entre el RGPD y la LOPD afectan, sobre todo, a que la primera introduce la figura del Delegado de Protección de Datos en las empresas, crea los nuevos derechos de Portabilidad, Limitación del Tratamiento y al Olvido y endurece considerablemente las sanciones.1 Portablidad, consistente en que, como ciudadano, tienes derecho a que tus datos sean transferidos por petición tuya a otra empresa. Otro es el de la Limitación del Tratamiento, por el cual puedes solicitar que tus datos solamente sean usados para determinadas finalidades que te interesen a ti y no para otras. Por último, está el importante Derecho al Olvido. Este consiste en que puedes borrar informaciones tuyas del pasado que aparezcan en buscadores generales de Internet cuando ya hayan quedado obsoletas o sin relevancia. El Reglamento incluye novedades sustanciales. Por ejemplo, si eres empresario y manejas un volumen considerable de datos personales, estás obligado a tener un Delegado de Protección de Datos quien, a su vez, se encargará de velar por tus ficheros y de orientar a tu negocio en todo lo referente al RGPD y crea los nuevos derechos de Portabilidad, Limitación del Tratamiento y al Olvido y endurece considerablemente las sanciones. ARCO-POL Principio: El Derecho a la Protección de Datos Personales garantiza a su titular (cliente) la facultad de controlar el uso que otros (en este caso, el psicólogo) hacen de su información y la capacidad de disponer y decidir sobre dicho uso. El psicólogo ha de garantizar la privacidad y la confidencialidad de los datos del cliente. La identidad de un 1 Multas de 50 millones Google, British Airways, Telecomm, hm, hoteles Marriot.. 3 cliente y la información proporcionada por éste no pueden ser reveladas sin su autorización expresa (excepto cuando el cliente plantea hacer daño grave a otras personas o a sí mismo). Posibles problemas: - Acceso o robo de información confidencial archivada en soporte digital por terceros no autorizados. Conocimiento por parte de terceros de datos y acciones del terapeuta o el cliente en internet que puedan comprometer su relación profesional y terapéutica. Los datos personales tratados no serán cedidos o comunicados a ninguna entidad nacional o internacional, salvo en los casos en que exista una obligación legal. Por otro lado, le informamos de su derecho a ejercer sus derechos de acceso, rectificación o supresión, o la limitación de su tratamiento, o a oponerse al mismo, transparencia y derecho a no ser objeto de decisiones automatizadas enviando al CENTRO (o profesional) una carta o email debidamente firmada a la dirección referida anteriormente donde consten claramente sus datos de contacto. Esa carta deberá ir acompañada de una fotocopia de su DNI/NIF o documento que acredite su identidad. El CENTRO (o profesional) procederá a eliminar cualquier tipo de información relativa al Paciente una vez hayan transcurrido 5 años desde la finalización de la terapia.5 años para datos, 20 años para el historial clínico. Igualmente, le advertimos de su derecho a retirar, en cualquier momento, el consentimiento prestado para tratar sus datos, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada. Finalmente, le recordamos, que tiene derecho a presentar una reclamación ante la Agencia Española de Protección de Datos, si considerara que el tratamiento de datos no es acorde a la normativa europea. ACTUACIONES DE LOS PSICÓLOGOS: 1. informarse sobre los riesgos potenciales de confidencialidad de los datos antes de utilizar las tecnologías como herramienta terapéutica. Cuando sea necesario, deberán realizar consultas a expertos para aplicar las medidas necesarias además de seguir escrupulosamente las normas legales. 2. De acuerdo con el Principio Responsabilidad Proactiva, el psicólogo ha de cumplir con las siguientes obligaciones: 3. Elaboración y mantenimiento de un Registro de Actividades de Tratamiento y documentar la medidas técnicas y organizativas implementadas. Obligación de realizar y dejar documentado un Análisis de Riesgos y si el tratamiento es de alto riesgo Eva-luaciones de Impacto. Aplicar las medidas de seguridad o controles adecuados a los resultados de los análisis de riesgos y evaluaciones de impacto. 4 Nombramiento de un Delegado de Protección de Datos (DPD) en los casos en los que resulta obligatorio (Proyecto de ley de protección de datos nombra los centros sanitarios) o si así se decide de forma voluntaria. Comunicación a la Autoridad de Control, y en su caso a los afectados, de las quiebras de seguridad de la información en un plazo de 72 horas. Asegurar que las personas o empresas encargadas de gestionar la información en nuestro nombre (encargados de tratamiento) como pueden ser las plataformas de TelePsicología o proveedores de servicios web, de almacenamiento en la nube, etc. nos ofrezcan garantías de cumplimiento del RGPD, (ejemplo, por sus sellos de confianza o estar adheridos a códigos de conducta del sector, etc.) Hay que incluir en los contratos de prestación de servicios las correspondientes clausulas de protección de datos según lo indicado en el RGPD. En la guía de la Agencia de Protección de datos “Directrices para la elaboración de contratos entre responsable y encargados de tratamiento” se puede consultar los nuevos aspectos a informar y el modelo propuesto por la Agencia de Protección de Datos. 4. Cumplir con los principios de protección de datos y derechos de las personas. El psicólogo únicamente podrá recabar aquella información del cliente que sea necesaria para su alta, gestión de citas e intervención psicológica online. Deberá informar al cliente lo indicado en el artículo 13 del RGPD, entre otros aspectos habrá que informar de la identidad y los datos de contacto del responsable del tratamiento y del Delegado de Protección de Datos-DPD, la finalidad y base jurídica que legítima el tratamiento de la recogida de los datos, el plazo de conservación de la información, los destinatarios de datos (cesiones), la existencia de transferencias internacionales, así como la forma de ejercer el derecho de acceso, rectificación o supresión, limitación de tratamiento, oposición y a la portabilidad de los datos, así como el derecho a presentar una reclamación ante una autoridad de control. Todo ello a través de un texto legal (Política de Privacidad) que deberá aceptar el cliente al cumplimentar el formulario de datos de registro en la Plataforma Online. 5. Antes de proporcionar servicios de terapia online los psicólogos deben dar información de las características del proceso terapéutico y el servicio, así como solicitar el consentimiento informado por escrito. Se incluirá en el documento el tipo de tecnología y medios de comunicación que se van a utilizar (plataforma web, e-mail, videoconferencia, teléfono, etc. y cualquier tipo de aplicación TIC de procedencia registrada acorde con la normativa española) y hacerlo con un lenguaje comprensible y adaptado a los clientes. 6. Tomar las medidas oportunas para la autentificación de la identidad del cliente. Siempre se deberá constatar (de forma presencial y/o por videoconferencia) que 5 se trata de esa persona antes de prestar servicios online. El psicólogo deberá solicitar copia de documento legal acreditativo de la identidad del cliente (DNI, NIF, Pasaporte, NIE…). En aquellos casos en los que sea necesario el consentimiento de los titulares de la patria potestad o tutela, los terapeutas deberán solicitar aquella documentación que ratifique tales circunstancias (libro de familia, sentencia judicial, convenio regulador…). 7. Pedir consentimiento expreso al cliente en aquellas situaciones en las que se requiera contactar con personas de su entorno o con otros profesionales del cliente con los que se plantee compartir información reservada. A la hora de contactar con las personas, hay que asegurarse de no reenviar a terceros, los mensajes que el cliente nos haya escrito previamente. En la evaluación psicológica se puede concluir que es más conveniente que la intervención la realice otro profesional, por lo que si se requieren datos sobre el cliente, se le deberá informar y solicitar su consentimiento, aunque es preferible que sea el propio cliente quién facilite los datos al profesional al que se deriva el caso. 8. Copias de Respaldo y Recuperación: Deberán realizarse copias de la información (historias clínicas u otra información clínica), al menos semanalmente. Las copias deberán estar cifradas y almacenarse en área externa y segura, sin conexión a internet. 9. Consideraciones adicionales sobre el uso y almacenamiento de información confidencial (el psicólogo es responsable de mantener actualizada y debidamente almacenada toda la información recabada de los clientes). 10. Recabar y guardar información de cada cliente que incluya datos de identificación y contacto, consentimiento informado, datos de evaluación, objetivos, plan de tratamiento, fechas y duración de las sesiones, información relativa a los pagos. 11. Vigilar la seguridad de dispositivos, como los teléfonos inteligentes y tabletas, si contiene información del cliente, puesto que de forma automática podrían hacerse copias de seguridad en la nube. 12. Mantener protegida la información por el periodo de tiempo que se estime para datos personales de salud (en España, la legislación vigente establece un periodo de 5 años). Historiales clínicos 20 en comunidad autónoma 20. 13. Informar al cliente y recabar su consentimiento en el caso que el psicólogo desee guardar transcripciones de conversaciones, grabaciones o mensajes de chat y/o e-mails. Si el cliente almacena esta información, se le debe explicitar los beneficios y el riesgo presente y futuro para la confidencialidad de los datos clínicos propios en los que incurre. 6 Consejos para aumentar la seguridad de las videoconferencias Incluso aunque realices las videoconferencias de tu empresa a través de cualquiera de estas tres aplicaciones, Zomm, Google meet, Skype, los especialistas en seguridad informática que han demostrado no ser tan seguras y recomiendan que tomes medidas extra de refuerzo para mantener tus datos e información alejados de los hackers. Básicamente, se trata de que instales un antivirus potente y lo mantengas actualizado. Otras precauciones que te ayudarán: • Crea siempre salas videoconferencia. • Establece contraseñas de acceso si es posible. • No compartas las URL en redes públicas, házselas llegar a los invitados mediante mensajes privados o en una llamada telefónica. • Retrasa las comunicaciones de los datos de acceso hasta poco antes de que vaya a realizarse la videoconferencia. • En la medida de lo posible, configura siempre una sala de espera para que el administrador pueda dar acceso a las personas que accederán a la videoconferencia. específicas con nombres distintos para cada PLATAFORMAS Las mas usadas Skype, Zoom, MEET, Psipocket. El Colegio de Psicólogos recomienda la plataforma PsyPocket de uso gratuito para sus colegiados. Es una plataforma informática segura para poder realizar intervenciones profesionales de telepsicología. El servicio contratado incluye, además de las funciones de videoconferencia cifrada de alta calidad, el manejo de la agenda y envío de mensajería instantánea cifrada. El/la colegiado/a que se encuentre interesado/a en utilizar este recurso, se dará de alta en la web del Consejo General de la Psicología, habilitada a tal efecto. Tendrá que cumplimentar un formulario con sus datos personales, e-mail, número de colegiado/a y colegio profesional al que esté adscrito/a. Para realizar la solicitud se deberá hacer desde una dirección profesional de correo que le identifique como colegiado/a (cop.es ó copc.cat). Para registrarse en la plataforma deberá de hacerse a través del siguiente enlace: https://www.cop.es/telepsicologia Una vez registrados/as, recibirán un e-mail de PsyPocket, con toda la información detallada acerca del funcionamiento del servicio. 7 Temas relativas a la protección de datos. Plataformas on-line. Todas las gratuitas no son seguras. Drive tampoco lo es. Usar el correo corporativo es más seguro. Consentimiento informado. Deben firmarlos los dos progenitores, si uno no va, pueden traerlo firmado con copia del DNI. Facturas: Cuidado al enviarles por mail. Copia de expediente del paciente: Tenemos la obligación de facilitarlo si nos lo piden. Pero hay que saber que elaborar. ¿Qué es 7-Zip? El programa WINZIP 7-Zip permite realizar compresiones a numerosos archivos para poder combinarlos todos en uno solo y así tenerlos concentrados. Es realmente útil y es semejante a otros programas quizá más conocidos como WinRAR o WinZip. En todos ellos se pueden realizar acciones comunes y en esta guía veremos una de ellas que será de gran utilidad: poner una contraseña a un archivo comprimido con 7-Zip. Para poder garantizar una adecuada comunicación entre terapeuta y cliente en la terapia psicológica online, es necesario cumplir con los requisitos técnicos descritos a continuación: 2. Para evitar problemas técnicos durante la sesión se debe comprobar antes de su inicio que se cumple con los requisitos técnicos necesarios, preparar todos los sistemas específicos que se emplearán y asegurarse de la conexión a internet. 3. Si la sesión se viera interrumpida durante un gran espacio de tiempo por las dificultades de conexión, se pospondría la sesión. En el caso de que el problema de conexión sea del cliente y se hayan consumido más de ______ 10minutos de sesión, ésta 8 se dará por finalizada, aunque se intentarán alcanzar los objetivos de la sesión pendientes mediante otros recursos online como correo electrónico o teléfono. 4. Se ha de escoger un espacio físico que garantice la seguridad, privacidad y confidencialidad: un lugar en el que exista intimidad, en el que no estén otras personas presentes si no forman parte de la terapia y, por supuesto, que no sea un lugar público. 5. Para evitar el acceso por parte de terceros a la información privada y confidencial de la terapia, se recomienda emplear contraseñas seguras y privadas para los dispositivos y cuentas que se empleen en la terapia. 6. No debe emplearse el material que proporciona el psicólogo con otros fines que no sean los acordados en el contexto terapéutico. Siempre que se plantee hacer otro uso de dicho material requerirá el consentimiento previo del psicólogo. 7. El tiempo de demora de respuesta desde la solicitud de un servicio de terapia psicológica online o el envío de un e-mail de consulta en el marco de una intervención online, 8. La posibilidad de realizar la modalidad online en la terapia psicológica siempre está sujeta al cumplimiento de una serie de condiciones relativas al problema psicológico y las circunstancias y estado de la persona que demanda ayuda psicológica. El terapeuta valorará en todo momento estos criterios para decidir si esa modalidad terapéutica es la adecuada. En caso de que el terapeuta valore, en cualquier momento del proceso terapéutico, que la modalidad online es inadecuada para el bienestar y el beneficio del cliente, éste podrá interrumpirla y plantear otras opciones terapéuticas: terapia presencial o derivación a otros servicios. 9

Use Quizgecko on...
Browser
Browser