Seleccionar página

CUMPLIMIENTO DEL RGPD EN FARMACIAS

por | Abr 21, 2019 | blog, Datos de salud- RGPD | 0 Comentarios

Farmacias.. RGPD y LOPDyGDD

Las principales actuaciones que debes realizar en tu farmacia para adaptarte al RGPD son:

1. Registro de actividades de tratamiento

El nuevo reglamento ha eliminado la obligación de notificar a la Agencia Española de Protección de Datos la existencia de un fichero.

Con todo, el fichero no ha desaparecido como concepto, pero existe la preferencia de identificar los datos en función de su tratamiento y la tipología del dato, en vez de hacerlo por la existencia del fichero en sí.

Además, para el tratamiento de datos con riesgo para la privacidad o en el tratamiento de datos sensibles, el Reglamento obliga a llevar un registro de actividades que debe contener básicamente la misma información que incluía el formulario de notificación de la inscripción del fichero.

Ese registro de actividades ha de estar documentado y a disposición de las autoridades competentes.

Sin duda, lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad. Debes responder a preguntas como:

  • Tipo de datos que recopilas.
  • Finalidad del tratamiento.
  • Política de almacenamiento de esos datos.
  • Si cedes esos datos o los transfieres fuera de nuestro país.
  • Medios de tratamiento.

Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD.

Normalmente deberá constar por escrito,  aunque también es válido en formato electrónico.

Análisis de riesgos Farmacia

2. Análisis de riesgos

Por su actividad profesional, el farmacéutico titular de oficina de farmacia realiza un tratamiento de categorías especiales de datos personales.

Es por ello por lo que debe llevar a cabo un análisis de riesgos, con el fin de valorar el impacto de la exposición a la amenaza, juntamente con el hecho de que ésta se materialice, como consecuencia del tratamiento de los datos.

Es decir, que el análisis debe ser el resultado de un estudio documentado sobre las implicaciones de los tratamientos respecto a los derechos y libertades de los interesados o de la cantidad y variedad de tratamientos que lleve a cabo el farmacéutico titular de la oficina de farmacia.

El análisis de riesgo debe hacerse con los distintos tratamientos que se lleven a cabo.

Por ejemplo,

  • se tratan datos sensibles,
  • datos de gran cantidad de personas;
  • incluye elaboración de perfiles;
  • se cruzan datos obtenidos de otras fuentes;
  • se tratan datos obtenidos para una finalidad distinta de la que motivó su obtención;
  • se tratan a gran escala,
  • o se utilizan tecnologías especialmente invasivas para la privacidad.
Es decir, debes valorar las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones:
  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos.
    • bancarios.
    • de salud ….
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

EIPD farmacias

3. Evaluación de impacto.

En tu farmacia estás obligado a realizar esa Evaluación de impacto al tratar categorías especiales de datos. Es decir, porque manejas datos de salud de tus pacientes.

Por eso, con la realización de una Evaluación de Impacto se determinan los posibles daños que se podrían producir si la amenaza se materializa, es decir, qué consecuencias repercutirían sobre los interesados.

Es decir, que al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados;

Tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

4. Contratos con Encargados de tratamiento

Descripción

El encargado de tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable de tratamiento que conlleva el acceso y el tratamiento de datos personales por cuenta de éste.

En el caso de la actividad llevada a cabo en la oficina de farmacia, los encargados de tratamiento serán aquellas personas y/o entidades que presten un servicio al farmacéutico titular propietario del establecimiento.

Ejemplos

Por ejemplo: si el farmacéutico contrata a una gestoría los servicios de confección de nóminas, de contratos laborales y la representación ante los organismos de la Seguridad Social para cumplir con las obligaciones laborales con respecto a los empleados, esa gestoría será, a efectos de la normativa de protección de datos, un encargado de tratamiento, porque para cumplir con sus obligaciones contractuales tiene que tener acceso a los datos personales de los trabajadores y operar con ellos.

Otro ejemplo: El farmacéutico titular de oficina de farmacia que elabora fórmulas magistrales por encargo de otros titulares de oficina de farmacia tiene la consideración de encargado de tratamiento de estos últimos, ya que realiza operaciones (tratamiento) con los datos correspondientes a los destinatarios de la medicación que preparan.

A su vez, el farmacéutico titular de oficina de farmacia puede ser encargado de tratamiento de aquellos datos personales a los que la administración sanitaria le proporciona acceso cuando participa en programas de salud promovidos por dicha administración.

