Seleccionar página

FARMACIA Y RGPD

por | Abr 21, 2019 | blog, Datos de salud- RGPD, datos sensibles RGPD | 0 Comentarios

farmacias y RGPD

Las farmacias por su naturaleza deben tratar datos de salud en su día a día.

Así como tener especial diligencia con las historias clínicas de los pacientes y el consentimiento informado.

Por tanto, tienen la obligación de cumplir con lo establecido en el RGPD.

Aspectos generales

La oficina de farmacia es un establecimiento sanitario en el que el farmacéutico titular propietario realiza unas funciones de carácter profesional que conllevan un acceso a los datos personales de sus clientes.

A los efectos de la normativa de protección de datos, ese farmacéutico es el responsable del tratamiento de esos datos.

¿Quién es el responsable de tratamiento?

La normativa sobre protección de datos define al «responsable de tratamiento» como a la persona física o jurídica, autoridad pública, servicio u otro organismo que por sí solo, o junto con otros, determine los fines y medios del tratamiento de los datos personales.

¿Que se entiende por tratamiento?

Según la misma normativa, por «tratamiento» se entiende cualquier operación o conjunto de operaciones realizadas sobre los datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, difusión o cualquier otra habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

¿Qué datos se tratan?

Los principales datos, sobre los que el farmacéutico titular de la oficina de farmacia realiza ese tratamiento, son de salud, ya que se derivan de la dispensación de los medicamentos, de la realización de actividades de carácter sanitario y de la prestación de servicios sanitarios; por tanto, su actividad profesional, en tanto que tiene acceso a datos personales, también está sujeta a la normativa que regula su tratamiento.

Respetar los derechos

Y toda esa información forma parte del contenido de los derechos fundamentales contemplados en las constituciones de los países desarrollados: el derecho al honor, a la intimidad personal y a la propia imagen.

Nuevos principios


El nuevo reglamento de la Unión europea ha introducido nuevos principios con respecto a la normativa que le precede.

En realidad, mantiene los anteriores y amplía a otros nuevos.

Esos principios son:

  • de licitud, lealtad y transparencia.
  • limitación a la finalidad para la que se obtienen (para fines determinados explícitos y legítimos).
  • minimización (datos adecuados, pertinentes y limitados en relación con los fines para los que son tratados).
  • exactitud y actualización (evitar errores en el tratamiento).
  • limitación en el plazo de conservación.
  • integridad.
  • confidencialidad.
  • tratados de manera que se garantice una seguridad adecuada.
  • protección contra el tratamiento no autorizado o ilícito, su pérdida o destrucción.
  • adopción de medidas técnicas u organizativas.

Con relación a la implementación de esas medidas, el nuevo reglamento aplica el principio de responsabilidad proactiva.

El principio de responsabilidad proactiva implica que, antes de someter a tratamiento los datos personales, el responsable de tratamiento debe, desde el diseño de la aplicación o de los soportes con los que va a realizarse el tratamiento y por defecto, implementar o introducir esas medidas.

MEDIDAS TECNICAS farmacias, datos de salud

Medidas de seguridad

A diferencia de la normativa anterior, en la que en función de la categoría de datos sujetos a tratamiento debían implementarse medidas de seguridad de diferente nivel (básico, medio y alto) convenientemente descritas, el nuevo reglamento no indica qué medidas en concreto deben implementarse; en su lugar, aunque sí establece la necesidad de que esas medidas garanticen:

  • la seudonimización y el cifrado de los datos;
  • la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y los servicios de tratamiento;
  • la capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidencia física o técnica;
  • la existencia de un proceso de verificación, evaluación y valoración regulares, de la eficacia de esas medidas para garantizar la seguridad.

Y todo eso, adecuando el nivel de seguridad a los riesgos que puedan producirse como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de los datos personales.

Esas medidas deberán garantizar también que sólo se traten los datos personales necesarios para cumplir con la finalidad de su obtención.

La protección de datos desde el diseño y por defecto es uno de los ejes principales de su adopción, de manera que, desde el momento de la concepción de la idea de una aplicación informática, un producto o un servicio, se tenga en cuenta el riesgo que implica el tratamiento de los datos.

Tipos de datos

El nuevo reglamento distingue dos tipos de datos: aquellos denominados de «categorías especiales» (datos sobre el origen racial y étnico; opiniones políticas; convicciones religiosas; afiliación sindical; datos genéticos, biométricos y de salud; vida sexual y orientación sexual) y el resto.

En la normativa anterior, la clasificación de los datos venía definida por el nivel de medidas de seguridad que debían adoptarse:

  • Básico. Nombre, apellidos, domicilio, DNI, etc.
  • Medio. Los relativos a la comisión de infracciones administrativas o penales o tributarias, los originados con la prestación de servicios financieros, los de las mutuas de accidentes de trabajo y enfermedades profesionales, o aquellos que contengan un conjunto de datos que ofrezcan una definición de las características y personalidad de los ciudadanos y permitan determinar su comportamiento.
  • Alto. Datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin el consentimiento de las personas afectadas.

¿Qué datos personales son objeto de tratamiento en la oficina de farmacia?


De acuerdo con la clasificación del nuevo reglamento, podríamos distinguir entre los datos de categorías especiales:

  • los de la receta médica;
  • los de los servicios de SPD;
  • los del seguimiento farmacoterapéutico;
  • los del libro recetario y el de estupefacientes,
  • los datos que se obtienen por la prestación de otros servicios de carácter sanitario en la oficina de farmacia.

El resto pueden referirse a datos exclusivamente comerciales (adquisición de productos de higiene personal, cosmética, promociones comerciales, tarjetas de clientes sin datos de salud, videovigilancia, datos sobre el personal y la relación laboral, etc.).

¿CÓMO DEBEN CUMPLIR LAS FARMACIAS EL RGPD?

Las farmacias forman parte de ese tipo de negocios que tienen en sus manos una gran cantidad de datos, y datos de salud, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un cliente recoge las recetas médicas o solicita otros servicios farmacéuticos estás manejando datos de carácter personal de terceros.

Las principales actuaciones que debes realizar en tu farmacia para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes/pacientes
  7. Facilitar los derechos de los usuarios.
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

¿No sabes por dónde empezar?

No te preocupes, en el siguiente post, te explico paso por paso todo lo que debes hacer.

logo gestiona abogados
https://protecciondatoscertificado.es/contratacion-online/

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *