Gestión de la privacidad en farmacias. Algunas respuestas.

La aplicación de la normativa en materia de privacidad en una farmacia no difiere en exceso de una adecuación en cualquier otro tipo de empresa, salvo por la tipología de los datos gestionados, que incluyen información sanitaria de los clientes.

Sin embargo, son muchas las preguntas que nos llegan a los consultores en esta materia y he pensado que sería una buena ocasión recopilar alguna de las más interesantes en este post, pero que a pesar de estar orientado al mundo de la farmacia podría ser de aplicación a cualquier sector.

Vamos a ver las dudas que más expresan los clientes.

¿Quién es el encargado del tratamiento?

La figura del Encargado de Tratamiento es aquella que por cuenta del responsable del mismo, gestiona información personal de terceros. Puede ser cualquier empresa o persona necesaria para poder prestar el servicio al cliente. Algunos posibles encargados de tratamiento dentro del ámbito del mundo farmacéutico pueden ser las gestorias o asesorías que presten servicios de asesoramiento fiscal, laboral o de cualquier tipo; las empresas que gestionen los sistemas informáticos dentro del establecimiento; las mutuas o entidades de prevención de riesgos laborales o aquellos laboratorios que puedan tener acceso a los datos de los clientes de forma directa durante la prestación de algún servicio.

¿Puedo instalar cámaras de video vigilancia?

La instalación de cámaras de vigilancia por video está permitida siempre que se cumplan los parámetros dispuestos en la normativa.

Ante todo hay que tener en cuenta que la instalación de estas cámaras no va a causar un impacto mayor en la privacidad de las personas a las que se pretende proteger, por tanto, no está permitido instalarlas en zonas privadas como baños, vestuarios o zonas de comedor.

La instalación de cámaras tiene que ser visible para los usuarios, tanto trabajadores como clientes, y tiene que estar indicado a través de cartelería que avise de la presencia de este sistema. La información también deberá incluir los datos del Responsable del Tratamiento, en este caso, la farmacia, como y donde se pueden ejercer los derechos debidamente reconocidos y los plazos de salvaguarda de la información grabada y las posibles cesiones.

Deberemos contar también del correspondiente contrato de encargo de tratamiento con la empresa que nos haya suministrado la instalación y además, el contrato de confidencialidad que los trabajadores firmarán, llevará incluida indicación de la instalación de este sistema de vigilancia y prevención.

¿Mis trabajadores han de firmar algún documento?

En directa relación con el punto anterior, los trabajadores firmarán un contrato o acuerdo de confidencialidad que les obligará a mantener el secreto de las informaciones que hayan conocido durante la relación laboral y que les obligará incluso una vez finalizada la relación laboral según se indica en el articulo 5.3 Deber de Confidencialidad, LOPDGDD 3/2018 de 5 de diciembre.

¿Qué medidas de seguridad concretas he de poner en marcha?

Si bien la norma en ningún momento hace referencia a medidas concretas, si que establece que las entidades “determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable”.

Es decir, tendremos que implantar las medidas que nos permitan proteger la información que gestionamos en función de la tipología de la misma. Es obvio que en una farmacia la información disponible puede ser especialmente sensible, ya que se tratan de personas que necesitan algún tipo de tratamiento médico y por tanto contamos con datos de salud.

A pesar de la sensibilidad de la información tratada, lo más coherente es establecer medidas similares al resto de estructuras, haciendo más hincapié en aquellos aspectos que estén relacionados con los datos más sensibles de las personas y reforzando la seguridad en estos casos.

Se deben plantear procedimientos adecuados para la correcta autenticación y validación de los usuarios que vayan a tener acceso a la información personal; un adecuado plan de backup y respaldo de la información gestionada es fundamental; la trazabilidad de la información que pueda salir del centro es de suma importancia para determinar, si se produce una fuga o perdida, como y en que momento ha ocurrido; si se gestionan datos de forma telemática, asegurarse de que los canales de comunicación en este caso son seguros y cuentan con un certificado SSL (citas a través de formulario web, compras online, etc.)

¿Como obtengo el consentimiento de los clientes?

Hemos de analizar la relación que establecemos con el cliente para poder determinar en que momento y de que forma este consentimiento se recoge.

Para aquellas dispensaciones de recetas en papel o electrónicas, será necesario tener en cuenta lo previsto en el artículo 19 del Real Decreto 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de dispensación, respecto al tratamiento de los datos y el consentimiento del afectado.

Para cualquier otra actuación se lleve a cabo y para la que sea necesaria la recogida de datos del interesado: promociones, consultas de dietistas u otros especialistas en salud dentro del establecimiento, etc., será necesario recoger de forma expresa el consentimiento del afectado, según lo previsto en el artículo 6 de la LOPDGDD 3/2018 de 5 de diciembre, el cual indica que “se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. En el caso en que se recojan datos de menores, estos podrán prestar su consentimiento a partir de los 14 años, en el caso de menores de esta edad “El tratamiento de los datos de los menores de catorce años, fundado en el consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela, con el alcance que determinen los titulares de la patria potestad o tutela.”

¿Tengo la obligación de contar con un Delegado de Protección de datos?

El Delegado de Protección de Datos o DPD, tiene como funciones esenciales según lo previsto en el artículo 39 del RGPD, entre otras, la de asesorar e informar al responsable del tratamiento al respecto de la normativa y supervisar el cumplimento de la norma dentro de la entidad.

Si bien las farmacias no cumplirían en sentido estricto los criterios previstos por la norma para la obligatoriedad de la presencia de un DPD, ya que aunque gestionen datos de salud, no se puede considerar que se hagan a gran escala tal como indica el RGPD y tampoco figura en uno de los 16 supuestos que desarrolla la LOPDGDD.

Como la presencia del DPD puede ser individual o para un grupo de empresas, no está de más contar con este servicio si alguno de los colegios de farmacia lo pone a disposición de sus colegiados.

Sin duda son muchas más las dudas que pueden surgir respecto a la gestión de los datos de usuarios y pacientes en una oficina de farmacia, pero en términos generales, estas cuestiones aquí planteadas, son las que más habitualmente nos hacen llegar a los consultores.

Photo by amanessinger on Foter.com / CC BY-SA

guest
0 Comentarios
Inline Feedbacks
View all comments