¡Pide presupuesto en 2 min! ✓
SanidadSectores

¿Cómo adapto mi farmacia al RGPD?

9 Mins read

Si tienes una farmacia, este contenido te interesa. Con brevedad y claridad, detallaremos y explicaremos aspectos vitales para que puedas cumplir con la nueva normativa. Y obtendrás la información necesaria para clarificar la mayor parte de las dudas y cuestiones que se plantean de forma general y que afectan a los profesionales como tú, que trabajan en este área tan sensible e importante en nuestra sociedad.

Normativa

Como siempre que se analiza una novedad en nuestro ordenamiento, es imprescindible tener claro las normas concretas a las que hay que acudir para fundamentar nuestra información:

  • En el primer nivel supranacional y europeo nos encontramos con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).
  • A nivel nacional tenemos:
    • Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos de Carácter Personal y Garantía de derechos digitales (LOPDGDD),
    • Real Decreto-ley 5/2018 de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos y
    • Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico

RGPD

En este artículo queremos hacer referencia a aspectos básicos e importantes para los profesionales del sector farmacéutico. Las novedades que supone la implantación de esta normativa en su sector, cómo pueden adaptarse a nivel documental y en su operativa del día a día, así como las preguntas más frecuentes y habituales que suelen plantearse llegado el momento de cumplir efectivamente la normativa.

Principales novedades del RGPD

En términos generales, la nueva normativa aboga por un mayor control por parte del usuario de los datos que facilita. Obteniendo garantías acerca de detalles tales como:

  • finalidad para que se utilizan,
  • responsable de los mismos,
  • plazo por el que se conservan o
  • forma de ejercer los derechos que se le asignan.

Conservación de los datos

Con el nuevo RGPD se establece el principio de mínima conservación de los datos, que en áreas tan sensibles como la del campo de las farmacias cobra vital importancia.

Este principio aboga por la “conservación del mínimo de datos necesarios durante el mínimo tiempo posible”. Pero tal cuestión plantea serias complicaciones, dado que por la propia naturaleza del servicio que se presta, se hace necesario conservar en ocasiones gran cantidad de datos sensibles, como son los relativos a la salud, durante una amplia extensión de tiempo.

Principio de transparencia

Se establece también con la nueva regulación el principio de transparencia. Implica la adecuación y formalización de contratos con terceros que garanticen el cumplimiento del RGPD, así como la identificación y resolución de brechas de seguridad. Con la obligatoriedad, bajo determinadas circunstancias, de su comunicación a las autoridades competentes y a los propios afectados.

La nueva normativa obligará a las farmacias a modificar la forma en la que implementan las políticas de Protección de datos:

  • Desaparece el registro de los ficheros en la AEPD,
  • aumentan los niveles de seguridad formales,
  • necesidad en su caso de evaluar el impacto de sus políticas en los derechos de los usuarios, así como en lo referente a los potenciales riesgos y amenazas a los que se enfrentan, y
  • organizando medidas que garanticen la protección de la información que se maneja.

Nuevos derechos

Se amplían los ya tradicionales y anteriormente existentes derechos ARCO (acceso, rectificación, cancelación y oposición) con los de limitación y portabilidad. Con la obligatoriedad de información respecto de los mismos a todos los usuarios, así como de la forma en la que puedan ejercitarlos.

Y se sancionan las conductas que pudieran conducir a entorpecer, dificultar o eliminar la posibilidad de dicho ejercicio.

Sanciones

Además, el régimen sancionador ha resultado tremendamente endurecido. Las farmacias que incumplan esta normativa se podrían enfrentar a sanciones que alcanzan hasta los 20 millones de euros o el 4% de la facturación anual bruta del negocio.

Adaptación al RGPD de las farmacias

En relación a las medidas concretas que deberían adoptar las oficinas de farmacia para garantizar su adaptación a la nueva norma, hay que contemplar las que afectan tanto al área documental como a la operativa propia de la actividad en su día a día.

Como medidas documentales es necesarios señalar que el RGPD impone la obligatoriedad de disponer de la siguiente documentación de forma inexcusable:

  • Documento de seguridad
  • Registro de actividades de tratamiento
  • Análisis de riesgos
  • Evaluación de impacto
  • Consentimiento de clientes
  • Contratos con Encargados de tratamiento
  • Acuerdos de confidencialidad con empleados

E-book

Guía LOPDGDD

ebook guia lopdgdd

A continuación te explico en qué consiste cada uno de esos documentos.

1. Documento de Seguridad

En la farmacia debes tener un documento de seguridad donde aparezcan las medidas para cumplir con la normativa en protección de datos de carácter personal.

