La entrada en vigor de la nueva normativa de Protección de Datos afecta a todas las empresas y su forma de trabajar. Pero…

¿qué ocurre con las farmacias?

Las farmacias por su naturaleza deben tratar datos de salud en su día a día.

Y tener especial diligencia con las historias clínicas de los pacientes y el consentimiento informado.

Por tanto, tienen la obligación de cumplir lo establecido en el RGPD.

No te preocupes. En este post te doy los pasos a seguir para adaptar tu farmacia a la nueva normativa de Protección de Datos.

Normativa de Protección de Datos

Las normas que regulan la Protección de Datos para farmacias son:

¿Cómo deben cumplir las farmacias el RGPD?

Las farmacias forman parte de ese tipo de negocios que tiene en sus manos una gran cantidad de datos, y datos de salud, por lo que también tendrán que adaptarse a la nueva normativa.

Para asegurar un debido cumplimiento de esta, debes tener en cuenta una serie de preguntas y cuestiones que te facilitarán la tarea.

Cada vez que un cliente recoge las recetas médicas o solicita otros servicios farmacéuticos estás manejando datos de carácter personal de terceros. Para el correcto manejo de estos datos es preciso cumplir con la normativa de protección de datos.

Las principales actuaciones que debes realizar en tu farmacia para adaptarte al RGPD son:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes/pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

¿No sabes por dónde empezar?

No te preocupes, te explico paso por paso todo lo que debes hacer.

1. Registro de actividades de tratamiento

Lo primero que debes tener en cuenta es qué tipo de datos manejas y qué cantidad.

Debes responder a preguntas como:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Para ello es necesario realizar un registro de actividades de tratamiento que debes mantener actualizado. Este documento te lo pueden pedir en caso de tener alguna inspección por la AEPD. Normalmente deberá constar por escrito aunque también es válido en formato electrónico.

2. Análisis de riesgos

En tu farmacia debes también realizar un análisis del riesgo en el que valores las posibles contingencias de los tratamientos que se realicen, teniendo en cuenta, entre otras cuestiones,

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • de salud ….
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Una vez realizado este análisis, debes implementar medidas de seguridad avanzadas, nunca obsoletas, que sean capaces de impedir o bloquear los ataques informáticos actuales. Un ejemplo de incumplimiento sería el uso de sistemas de cifrado obsoletos.

3. Evaluación de impacto

Aquí viene lo complicado.

Respira profundo y ¡vamos a ello!

Además, al ser el riesgo especialmente alto por tratar datos sensibles, deberás realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados; tras estos análisis deberás implementar unas medidas de seguridad adecuadas.

Las principales empresas que deberán realizar esta evaluación de impacto son:

  • Empresas que realicen una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Entidades que realicen un tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales.
  • Empresas que realicen una observación sistemática a gran escala de una zona de acceso público.

¿Te has quedado igual que estabas?

Te explico.

En tu farmacia estás obligado a realizar esa Evaluación de impacto al tratar categorías especiales de datos. Es decir, porque manejas datos de salud de tus pacientes.

4. Contratos con Encargados de tratamiento

Las farmacias se relacionan también con terceros que disponen de algunos de los datos de los usuarios.

Y no me digas que no cedes los datos a nadie.

¿Tienes una empresa informática que te realiza el mantenimiento de los equipos o de la web?

¿Trabajas con laboratorios?

Entonces sí cedes datos a terceros. Y debes asegurar que también cumplan la normativa de Protección de Datos.

Numerosas farmacias recurren con regularidad al software de gestión de pacientes. En el marco del cumplimiento del RGPD, resulta esencial tener en cuenta aspectos técnicos sobre cómo y dónde el software seleccionado procesa y aloja los datos personales, especialmente si está basado en la nube.

¿Y qué hacer entonces?

Debes aclarar con tus proveedores de TI y de software de qué manera estos sistemas se adaptarán para la implementación del RGPD. Un cuestionario o una lista de verificación exhaustivos ayudarán a comprender los flujos de datos, así como a identificar posibles vulnerabilidades.

Y qué decir tiene que tienes que estar seguro de que el paciente sepa qué datos suyos se recopilan a través de las páginas web de estas empresas.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

Para ello es necesario firmar un contrato de encargo de tratamiento con esos terceros en el que se establezcan las obligaciones de estos para proteger los datos personales a los que accedan.

5. Página web

Si ofreces los servicios de información o asesoramiento a través de una página web debes incluir en ella los textos exigidos por la ley de Protección de Datos y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil o nº de colegiado, si eres autónomo

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la farmacia y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de pacientes

Además de actualizar la política de privacidad, en la entidad farmacéutica debes tener el consentimiento expreso de todos tus pacientes para poder tratar sus datos.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la farmacia

En caso de que el paciente facilite sus datos personalmente en la farmacia, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los interesados

Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

En tu farmacia debes proveer mecanismos para que los interesados puedan ejercer sus derechos. Estos medios deben indicarse en el documento de consentimiento a firmar por los pacientes y en la política de privacidad de la página web.

El derecho de portabilidad es uno de los nuevos derechos recogidos en el RGPD. Para facilitar el cumplimiento de este derecho los datos personales deben ser almacenados y administrados en un formato estructurado, de uso común y lectura mecánica para que sean fáciles de utilizar y compartir.

