Preguntas frecuentes de las farmacias en materia de protección de datos

Información proporcionada por FEFAC
(Federación de Asociaciones de Farmacias de Cataluña)

 

Las oficinas de farmacia, como el resto de empresas y organizaciones, han puesto en marcha las medidas necesarias para el cumplimiento del nuevo Reglamento General de Protección de Datos (RGPD), que entró en vigor el pasado 25 de mayo. La normativa ha supuesto un gran cambio en el sí de las farmacias y, a día de hoy, sigue generando dudas según Alberto Xicoy, abogado de Bufete Escura, que el pasado mes de noviembre trató de resolver las cuestiones que más preocupan a la farmacia en materia de protección de datos en la Jornada del sector farmacias organizada por Bufete Escura y la Federación de Asociaciones de Farmacias de Cataluña (Fefac). A continuación, se resumen algunas de las dudas que se plantean los farmacéuticos.

 

¿Cuál es el procedimiento para obtener el consentimiento?

El objetivo del nuevo reglamento de protección de datos es que los ciudadanos tengan un mejor control de sus datos personales, y una de las principales dudas para las farmacias es el proceso a seguir para obtener el consentimiento expreso del paciente. El usuario debe manifestar el consentimiento para que se utilicen sus datos de manera expresa, por escrito o mediante signos inequívocos (marcar la casilla de aceptación de la política de privacidad de la página web). Este consentimiento ha de ser libre, informado, específico e inequívoco. Por ello, el nuevo reglamento exige que el farmacéutico demuestre que dispone de este consentimiento, ya que será una prueba documental para demostrar ante una inspección que la oficina de farmacia está utilizando los procedimientos correctos en base al RGPD.

 

¿Puedo utilizar WhatsApp para comunicarme con el paciente?

El farmacéutico solo puede comunicarse con el paciente para decirle si un producto está disponible en la oficina de farmacia. Para realizar encargos de productos el cliente tiene que aceptar previamente la política de protección de datos de la farmacia, ya que cuando se realiza un encargo, ya sea por WhatsApp o por correo electrónico, está cediendo sus datos de salud. La farmacia, por su parte, ha de disponer del consentimiento expreso del paciente para esta finalidad. El abogado Alberto Xicoy recuerda, además, que “no se puede utilizar “WhatsApp para enviar prescripciones o cualquier tipo de consultas de productos, puesto que hacen referencia a datos de salud, que requieren especial seguridad y protección”.

 

¿Si tengo un perfil en redes sociales, puedo usar los datos?

La farmacia que tenga un perfil en Facebook o cualquier otra red social, podrá hacer uso de los datos de carácter personal de los usuarios que voluntariamente hayan accedido, siempre que antes se haya obtenido el consentimiento expreso de estos.

 

 

 

¿Dónde hay que ubicar los carteles de las cámaras de videovigilancia?

Una de las dudas que surgen entre los farmacéuticos es dónde colocar los carteles en las oficinas de farmacia. Según Alberto Xicoy, hay que ubicar uno en la entrada de la farmacia y puede ponerse otro en el punto de venta, con la finalidad de reforzar el derecho de información de los usuarios que acuden a nuestra farmacia.

 

¿Tengo que seguir inscribiendo los ficheros?

Desde el 25 de mayo no existe obligación de notificar a la Agencia Española de Protección de Datos los diferentes ficheros que contienen datos de carácter personal, puesto que este sistema ha sido sustituido por el Registro Interno de Actividades del tratamiento, un documento que debe contener los diferentes  tratamientos de los datos que se utilizan en la farmacia y que debe gestionar el titular.

Gestión de la receta privada, gestión de la receta médica, libro recetario, libro de estupefacientes, fórmulas magistrales, SPD y otros servicios de prevención y promoción de la salud, tarjetas de fidelización, datos obtenidos de básculas para el control de peso, dermoanalizadores y otras tecnologías, nóminas, videovigilancia, proveedores y autónomos, contabilidad interna de la farmacia, etc., son algunos ejemplos de tratamientos que hacen las farmacias y que deben estar recogidos en el Registro Interno de Actividades del tratamiento.

Desde Bufete Escura explican cuál debe ser el contenido de este Registro de actividades: nombre del responsable del tratamiento (titular de la farmacia);  finalidad del tratamiento; descripción de las categorías de personal y trabajadores de la farmacia y de las categorías de datos personales; categorías de encargados del tratamiento a quienes se comuniquen datos personales como gestorías, organismos de la Seguridad Social, administraciones tributarias o bancos; el plazo de supresión de los datos; y una descripción general de las medidas técnicas y organizativas para proteger los datos.

 

¿Hay que firmar nuevos contratos de encargado del tratamiento?

El encargado del tratamiento es la “persona física o jurídica, autoridad pública, servicio u organismo que trate datos personales por cuenta del responsable del tratamiento”. En la oficina de farmacia, esta figura puede recaer en empresas informáticas, empresas de riesgos laborales, farmacias que elaboran fórmulas magistrales para terceros, gestorías, etc. Según el RGPD, desde el pasado 25 de mayo, la oficina de farmacia que realiza nuevos contratos firmados con encargados del tratamiento ha de adaptar el contenido de los contratos a los nuevos requerimientos legales. No obstante, aquellos contratos con encargados del tratamiento que ya estaban firmados antes del 25 de mayo pueden continuar vigentes durante cuatro años más.

 

¿Cómo hay que actuar en caso de inspección?

Si recibimos la visita de un inspector, lo primero que hay que hacer es pedirle a su acreditación. A continuación debemos llamar al gestor de protección de datos quien, junto al titular de la farmacia, enseñará toda la documentación y la implantación de las medidas de seguridad adaptadas al RGPD.

 

¿Las oficinas de farmacia han de designar un DPO?

El Delegado de Protección de Datos (DPO) es la persona responsable de informar y asesorar al responsable del tratamiento y de supervisar el complimiento del reglamento. El DPO actúa como mediador entre los interesados afectados para evitar procedimientos sancionadores. Entre sus funciones se encuentran las de asesorar en el cumplimiento de las obligaciones derivadas de la normativa, operar como autoridad de control, como punto de contacto por lo que respecta a cuestiones relativas al tratamiento de los datos.

La figura del Delegado de Protección de Datos es obligatoria cuando las actividades principales del responsable del tratamiento consistan en el tratamiento a gran escala de categoría especiales de datos. La oficina de farmacia no estaría obligada a tener un DPO, ya que el significado “a gran escala” da a entender el tratamiento de datos de forma masiva  pero puede decidir tenerlo, ya que esta figura ofrece garantías adicionales para cumplir lo que dice la normativa.

El DPO debe ser un profesional especializado en derecho y protección de datos. Un abogado puede ser DPO de nuestra farmacia, aunque también puede serlo una persona que tengamos en plantilla, ya que no es obligatorio que el DPO que sea un proveedor externo, siempre y cuando tenga los conocimientos requeridos para desempeñar esta función. Finalmente, recordar que es obligatorio comunicar a la Agencia Española de Protección de Datos quién es nuestro Delegado de Protección de Datos.

 

¿Cómo debo actuar en caso de brecha de seguridad?

Aunque son las grandes empresas, que acostumbran a manejar gran volumen de datos personales, quienes suelen estar más expuestas a los ataques, si un hacker se introduce de manera ilegal en el sistema informático de nuestra farmacia, deberemos notificar que se ha producido una invasión informática ilegal a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Si esta intrusión perjudica a la persona, en este caso, al paciente, hay que informarle de que se ha producido este ataque, según lo establecido en la nueva normativa de protección de datos.  

 

 

Artículos Relacionados

Copyright © 2019 Revista Acofar. Todos los derechos reservados.
Joomla! es un software libre publicado bajo la Licencia Pública General GNU.