El documento de seguridad, queda como documento interno de la empresa, en donde se establecen las medidas técnicas y organizativas necesarias para garantizar la seguridad que debe cumplir la farmacia en sus oficinas, equipos, sistemas, programas y personal que intervenga en el tratamiento de los datos de carácter personal.

2. Registro de Tratamientos

Con el RGPD se sustituye la obligación de inscribir ficheros en la AEPD por la de realizar un Registro de los tratamientos de datos llevados a cabo en la empresa. En este documento debe incluirse:

  • identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos
  • fines del tratamiento
  • descripción de categorías de interesados y datos
  • categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales)
  • transferencias internacionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos

Los responsables y los encargados del tratamiento (que se encuentren obligados) deberán mantener registros de las actividades de tratamiento siempre actualizados que se encuentren bajo su responsabilidad.

3. Análisis de Riesgos

Se trata de un análisis de riesgos previo que se debe de dar a todo nuevo tratamiento de datos personales con la principal finalidad de establecer los controles y medidas de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas.

Para realizar este análisis de riesgos debemos responder a preguntas como:

  • ¿Qué tipo de datos de carácter personal almaceno?
  • ¿Estos datos se comunican a terceros?
  • ¿Utilizo tecnología invasiva para la privacidad en el tratamiento?
  • ¿Se tratan datos considerados especialmente protegidos?
  • ¿Los datos que han sido recabados se van a utilizar para acciones de marketing?

4. Evaluación de Impacto

Las farmacias, al tratar datos sensibles como son los referidos a la salud, deben realizar una Evaluación de impacto.

Esta Evaluación de impacto es un informe, o un conjunto de documentación, que recoge las características del tratamiento evaluado y las medidas adoptadas para reducir sus riesgos, de acuerdo con su identificación, análisis, valoración y tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.

5. Consentimiento de clientes

Para poder tratar los datos personales de los clientes, las farmacias deben contar con el consentimiento expreso de los mismos. Y es obligatorio demostrar que disponemos del mismo al ser datos especialmente protegidos.

Para ello deben firmar un documento donde se indique:

  • la finalidad para la que van a utilizarse esos datos,
  • los destinatarios de los mismos,
  • si van a cederse o transferirse a otros países y
  • medios para ejercer los derechos de acceso, rectificación, cancelación, oposición, limitación y portabilidad.

6. Contratos con Encargados de tratamiento

Es habitual que las farmacias trabajen con terceros como gestorías que lleven la contabilidad o las nóminas de los empleados o empresas informáticas que gestionen la página web o el mantenimiento del sistema.

Estos terceros son considerados Encargados de tratamiento ya que acceden a datos personales de los que es responsable la farmacia. Y es obligatorio firmar con ellos un contrato que garantice un adecuado tratamiento de esos datos personales.

Una de las grandes novedades que presenta el RGPD es el “principio de responsabilidad activa” (accountability). Este principio impone al responsable y al encargado del tratamiento, estar en condiciones de demostrar que cumple con las previsiones normativas en materia de protección de datos.

7. Acuerdos de confidencialidad con empleados

Los datos que se tratan en una farmacia pueden llegar a ser muy sensibles, por lo que se debe poner por escrito el compromiso de confidencialidad que deben firmar los trabajadores así como también las consecuencias en caso de que lo incumplan.

Para facilitar este proceso a los distintos profesionales sanitarios, el Consejo General de Colegios Oficiales de Farmacéuticos ha elaborado la “Guía práctica de aplicación del Reglamento europeo de Protección de Datos“ . El objetivo de esta publicación es facilitar el trabajo de adaptación, a través de una comparativa entre las obligaciones actuales que establece la LOPD y las novedades y cambios que se van a introducir por el RGPD y por la correspondiente Ley Orgánica en desarrollo.

Preguntas frecuentes

¿Cómo debo proceder respecto de mis clientes, nuevos y antiguos?

Respecto de los nuevos clientes cuyos datos personales se vayan a tratar, es imprescindible recoger su consentimiento informado, de manera que de forma proactiva y fehaciente expresen su conformidad con la cesión y uso de sus datos personales para finalidades específicas y concretas, siempre relacionadas con la propia prestación del servicio que se ofrece en la oficina de farmacia.

