La Ley de Protección de Datos lleva ya varios años en vigor, pero todavía siguen surgiendo dudas respecto a su aplicación y las obligaciones que conlleva cumplirla. En esta guía vamos a detallar y explicar los aspectos fundamentales para cumplir con la normativa de protección de datos en farmacias. Te ofrecemos la información necesaria para clarificar las dudas y cuestiones que afectan a profesionales como tú, que trabajan en esta área tan sensible e importante para la sociedad.
En este artículo hablamos de:
- ¿Están obligadas las farmacias a cumplir con la Ley de protección de datos?
- ¿Qué normativa de protección de datos afecta a las farmacias y farmacéuticos?
- LOPDGDD para farmacias
- RGPD en farmacias
- ¿Cómo adaptar al RGPD y la LOPDGDD mi farmacia?
- ¿Necesitas cumplir la normativa de protección de datos en tu farmacia? Solicita presupuesto
- Sanciones por no cumplir la ley de protección de datos en farmacias
- Preguntas frecuentes
- ¿Cómo identifico los datos personales que trato en la farmacia?
- ¿A quiénes debo designar como Encargados de Tratamiento de Datos?
- ¿Debo establecer medidas de seguridad extraordinarias o adicionales a las habituales en el sector?
- ¿Qué obligaciones debo cumplir si instalo cámaras de videovigilancia en la farmacia?
- ¿Necesito nombrar un Delegado de Protección de Datos en una farmacia?
- ¿Necesitas un presupuesto? Escríbenos o llámanos al 914 896 419
¿Están obligadas las farmacias a cumplir con la Ley de protección de datos?
Las farmacias, como otros muchos comercios o negocios, en el desempeño de su actividad tratan datos de carácter personal a diario, tanto de sus clientes como de sus empleados y, en ocasiones, de sus proveedores también. Ya solo este hecho obliga a cumplir la Ley de Protección de Datos a las farmacias.
Pero, además, las farmacias no solo tratan datos de categorías básicas (como son el nombre y los apellidos, el DNI o una dirección postal), sino que también manejan datos de salud, considerados por el RGPD como por la LOPDGDD como datos de categorías especiales, que exigen un mayor nivel de protección y cumplir con una serie de requisitos más.
Si necesitas ayuda para adaptarte a la Ley de protección de datos, ponte en contacto con nosotros.
¿Qué normativa de protección de datos afecta a las farmacias y farmacéuticos?
Son varias las normativas en materia de protección de datos que afectan a las farmacias y los farmacéuticos y que es necesario conocer, para asegurarse de que se cumple con todas las obligaciones y requisitos exigidos:
- En el primer nivel supranacional y europeo nos encontramos con el Reglamento General de Protección de Datos (RGPD, Reglamento (UE) 2016/679, de 27 de abril de 2016).
- En el nivel nacional tenemos:
- Ley Orgánica de Protección de Datos Y Garantía de Derechos Digitales (LOPDGDD o LOPD).
- Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
- Ley de Autonomía del Paciente.
LOPDGDD para farmacias
La LOPDGDD es la adaptación del RGPD a la normativa española, introduciendo tanto los principios de la protección de datos, así como aquellas obligaciones y requisitos exigidos por el Reglamento europeo en la ley y que veremos detallados más adelante.
Como particularidad para la protección de datos en las farmacias, el artículo 9 de la LOPDGDD reconoce los datos de salud como datos sensibles y, por tanto, como datos especialmente protegidos y que, como ya dijimos, exige cumplir con obligaciones concretas respecto a su recogida, tratamiento, almacenamiento y protección.
RGPD en farmacias
Como decíamos, el RGPD introdujo toda una serie de novedades cuando entró en vigor en España en 2018, en general, para dar un mayor control al usuario sobre los datos personales que facilita, ofreciendo garantías acerca de detalles tales como:
- Finalidad para la que se utilizan los datos.
- Responsable del tratamiento de datos.
- Plazo de conservación de los datos: El RGPD establece el principio de mínima conservación de los datos, que en áreas tan sensibles como la del campo de las farmacias cobra vital importancia. Este principio aboga por la «conservación del mínimo de datos necesarios durante el mínimo tiempo posible». Pero tal cuestión plantea serias complicaciones, dado que por la propia naturaleza del servicio que se presta, se hace necesario conservar en ocasiones gran cantidad de datos sensibles, como son los relativos a la salud, durante una amplia extensión de tiempo.
- Forma de ejercer los derechos que tienen los ciudadanos sobre sus datos (acceso, rectificación, cancelación, oposición, portabilidad y olvido).
- Principio de transparencia: Este principio implica la adecuación y formalización de contratos con terceros que garanticen el cumplimiento del RGPD, así como la gestión de las brechas de seguridad.
- Endurecimiento del régimen sancionador (del que hablaremos más adelante).
¿Cómo adaptar al RGPD y la LOPDGDD mi farmacia?
