Todo lo que necesitas saber sobre las novedades en Protección de Datos de tu farmacia

novedades protección de datos

Desde que el 25 de mayo del 2018 se aplicara el famoso y, para algunos, temido RGPD, las farmacias han tenido que ir asumiendo una serie de cambios a la hora de proceder en materia de protección de datos.

Sobre cuáles son los más sustanciales y cómo debemos proceder para cumplir con la normativa, Fernando Benítez Rodríguez, responsable del departamento de Protección de Datos de COFM Servicios 31, explica en la charla de Aula Formación, las claves a seguir.

“Las farmacias deben aplicar unas determinadas políticas, así como medidas técnicas y organizativas de la información que manejan y, para ello, hay tres puntos clave que cumplir: qué datos personales trata; con qué finalidades se trata la información y qué tipo de operaciones de tratamiento se llevan a cabo”, matiza Benítez.

Pero, ¿cómo podemos demostrar que se está cumpliendo con la normativa? En primer lugar, con un registro de actividad. Esta es una de las novedades. “Con la ley anterior de protección de datos (15/1999) había un sistema por el que, a la Agencia Española de Protección de Datos, había que realizar la inscripción de ficheros. Era un trámite administrativo de tratamiento de datos de la oficina de farmacia y esta obligación desapareció con el cambio de normativa. Ahora tenemos el llamado registro de actividad en el que elaboramos un listado de todo el tratamiento de datos que hacemos en la oficina de farmacia”, especifica Benítez.

Con carácter general, los tratamientos de datos personales más frecuentes en la Oficina de Farmacia son los siguientes: clientes y pacientes, laboral y RRHH, currículums, libros oficiales de registro de la  jornada laboral, fórmulas magistrales, fiscalidad y contabilidad de la oficina de farmacia, vacunas videovigilancia, derechos del interesado y violaciones de seguridad.

“Estos son los más comunes, pero, por ejemplo, si se presta un servicio de asesoramiento nutricional o sobre piel y cabello, se trataría de servicios específicos que debemos incluir en nuestro registro de actividad”.

Charla novedades proteccion de datos
Proteccion de datos novedades

Informar a los pacientes y cómo hacerlo

Otro aspecto fundamental es informar a los pacientes. Para ello, la normativa dice que existen campos que debemos facilitarles: “Quién es el responsable del tratamiento de los datos, la finalidad por la que tratamos los datos personales, la legitimación del tratamiento de los datos (consentimiento de los pacientes), y aquí tenemos otra novedad: el plazo por el que se conservan los datos personales. Antes no se incluían los plazos, pero ahora sí. Hay unos mínimos por los que debemos guardar la información, por ejemplo, referente a vacunas o fórmulas magistrales. Por último, hay que incluir la forma de ejercer los derechos de los interesados (por correo electrónico o postal).

Por otro lado, cabe mencionar que el reglamento y la ley española “no dicen el modo en que tenemos que informar, es decir, lo deja en manos del responsable del tratamiento (la oficina de farmacia). La forma más sencilla de hacerlo es mediante un cartel informativo que incluya todos los aspectos necesarios que el paciente debe conocer y que acabamos de mencionar”. El documento que elaboremos, ya sea un cartel u otro formato, debe contener todas las categorías a la hora de informar.

El consentimiento: siempre expreso

El consentimiento por parte del paciente es imprescindible y si no tenemos la autorización explícita por escrito “no podemos guardar la información del paciente. Esto ocurre en casos como que se guarde una ficha de pacientes, para hacer una tarjeta de fidelización, SPD y análisis de piel y cabello o asesoramiento nutricional”, puntualiza el responsable de protección de datos de COFM Servicios 31.

A estos se suman casos especiales que detalla Benítez: “Por ejemplo, cuando un paciente acude a que le realicen una perforación de lóbulos. En este caso se puede perforar, pero no recoger datos personales. No obstante, se puede dar el caso de querer hacer una ficha de seguimiento y llamar al paciente para ver su evolución. Solamente en el caso en el que vayamos a guardar datos del paciente, es obligatorio solicitar su consentimiento.

Otro caso especial es el Currículum Vitae. “Es una ficha diferente a la de pacientes. Con la anterior normativa, si dejaban un CV en mano o por email lo podíamos guardar, pero ahora la normativa específica que si tengo algún dato personal debo justificar por qué lo tengo, por lo que, si tengo un CV es porque la persona en la ficha de recogida del CV me ha dado su consentimiento. La normativa establece que podemos conservar ese CV durante un plazo de dos años. Después, si no me he comunicado con el candidato, debo destruirlo y solicitar uno nuevo si estamos interesados”.