Aquellos clientes antiguos, cuyos datos ya se manejan y de los que se viene disponiendo con anterioridad al 25 de Mayo, deben ser informados de la adaptación de la farmacia a la nueva normativa, siempre y cuando se viniera cumpliendo con anterioridad lo dispuesto por la antigua LOPD. Para mayor seguridad no obstante, siempre se recomienda, puesto que se trata en la mayoría de los casos de un servicio “presencial”, que se recoja su consentimiento de forma expresa y clara, a fin de evitar males mayores en caso de incidencia, reclamación o ejercicio de derechos.

¿A quiénes debo designar como Encargados de Tratamiento de Datos?

En el caso concreto de las oficinas de farmacia, hay varias categorías que habitualmente se presentan en prácticamente la totalidad de los casos, tales como:

  • asesorías (fiscal, laboral, contable),
  • empresas encargadas del mantenimiento de los sistemas informáticos,
  • entidades de Prevención de Riesgos Laborales (en aquellas que tengan empleados y dispongan por tanto de este servicio) y
  • laboratorios con los que se colabora en formatos “no ciegos”, en los que se facilitan datos concretos de los usuarios sobre los que se solicitan servicios.

Resulta de vital importancia documentar este tipo de relaciones, en vista a clarificar la situación en el caso de una posible incidencia, reclamación o expediente por parte de las autoridades.

¿Debo establecer medidas de seguridad extraordinarias o adicionales a las habituales en el sector?

En ningún momento la normativa aplicable, ni la actual ni la anterior, hace referencia a medidas concretas de seguridad. Se refiere a las “adecuadas al tipo de datos que se maneja, su volumen y finalidad, y en todo caso en relación al estado actual de la tecnología y al coste asociado a su implantación”.

Esto quiere decir que las medidas de seguridad deben ser las correspondientes al manejo, en el caso de las oficinas de farmacia, de datos tan sensibles como los de salud. Que además pueden afectar a colectivos considerados vulnerables, tales como los menores o los ancianos.

Por todo lo anterior se hace necesario enfatizar en la necesidad de cumplir unas medidas de seguridad como:

  • aplicar sistemas de identificación de usuarios y contraseñas para el acceso a la información en el caso del uso de herramientas informáticas,
  • elaboración de una relación de autorizados y sus niveles de acceso,
  • posible encriptación de archivos o
  • realizar copias de respaldo de la abundante documentación de la que normalmente se dispone en las farmacias.

¿Qué obligaciones debo cumplir si instalo cámaras de videovigilancia en la farmacia?

En primer lugar debes informar de la existencia de dichas cámaras. Puedes hacerlo mediante la colocación de un cartel donde aparezca que es una zona videovigilada, la identidad del responsable del tratamiento y la posibilidad del ejercicio de los derechos ARCO, limitación y portabilidad. Debes incluir este tratamiento en el Registro de actividades de tratamiento.

También debes tener en cuenta que la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.

Además, no se podrá captar imágenes de la vía pública con fines de seguridad. Ni instalar cámaras en baños, vestuarios o lugares similares.

En el caso de que la gestión de las cámaras la realice un tercero, estaríamos ante la figura de un Encargado de tratamiento. Con él debes firmar el contrato al que hicimos referencia anteriormente.

¿Qué sucede si tengo empleados?

En aquellos casos en los que haya empleados de Régimen General que trabajen en la farmacia, e incluso en los supuestos también frecuentes de estudiantes que realizan prácticas en el establecimiento, será necesario recoger de los mismos su compromiso formal para mantener la confidencialidad de los datos de los que tengan conocimiento en el desempeño de sus funciones. Así como su garantía del manejo de los mismos conforme a las instrucciones y políticas que en materia de protección de datos se hayan establecido.

Esperamos haberte facilitado la adaptación a esta normativa en tu farmacia.

Y, si necesitas asesoramiento personalizado, contacta con la oficina más cercana de Grupo Ático34.

Related posts
EmpresaLaboralSanidad

¿Qué debe hacer una empresa cuando detecta casos positivos de Covid-19 entre sus empleados?

6 Mins read
Con muchos centros de trabajo reincorporando a parte de su plantilla, es importante saber qué debemos hacer si detectamos un caso positivo…
LOPDGDD & RGPDSanidad

Dudas legales sobre la Cartilla Covid y el registro en bares y restaurantes

4 Mins read
Entre las medidas anunciadas por la Comunidad de Madrid para combatir los rebrotes de Covid-19, se encuentra la creación de una cartilla…
Nuevas tecnologiasSanidad

Hispabot COVID-19: Resuelve tus dudas sobre el Coronavirus

6 Mins read
A finales de marzo, el Gobierno encomendó al Ministerio de Asuntos Económicos y Transformación Digital la elaboración de medidas para facilitar la…

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y e contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.