Numerosas farmacias recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

¿Y qué hacer entonces?

Debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que tienes que estar seguro de que el paciente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

La relación entre el responsable de tratamiento y el encargado de tratamiento, aparte de la que regule las obligaciones con respecto a la prestación de los servicios que se contratan, debe establecerse mediante un contrato o un acto jurídico similar que los vincule, por escrito o incluso en formato electrónico.

En la relación entre el responsable y el encargado de tratamiento, el responsable no pierde la consideración de tal y sigue siendo el responsable del tratamiento que se da a los datos personales, y de la garantía de los derechos de las personas afectadas por dicho tratamiento, por lo que debe mantener una obligación de control de las actividades del encargado.

No hay límite de tratamiento de datos que pueda llevar a cabo el encargado por cuenta del responsable.

El encargado puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio contratado, asegurando la confidencialidad de los datos.

Las decisiones que, sobre este aspecto, tome deberán respetar las instrucciones del responsable de tratamiento.

Contenido mínimo del contrato

El acuerdo entre el responsable de tratamiento y el encargado debe contener como mínimo los siguientes aspectos:

  • las instrucciones del responsable de tratamiento acordes con la finalidad de su obtención y/o acceso;
  • el deber de confidencialidad y privacidad de los datos;
  • las medidas de seguridad que va a implementar;
  • el régimen de subcontratación;
  • los derechos de los interesados;
  • la colaboración en el cumplimiento de las obligaciones del responsable;
  • el destino de los datos al finalizar la prestación de los servicios
  • la colaboración con el responsable para demostrar el cumplimiento de las obligaciones del responsable de tratamiento.
Recuerda firmar el contrato de encargo de tratamiento con los terceros.
pagina web farmacias

5. Página web

Si ofreces los servicios de información o asesoramiento a través de una página web debes incluir en ella los textos exigidos por la normativa de Protección de Datos y la Ley de Servicios de la Sociedad de la Información (LSSI):

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil o nº de colegiado, si eres autónomo
Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la farmacia, y hacer una versión de ésta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento, y por qué vía.
Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.
política de cookies

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenado en el navegador del usuario que visita ese sitio.

Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies. (LSSI), redactando en un texto visible en tu web que estás utilizando cookies.

En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

Para adaptarnos a la ley existen dos maneras de lograrlo en función del tipo de cookies que utilicemos y el uso que hagamos de ellas:

  1. Si tus cookies son propias (como las de Google Analytics). Mientras mantengas el anonimato de los usuarios, sólo necesitas informarlo a través del aviso legal (o de la política de privacidad de tu sitio).
  2. Si utilizas cookies de terceros(Google Analytics no las usa), o usas cookies propias pero identificas al usuario. Entonces debes solicitar un consentimiento expreso por parte del usuario. Debes avisar que tu sitio utiliza cookies y quienes tienen que otorgar su consentimiento para que las utilices son los usuarios de tu página web.

Política de cookies transparente

Se debe informar al usuario claramente y en todo momento sobre el funcionamiento de las cookies en el sitio web.

Responsabilidad por el uso de cookies en la web

Pueden inspeccionarte y te pueden imponer la obligación de rendir cuentas exhaustivamente sobre los procesos de datos vinculados a tu sitio web. La complicación aquí está en que la mayoría de los sitios web cuentan con un gran número de cookies de terceros.

Consentimiento previo

Con el RGPD, el consentimiento del usuario debe tener lugar antes de la configuración de las cookies, de manera que inicialmente solo se establezcan las que sean estrictamente necesarias.

Consentimiento a través de una acción afirmativa

La principal novedad en el uso de cookies en relación al RGPD es que el consentimiento deberá otorgarse a través de una acción afirmativa evidente.

Estamos acostumbrados a los banners en nuestros sitios web, informando del uso de cookies y a veces pidiendo el marcar la casilla del botón de ok, sin ofrecer ninguna otra opción.

Con estas nuevas normativas, esto no es suficiente. El consentimiento deberá otorgarse como una opción afirmativa y positiva, y el rechazo de cookies debe suponer una opción real.

Revocar el consentimiento

El usuario debe ser capaz de retirar su autorización.

Por eso, es importante asegurarse de que los usuarios tienen acceso a su declaración de consentimiento vigente en cualquier momento y de que pueden modificar los parámetros o retirar íntegramente su autorización.