Y un dato importante, “por email se deberá enviar un texto de respuesta donde se especifique que se guardará dicho CV y todas las medidas que se van a tomar a nivel de protección de datos. Desde COFMS31 elaboramos una ficha a nuestros clientes para la recepción de CV tanto en papel como por email”.

Analizar los riesgos en la farmacia

Siguiendo la línea de modificaciones respecto a la anterior normativa, en ésta se decía que había que establecer unas medidas de seguridad incluidas en un listado.

Ahora en cambio, “se debe hacer un análisis de riesgo, esto es, detallar cómo se encuentra la oficina de farmacia a día de hoy. Un aspecto que está muy enfocado a la parte más técnica, por ejemplo, lo que se refiere a equipos informáticos, si se tienen contraseñas de los ordenadores y éstas están individualizadas o son genéricas, si se llevan a cabo copias de seguridad y dónde se almacenan… En definitiva, se van a analizar posibles riesgos de tener un ataque y pérdida de información y, en base a ello, poder ver qué mejoras son necesarias”.

La nueva figura del Delegado de Protección de Datos

El RGPD introduce una nueva figura, el Delegado de Protección de Datos (DPD), que podrá ser interno o externo, persona física o jurídica con conocimientos especializados de legislación y práctica en materia de protección de datos.

“No es obligatorio designarlo, pero es muy valorable contar con él, ya que se encarga, entre otras cosas, de supervisar el cumplimiento en protección de datos, revisar las auditorías, inspecciona la asignación de responsabilidades y dar asesoramiento sobre la evaluación de impacto. Y, la más fundamental, cooperar con la autoridad de control, algo imprescindible en caso de que nos encontremos en la situación de que debamos enfrentarnos a una sanción”, detalla Benítez.

 

Cómo gestionar la violación de seguridad

Uno de los mayores temores es que los datos que se guardan de los pacientes se vean expuestos o sufran algún tipo de percance. ¿Qué ocurre si se produce un incidente que afecta a datos de carácter personal? Es lo que se conoce como violación de seguridad. Puede tener un origen accidental o intencionado y puede afectar a datos tratados digitalmente o en formato papel. “En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales. En estos casos, con la nueva reglamentación, el responsable del tratamiento la notificará a la autoridad de control competente sin dilación y, de ser posible, a más tardar, 72 horas después de que haya tenido constancia de ella, en aquellos casos en los que los datos personales se hayan visto comprometidos”.

 

Infracciones y sanciones

Para finalizar, uno de los puntos más tensos, las sanciones. “El procedimiento sancionador sirve para denunciar una infracción a la normativa de protección de datos de carácter personal. Cualquier persona que tenga conocimiento de que se está vulnerando el RGPD y la LOPD-GDD, aunque no sea la persona afectada por este incumplimiento, puede presentar una denuncia ante la Agencia Española de Protección de Datos”.

En cuanto al tipo de sanciones, Benítez señala que “las leves prescriben en un año y se aplican en casos en los que no se atienden derechos o por no publicar datos del DPD. En cuanto a las sanciones graves, que prescriben a los dos años, se aplican ante el tratamiento no legitimado (es decir, no tengo consentimiento).

También se aplica por no garantizar un nivel de seguridad adecuado, contratar a un encargado que no cumpla el RGPD o no comunicar brechas de seguridad que puedan existir. En este tipo, las sanciones económicas pueden alcanzar los 10.000.000 euros”.

Por último, las sanciones muy graves “prescriben a los 3 años y se aplican ante situaciones como tratar datos de un menor sin un consentimiento o tutela, la utilización de datos para fines incompatibles o ante la vulneración del deber de confidencialidad. Las multas ascienden hasta los 20.000.000 euros”, concluye.

¿Qué incluyen lo servicios de COFM Servicios 31?

 

  • Servicio Básico de adecuación al RGPD. Se hace entrega y se explica toda la documentación necesaria para que su organización, de forma autónoma, pueda cumplir con el RGPD.
  • Servicio Premium de adecuación al RGPD. Incluye en todo momento el soporte de nuestro equipo experto, mediante seguimientos periódicos, actualización de la documentación y de los registros, revisión de todos los procedimientos mediante una auditoría anual, consultoría y asesoramiento, la defensa en conflictos extrajudiciales con la autoridad de control o la designación de forma externalizada del Delegado de Protección de Datos, figura obligatoria para centros sanitarios que traten historias clínicas.
  • Servicio de Auditoría de cumplimiento del RGPD. Consiste en la revisión del grado de cumplimiento en RGPD y posterior entrega de un informe de conclusiones y mejoras.