Para adaptar tu farmacia al RGPD y la LOPDGDD, es necesario cumplir con las siguientes obligaciones contempladas en la normativa:
8 pasos para cumplir con el RGPD y la LOPDGDD en las Farmacias
Registro de Actividades de Tratamiento
El registro de actividades de tratamiento es un documento que lista los tratamientos de datos personales en cualquier entidad. Para cumplir la protección de datos en farmacias es necesario tener un registro de tratamiento por cada tratamiento que haga y en ellos detallar de forma concisa toda la información relativa al mismo:
- Identificación y datos de contacto del responsable, y, si procede, corresponsable, representante y delegado de protección de datos (DPO)
- Fines del tratamiento
- Descripción de categorías de interesados y datos
- Categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales)
- Transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos
- Plazos para la supresión de los datos
- Descripción de las medidas de seguridad establecidas
Los responsables y los encargados del tratamiento (que se encuentren obligados) deberán mantener los registros de las actividades de tratamiento que se encuentren bajo su responsabilidad siempre actualizados.
Señalar que es un documento de uso interno, es decir, no es necesario enviarlo a la AEPD (Agencia Española de Protección de Datos), pero sí que debe estar a disposición de la misma, si esta lo requiere en una inspección.
Análisis de Riesgos
Otra de las obligaciones para la protección de datos en farmacias es hacer un análisis de riesgos. Se trata de un análisis de riesgos previo que se debe dar a todo nuevo tratamiento de datos personales, con la principal finalidad de establecer los controles y medidas de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas.
Para realizar este análisis de riesgos debemos responder a preguntas como:
- ¿Qué tipo de datos de carácter personal almaceno?
- ¿Estos datos se comunican a terceros?
- ¿Utilizo tecnología invasiva para la privacidad en el tratamiento?
- ¿Se tratan datos considerados especialmente protegidos?
- ¿Los datos que han sido recabados se van a utilizar para acciones de marketing?
Hay que tener en cuenta que los riesgos no solo existen en el ámbito digital, puesto que también engloban riesgos físicos para la conservación y protección de la información sensible. Un ejemplo de análisis de riesgos RGPD en ese sentido sería evaluar la seguridad del archivo físico en el que se guardan las recetas en papel.
Evaluación de Impacto
Las farmacias, al tratar datos sensibles como son los referidos a la salud, deben realizar una evaluación de impacto.
La evaluación de impacto en el RGPD es un informe, o un conjunto de documentación, que recoge las características del tratamiento evaluado y las medidas adoptadas para reducir sus riesgos, de acuerdo con su identificación, análisis, valoración y tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.
Consentimiento de los clientes
El sector de las farmacias para poder tratar con los datos personales de los clientes, deben contar obligatoriamente un documento firmado (en formato papel o digital) que detalle el consentimiento expreso de los mismos. En él aparecerá la finalidad de los datos a utilizar, los destinatarios de los mismos, si van a cederse o transferirse a otros países o los medios para ejercer los derechos arco-pol.
El titular de la farmacia es el encargado de garantizar la intimidad de sus clientes, pacientes o usuarios y la autonomía de su voluntad. Tanto los clientes o pacientes de su establecimiento como los usuarios de su web, tienen completo derecho a que se respete el carácter confidencial de todos los datos que hagan referencia a su salud. Por lo tanto, no se podrá acceder a ellos sin previa autorización escrita, salvo que dicho acceso esté amparado por la normativa actual
Encargados de tratamiento
Es habitual que las farmacias trabajen con terceros, como gestorías que lleven la contabilidad o las nóminas de los empleados, empresas informáticas que gestionen la página web o el mantenimiento del sistema o la empresa de seguridad que se encarga de la videovigilancia del local.
Estos terceros son considerados encargados de tratamiento, ya que acceden a datos personales de los que es responsable la farmacia. Para cumplir con la protección de datos en una farmacia es obligatorio firmar con ellos un contrato que garantice un adecuado tratamiento de esos datos personales.
Uno de los principios del RGPD es el «principio de responsabilidad activa» (accountability). Este principio impone al responsable y al encargado del tratamiento estar en condiciones de demostrar que cumplen con las previsiones normativas en materia de protección de datos.
Acuerdos de confidencialidad con empleados
Los datos que se tratan en una farmacia pueden llegar a ser muy sensibles, por lo que se debe poner por escrito un acuerdo de confidencialidad que deben firmar los trabajadores, así como también las consecuencias en caso de que lo incumplan.
Es fundamental garantizar que en todo momento nuestros empleados cumplen con los deberes de secreto, confidencialidad y seguridad que establece la normativa de protección de datos.
Notificar brechas de seguridad
Las brechas de seguridad según el RGPD, o incidentes de seguridad, que hayan podido poner en riesgo los datos personales, deben ser notificados tanto a los interesados afectados como a la AEPD.
En lo que respecta a la notificación a la AEPD, se dispone de un plazo máximo de 72 horas para hacerlo, desde el momento en que se tuvo conocimiento de la brecha de seguridad.
Se debe contar con un protocolo o plan de respuesta ante este tipo de incidentes, que permita solucionarlos lo más rápidamente posible.
