REGISTRO DE ACTIVIDADES DE TRATAMIENTO (RAT)
Artículo 30 del Reglamento (UE) 2016/679 (RGPD)
Documento interno de carácter obligatorio, a disposición de la Agencia Española de Protección de Datos cuando lo requiera. La exención del artículo 30.5 RGPD no resulta aplicable por tratarse de un tratamiento de categorías especiales de datos (datos de salud, art. 9 RGPD).
DATOS DEL RESPONSABLE DEL TRATAMIENTO (art. 30.1.a)
| Campo | Contenido |
|---|---|
| Responsable | [Nombre y apellidos de la médica] |
| NIF | [ ] |
| Condición | Persona física que ejerce la actividad sanitaria por cuenta propia |
| Nº de colegiado / Colegio | [ ] |
| Domicilio del centro | [Dirección completa], [Localidad], [Provincia], Andalucía |
| Nº de autorización sanitaria (RCCEI) | [ ] |
| Correo de contacto en protección de datos | [ ] |
| Teléfono | [ ] |
| Delegado de Protección de Datos | [No designado / Nombre y contacto — obligatorio si se incorpora personal sanitario auxiliar, art. 34.1.o LOPDGDD] |
Instrucciones de mantenimiento: el RAT debe revisarse y actualizarse cada vez que se cree, modifique o cese un tratamiento, se incorpore un nuevo encargado o cambien los plazos o las medidas. Fecha de la versión vigente: [ ]. Responsable de la actualización: [ ].
ACTIVIDAD DE TRATAMIENTO 1, PACIENTES / ASISTENCIA SANITARIA
| Elemento (art. 30.1) | Contenido |
|---|---|
| Denominación | Gestión asistencial y de historia clínica de pacientes |
| Fines (b) | Prestación de asistencia sanitaria de medicina estética; elaboración, mantenimiento y custodia de la historia clínica; diagnóstico, seguimiento y evolución de tratamientos; gestión de agenda y citas; emisión de informes y de consentimientos informados clínicos; farmacovigilancia (trazabilidad de producto, lote, dosis y zona) |
| Base jurídica | Art. 6.1.b RGPD (ejecución del contrato de prestación del servicio médico) y art. 9.2.h RGPD (fines de diagnóstico, prestación de asistencia y tratamiento sanitario por profesional sujeto a secreto, art. 9.3). Refuerzo: art. 9.2 LOPDGDD, Disposición Adicional 17ª LOPDGDD y Ley 41/2002. No se basa en el consentimiento del interesado. |
| Categorías de interesados (c) | Pacientes; en su caso, representantes legales de menores o personas con capacidad modificada |
| Categorías de datos (c) | Identificativos (nombre, DNI/NIE, fecha de nacimiento); de contacto (dirección, teléfono, email); datos de salud (categoría especial, art. 9): anamnesis, antecedentes, alergias, medicación, exploración, diagnóstico, procedimientos, producto/lote/dosis/zona, evolución; fotografías clínicas con finalidad asistencial |
| Categorías de destinatarios (d) | Encargados de tratamiento (software de HC en la nube, mantenimiento IT, destrucción documental); otros profesionales sanitarios intervinientes cuando resulte necesario para la asistencia; laboratorio o anatomía patológica en su caso; Administración sanitaria y autoridades judiciales cuando exista obligación legal. No se realizan cesiones con fines comerciales |
| Transferencias internacionales (e) | [No previstas / Indicar si el software de HC aloja fuera del EEE: proveedor, país y garantía aplicada (decisión de adecuación art. 45 o cláusulas contractuales tipo art. 46)] |
| Plazo de conservación (f) | Historia clínica: mínimo 5 años desde el alta de cada proceso asistencial (art. 17.1 Ley 41/2002; Andalucía no fija plazo propio). Plazo ampliado adoptado por el responsable ante la litigiosidad del sector: [indicar años, orientado a la prescripción de acciones de responsabilidad] (art. 17.2 Ley 41/2002). Transcurrido el plazo, supresión segura |
| Medidas de seguridad (g) | Cifrado en reposo y en tránsito; control de acceso individualizado con 2FA; registro de accesos (logs) a la HC; copias de seguridad cifradas con restauración probada; seudonimización y minimización; destrucción segura de papel y soportes; contrato de encargado con proveedores; deber de secreto del personal. Descripción conforme al art. 32 RGPD |
ACTIVIDAD DE TRATAMIENTO 2, FACTURACIÓN Y GESTIÓN CONTABLE
| Elemento (art. 30.1) | Contenido |
|---|---|
| Denominación | Facturación, cobro y obligaciones fiscales y contables |
| Fines (b) | Emisión de facturas; gestión de cobros y pagos; cumplimiento de obligaciones fiscales y contables; conservación de justificantes |
| Base jurídica | Art. 6.1.c RGPD (cumplimiento de obligación legal: normativa tributaria y mercantil) y art. 6.1.b RGPD (ejecución del contrato) para el cobro del servicio |
| Categorías de interesados (c) | Pacientes; en su caso, terceros obligados al pago (aseguradoras, financiadores) |
| Categorías de datos (c) | Identificativos y de contacto; datos económicos y de facturación; medio de pago. En la factura no se incluyen datos de salud más allá de la denominación genérica imprescindible del servicio |