En cuanto al derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

8. Contratos de confidencialidad con empleados

¿Tienes empleados en tu farmacia?

Pues esto te interesa.

Los empleados tienen acceso a toda la información que maneja la farmacia y, por tanto, deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas. Son los empleados los que manipulan y gestionan toda la información, por lo que deben estar debidamente informados y concienciados sobre las medidas de seguridad que deben aplicar para proteger dicha información.

En una farmacia, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con pacientes y proveedores. Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.

9. Notificar brechas de seguridad

Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidentes de seguridad que se produzcan en la empresa.

¿A quién?

Tanto a los afectados como a la AEPD.

En el caso de que se dé una situación de ciberataque o infracción por parte de la entidad farmacéutica, lo ideal es estar prevenidos con un plan de respuesta ante incidentes. Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que cumpla con el plazo.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Cabe destacar que, aunque no se permitirán infracciones intencionadas de la ley, existirán atenuantes si se puede demostrar a las autoridades y a los clientes que se está haciendo todo lo posible para cumplir con ella.

10. Nombrar un DPD

Puede ser necesario que en la farmacia, por el volumen de datos que trates, debas designar a un profesional con la cualificación necesaria en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD).

Además, para cumplir con el principio de información del nuevo RGPD, la designación del DPD y sus datos de contacto deben hacerse públicos y deberán ser comunicados a las autoridades de supervisión competentes.

El Delegado de Protección de Datos podrá ser tanto una persona en plantilla de la empresa como una externa y el cargo podrá ser desempeñado también por una empresa que ofrezca el servicio.

Preguntas frecuentes

¿Deben las farmacias cumplir los requisitos del RGPD en la instalación de cámaras de videovigilancia?

Por supuesto. En caso de que instalen cámaras de videovigilancia deben:

  • Incluir el correspondiente tratamiento
  • Cumplir el principio de proporcionalidad
  • Informar mediante el correspondiente cartel distintivo

¿Qué ocurre con las tarjetas de fidelidad facilitadas a mis clientes/pacientes?

Aquí hay que prestar gran atención porque los datos que recoge el farmacéutico, en algunas ocasiones no son del farmacéutico, no los puede usar y tratar para su uso en la farmacia como propios. Son de la sociedad que gestiona la tarjeta. Hay que ser conscientes de qué es de la farmacia y qué no es, de qué datos es responsable la farmacia y de cuáles es encargada de tratamiento, así como de las obligaciones que tiene respecto de esos datos.

¿Debo establecer medidas de seguridad adicionales a las habituales en el sector?

La normativa de protección de datos no hace referencia a medidas concretas de seguridad. Se refiere a las “adecuadas al tipo de datos que se maneja, su volumen y finalidad, y en todo caso en relación al estado actual de la tecnología y al coste asociado a su implantación”.

Esto quiere decir que las medidas de seguridad deben ser las correspondientes al manejo, en el caso de las farmacias, de datos tan sensibles como los de salud. Que además pueden afectar a colectivos considerados vulnerables, tales como los menores o los ancianos.

Por todo lo anterior se hace necesario enfatizar en la necesidad de cumplir unas medidas de seguridad como:

  • establecer sistemas de identificación de usuarios y contraseñas para el acceso a la información en el caso del uso de herramientas informáticas,
  • elaborar una relación de autorizados y sus niveles de acceso,
  • posible encriptación de archivos y
  • realizar copias de respaldo de la abundante documentación de la que normalmente se dispone en las farmacias.

En el caso de prestadores de servicios sin acceso a datos en farmacias, ¿Cuándo se tratan datos personales?

Cuando prestamos el servicio, no actuamos como Encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.

Es obligación de la clínica, como Responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.

En caso contrario (recibir la información sin datos anonimizados), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.

Cuando no se tenga acceso a datos personales de las clínicas/laboratorios no se deberá firmar un contrato de “Encargado de Tratamiento” en sí. Sin embargo, sí sería necesario firmar un “Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos”, donde se recojan las obligaciones del Responsable y del Encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.

En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos de estos prestadores de servicios son: empresa de limpieza, mantenimiento técnico, cáterings de empresa…

Plantillas

Aquí te dejo todos los documentos que necesitarás para adaptar tu farmacia a la normativa de Protección de Datos.

Sanciones

Las sanciones por el incumplimiento del RGPD son duras y podrían ascender al 4% de la facturación anual a nivel mundial o a 20 millones de euros (la cuantía que sea mayor). La sanción puede imponerse aunque no haya pérdida de datos en sí. Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas.

¿A que asusta?

Las sanciones se interpondrán teniendo en cuenta:

  • naturaleza, gravedad y duración de la infracción,
  • número de interesados afectados,
  • nivel de los daños y perjuicios que hayan sufrido,
  • intencionalidad o negligencia en la infracción, y
  • medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a farmacias.

No atender debidamente el derecho de cancelación

El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. Resolución AEPD R/01466/2018

Envío de emails a varios destinatarios sin copia oculta

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Resolución AEPD R/03231/2017

Espero haberte ayudado con todo lo que debes hacer para adaptar tu farmacia a la nueva normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Cómo cumplir la ley de Protección de Datos en farmacias
4.9 (98%) 10 votos