Página web
Si la farmacia tiene página web, deberás incluir en ella los correspondientes textos legales:
- Política de privacidad
- Aviso legal
- Política de cookies
Estos textos deben ser accesibles desde cualquier parte de la página o secciones de la página web y estar redactados de forma clara y comprensible.
¿Necesitas cumplir la normativa de protección de datos en tu farmacia? Solicita presupuesto
Cumplir con la protección de datos en una farmacia puede resultar complejo, especialmente para quienes no tienen conocimientos en la materia. Por ello, lo mejor es contactar con un profesional especializado en protección de datos para autónomos y empresas, que se ocupará de llevar a cabo todos los trámites para que nuestra farmacia cumpla con la ley.
Si necesitas adaptar tu farmacia a la normativa de protección de datos, solicita presupuesto sin compromiso.
Sanciones por no cumplir la ley de protección de datos en farmacias
Como ya dijimos, el RGPD endureció el régimen sancionador para quienes no cumplen con las obligaciones de la normativa.
En concreto, por no cumplir con la protección de datos, tu farmacia podría ser sancionada con multas de hasta 20 millones de euros o el 4% de la facturación anual (la cuantía que sea mayor), en función de la gravedad de la infracción cometida.
La LOPDGDD nos remite a ese régimen sancionador recogido en el RGPD, pero gradúa las infracciones en leves, graves y muy graves, en función de determinados comportamientos, la cantidad de personas afectadas, el tipo de datos vulnerados, la intencionalidad o la negligencia y la duración en el tiempo de la infracción.
Preguntas frecuentes
¿Cómo identifico los datos personales que trato en la farmacia?
De acuerdo a la LOPDGDD, los datos personales son «cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables».
Por lo tanto, son datos personales aquellos que sirven para identificar a las personas. En la farmacia manejarás y tratarás datos de:
- Carácter identificativo (como el DNI o el número de la Seguridad Social)
- Características personales (como la edad)
- De salud
¿A quiénes debo designar como Encargados de Tratamiento de Datos?
En el caso concreto de las oficinas de farmacia, hay varias categorías que habitualmente se presentan en prácticamente la totalidad de los casos, tales como:
- Asesorías (fiscal, laboral, contable)
- Empresas encargadas del mantenimiento de los sistemas informáticos
- Entidades de Prevención de Riesgos Laborales (en aquellas que tengan empleados y dispongan por tanto de este servicio)
- Laboratorios con los que se colabora en formatos «no ciegos», en los que se facilitan datos concretos de los usuarios sobre los que se solicitan servicios
Resulta de vital importancia documentar este tipo de relaciones, en vista a clarificar la situación en el caso de una posible incidencia, reclamación o expediente por parte de las autoridades.
¿Debo establecer medidas de seguridad extraordinarias o adicionales a las habituales en el sector?
En ningún momento la normativa aplicable hace referencia a medidas concretas de seguridad. Se refiere a las «adecuadas al tipo de datos que se maneja, su volumen y finalidad, y en todo caso con relación al estado actual de la tecnología y al coste asociado a su implantación».
Esto quiere decir que las medidas de seguridad deben ser las correspondientes al manejo, en el caso de las farmacias, de datos tan sensibles como los de salud. Que además pueden afectar a colectivos considerados vulnerables, tales como los menores o los ancianos.
Por todo lo anterior se hace necesario enfatizar en la necesidad de cumplir unas medidas de seguridad como:
- Aplicar sistemas de identificación de usuarios y contraseñas para el acceso a la información en el caso del uso de herramientas informáticas
- Elaboración de una relación de autorizados y sus niveles de acceso
- Posible encriptación de archivos
- Realizar copias de respaldo de la abundante documentación de la que normalmente se dispone en las farmacias
¿Qué obligaciones debo cumplir si instalo cámaras de videovigilancia en la farmacia?
En primer lugar debes informar de la existencia de dichas cámaras. Puedes hacerlo mediante la colocación de un cartel donde aparezca que es una zona videovigilada, la identidad del responsable del tratamiento y la posibilidad del ejercicio de los derechos ARCO, limitación y portabilidad. Debes incluir este tratamiento en el registro de actividades de tratamiento.
También debes tener en cuenta que la videovigilancia solo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.
Además, no se podrán captar imágenes de la vía pública con fines de seguridad. Ni instalar cámaras en baños, vestuarios o lugares similares.
En el caso de que la gestión de las cámaras la realice un tercero, estaríamos ante la figura de un encargado de tratamiento. Con él debes firmar el contrato al que hicimos referencia anteriormente.
¿Necesito nombrar un Delegado de Protección de Datos en una farmacia?
El RGPD solo establece el nombramiento de un Delegado de Protección de Datos obligatorio bajo determinadas circunstancias y a determinados tipos de negocios y empresas.
En el caso concreto de las farmacias, podría ser necesario nombrar un DPO si tratas un gran volumen de datos, así como por la categoría especial de estos. Es decir, depende en gran medida de si en tu farmacia manejas datos personales a gran escala.
Si nombras un DPO, debes hacer público sus datos de contacto y comunicar su designación a la AEPD.
Y, si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Atico34.