| Categorías de destinatarios (d) | Gestoría/asesoría fiscal-laboral (encargado de tratamiento); Agencia Tributaria y Administraciones competentes; entidad bancaria |
| Transferencias internacionales (e) | No previstas [confirmar según ubicación del software de facturación] |
| Plazo de conservación (f) | El exigido por la normativa fiscal y mercantil: mínimo 4 años (Ley General Tributaria) y hasta 6 años de la documentación contable (Código de Comercio, art. 30). Después, supresión |
| Medidas de seguridad (g) | Control de acceso individualizado; cifrado; copias de seguridad; contrato de encargado con la gestoría; separación respecto de los datos clínicos |
ACTIVIDAD DE TRATAMIENTO 3, MARKETING Y REDES SOCIALES
| Elemento (art. 30.1) | Contenido |
|---|---|
| Denominación | Comunicaciones comerciales, publicidad y gestión de redes sociales |
| Fines (b) | Envío de comunicaciones comerciales e informativas sobre servicios y promociones; publicación de contenidos en web y redes sociales; publicación de imágenes clínicas de pacientes con fines promocionales, docentes o de testimonio; gestión de reseñas y captación |
| Base jurídica | Art. 6.1.a RGPD (consentimiento del interesado) para comunicaciones comerciales, y art. 21 LSSI-CE. Para la publicación de imágenes de pacientes: art. 9.2.a RGPD (consentimiento explícito) por tratarse de datos de salud, más consentimiento por el derecho a la propia imagen (LO 1/1982). Consentimiento granular, separado por finalidad y revocable. Para clientes sin datos de salud puede valorarse el interés legítimo (art. 6.1.f) solo en comunicaciones a clientes existentes sobre servicios análogos |
| Categorías de interesados (c) | Pacientes que hayan prestado consentimiento; clientes potenciales; suscriptores |
| Categorías de datos (c) | Identificativos y de contacto; imagen (fotografía/vídeo); preferencias e historial de interacción; en la imagen clínica publicada, dato de salud (categoría especial) |
| Categorías de destinatarios (d) | Agencia de marketing / community manager (encargado); plataforma de email marketing (encargado); plataformas de redes sociales (responsables independientes con sus propias condiciones) |
| Transferencias internacionales (e) | Posibles — plataformas de redes sociales y email marketing con servidores fuera del EEE. Indicar proveedor y garantía (cláusulas contractuales tipo art. 46 o decisión de adecuación art. 45) |
| Plazo de conservación (f) | Hasta la revocación del consentimiento o la solicitud de baja; en caso de revocación de imagen, retirada de las publicaciones controlables. Datos de captación sin conversión: [plazo, p. ej. 1 año] |
| Medidas de seguridad (g) | Gestión de consentimientos y prueba de su obtención; procedimiento de baja/revocación; control de acceso; contrato de encargado con agencia y plataformas |
ACTIVIDAD DE TRATAMIENTO 4, VIDEOVIGILANCIA (si aplica)
Incluir esta actividad únicamente si el centro dispone de cámaras. Si no hay videovigilancia, marcar como no aplicable y eliminar.
| Elemento (art. 30.1) | Contenido |
|---|---|
| Denominación | Videovigilancia de las instalaciones |
| Fines (b) | Seguridad de personas y bienes; control de accesos a las instalaciones. No se captan zonas asistenciales donde el paciente reciba tratamiento ni la vía pública más allá de lo imprescindible |
| Base jurídica | Art. 6.1.f RGPD (interés legítimo del responsable en la seguridad), en los términos del art. 22 LOPDGDD |
| Categorías de interesados (c) | Personas que accedan o transiten por las zonas videovigiladas (pacientes, personal, visitantes) |
| Categorías de datos (c) | Imagen. No se capta audio |
| Categorías de destinatarios (d) | Fuerzas y Cuerpos de Seguridad y autoridades judiciales en caso de incidente; empresa de seguridad/mantenimiento (encargado) si la hubiera |
| Transferencias internacionales (e) | No previstas [confirmar si el almacenamiento es en la nube] |
| Plazo de conservación (f) | Máximo 30 días (art. 22.3 LOPDGDD), salvo imágenes relacionadas con hechos que deban conservarse para su puesta a disposición de autoridades |
| Medidas de seguridad (g) | Cartel informativo homologado en zona visible antes del acceso (deber de información); acceso restringido a las grabaciones; supresión automática al vencer el plazo |
OBSERVACIONES
- Actividades adicionales a valorar según evolución del centro: gestión de personal y nóminas (si se contrata empleados), lista de espera, encuestas de satisfacción. Añadir su ficha si se activan.
- Cada modificación de este registro se documenta con fecha y versión.
Versión: [ ] · Fecha: [ ] · Responsable: [Nombre y apellidos de la médica]