Renovación del consentimiento

Cada 12 meses desde la primera visita del usuario al sitio debe renovarse el consentimiento.

Información en lenguaje sencillo

El uso de cookies debe ser transparente y debe dar una idea al usuario sobre el tratamiento de sus datos.

Por otro lado, la comunicación debe ser clara y fácil de entender para que el usuario disponga de una opción real.

Registro de consentimientos otorgados

Todos los consentimientos deben guardarse de forma segura de forma que puedan servir como prueba en caso de inspección.

mano con una lápiz que marca una casilla

6. Consentimiento de pacientes

El farmacéutico titular de la oficina de farmacia debe garantizar tanto el respeto a la dignidad de la persona y a la autonomía de su voluntad, como el respeto a su intimidad.

Los interesados (usuarios/clientes/pacientes) de la oficina de farmacia tienen derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización por escrito, salvo que dicho acceso esté amparado por la Ley.

El tratamiento de sus datos sólo será lícito si cumple con los siguientes requisitos:

El interesado presta su consentimiento.

EL CONSENTIMIENTO EN EL RGPD

  • Mediante una declaración inequívoca o una acción afirmativa clara. Las casillas previamente marcadas, el consentimiento tácito o la inacción no constituyen desde la aplicación del nuevo reglamento europeo un consentimiento válido.
  • El consentimiento ha de ser explícito cuando se traten datos de categorías especiales, para la adopción de medidas automatizadas y para realizar transferencias internacionales de datos.
  • Sin embargo, el consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduce de una acción del interesado; por ejemplo, cuando accedemos a navegar por una página web y aceptamos que se utilicen cookies para monitorizar nuestra navegación.

Datos personales sin consentimiento RGPD

El tratamiento es necesario:

  • Para la prestación de un servicio (como la dispensación de un medicamento, sujeto o no a receta médica, o la prestación de servicios sanitarios a petición).
  • Cumplir con una obligación legal (como el tratamiento de datos consecuencia de cumplir con las obligaciones laborales).
  • Proteger el interés vital del interesado.
  • Satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o de un tercero.

El consentimiento puede solicitarse de dos formas:

En la web

Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la farmacia

En caso de que el paciente facilite sus datos personalmente en la farmacia, debe firmar un documento en el que se le informe sobre:

  • el responsable del tratamiento,
  • la finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza.

Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar.

Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

DERECHOS DE LOS INTERESADOS SALUD

7. Derechos de los interesados

Derecho de información

En cualquier caso, los interesados tienen derecho a que el responsable de tratamiento les informe de lo siguiente:

  • Identificación del responsable de tratamiento (datos de contacto, nombre y apellidos, CIF, teléfono, y datos de contacto del DPO).
  • Finalidad del tratamiento: descripción de las finalidades del tratamiento, plazos de conservación de los datos, criterios de conservación y lógica aplicada a la elaboración de perfiles.
  • Legitimación o descripción de la base jurídica del tratamiento: puede consistir en el consentimiento del interesado, en una obligación legal del responsable de tratamiento o en un interés legítimo de éste.
  • Destinatarios: previsión de si los datos van a cederse a terceros y, en su caso, las transferencias internacionales.
  • Información sobre los derechos de los interesados.

¿Cuáles son estos derechos?

El responsable de tratamiento tiene el deber de informar a los interesados de los derechos que les asisten en relación con el tratamiento de datos que lleve a cabo.

El nuevo reglamento ha ampliado el elenco de derechos, con el objeto de proporcionar herramientas de control de sus datos.

El farmacéutico deberá informar de cómo, cuándo y dónde el interesado puede ejercer tales derechos, y deberá responder dentro del plazo de 1 mes desde que se le presentó la reclamación, y de 2 meses cuando se trate de solicitudes más complejas.

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
  • derecho a presentar una reclamación ante la autoridad de control competente.

En tu farmacia debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

En cuanto al derecho al olvido, o de supresión, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen.

Recordemos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

hombres dándose la mano con bocadillo que reza "yo respeto tus derechos"

8. Contratos de confidencialidad con empleados

Los empleados tienen acceso a toda la información que maneja la farmacia y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas.

Son los empleados los que manipulan y gestionan toda la información, por lo que deben estar debidamente informados y concienciados sobre las medidas de seguridad que deben aplicar para proteger dicha información.

En una farmacia, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con pacientes y proveedores.

Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

brechas de seguridad

9. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

Lo ideal es estar prevenidos con un plan de respuesta ante incidentes.

Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que se cumple con el plazo establecido.

DPD certificado
https://protecciondatoscertificado.es/

10. Delegado de protección de datos

El delegado de protección de datos es una figura que tiene distintas funciones:

  • asesorar e informar al responsable de tratamiento;
  • supervisar el cumplimiento de la normativa sobre protección de datos;
  • cooperar con la autoridad de control,
  • operar como punto de contacto entre ésta y el responsable de tratamiento.

La figura del delegado de protección de datos no existía en la normativa anterior al nuevo reglamento europeo. La que más se le asemeja es la del «responsable de seguridad», que el responsable de tratamiento debía nombrar, cuando los datos personales tratados requerían la adopción de medidas de seguridad de nivel medio y alto.

En principio,  el farmacéutico titular propietario de la oficina de farmacia no debería estar obligado a nombrar un delegado de protección de datos.

De hecho, el tratamiento de datos de pacientes por parte de un solo médico u otro profesional de la salud no constituye tratamiento a gran escala, por lo que se entiende que ése sería el caso del farmacéutico titular de la oficina de farmacia.

No obstante, por el volumen de datos que trates en tu farmacia, puede ser necesario que debas designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser, tanto una persona en plantilla de la empresa, como una externa, y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

lupa con info

OTRAS CUESTIONES

¿Deben las farmacias cumplir los requisitos del RGPD en la instalación de cámaras de videovigilancia?

Por supuesto. En caso de que instalen cámaras de videovigilancia deben:

  • Incluir el correspondiente tratamiento
  • Cumplir el principio de proporcionalidad
  • Informar mediante el correspondiente cartel distintivo.
videovgilancia farmacias

¿Qué ocurre con las tarjetas de fidelidad facilitadas a mis clientes/pacientes?

Aquí hay que prestar gran atención porque los datos que recoge el farmacéutico, en algunas ocasiones no son del farmacéutico, no los puede usar y tratar para su uso en la farmacia como propios.

Son de la sociedad que gestiona la tarjeta.

Hay que ser conscientes de qué es de la farmacia y qué no es, de qué datos es responsable la farmacia y de cuáles es encargada de tratamiento, así como de las obligaciones que tiene respecto de esos datos.

Medidas de seguridad farmacias

¿Debo establecer medidas de seguridad adicionales a las habituales en el sector?

La normativa de protección de datos no hace referencia a medidas concretas de seguridad.

Se refiere a las “adecuadas al tipo de datos que se maneja, su volumen y finalidad, y en todo caso en relación al estado actual de la tecnología y al coste asociado a su implantación”.

Esto quiere decir que las medidas de seguridad deben ser las correspondientes al manejo, en el caso de las farmacias, de datos tan sensibles como los de salud. Que además pueden afectar a colectivos considerados vulnerables, tales como los menores o los ancianos.

Por todo lo anterior se hace necesario enfatizar en la necesidad de cumplir unas medidas de seguridad como:

  • establecer sistemas de identificación de usuarios y contraseñas para el acceso a la información en el caso del uso de herramientas informáticas,
  • elaborar una relación de autorizados y sus niveles de acceso,
  • posible encriptación de archivos y
  • realizar copias de respaldo de la abundante documentación de la que normalmente se dispone en las farmacias.
Encargados de tratamiento en farmacias

En el caso de prestadores de servicios sin acceso a datos en farmacias, ¿Cuándo se tratan datos personales?

  • Cuando prestamos el servicio, no actuamos como Encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.
  • Es obligación de la clínica, como Responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.
  • En caso contrario (recibir la información sin datos anonimizados), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.
  • Cuando no se tenga acceso a datos personales de las clínicas/laboratorios no se deberá firmar un contrato de “Encargado de Tratamiento” en sí.
  • Sin embargo, sí sería necesario firmar un “Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos”, donde se recojan las obligaciones del Responsable y del Encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.
  • En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos de estos prestadores de servicios son: empresa de limpieza, mantenimiento técnico, cáterings de empresa…

Deseamos que esta información le haya sido de utilidad. En cualquier caso, puede contactar con nuestro despacho para cualquier duda que le surja. Llámenos al 96.291.50.25 y estaremos encantados de atenderle.

logo gestiona abogados
https://protecciondatoscertificado.es/contratacion-online/

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *