Ninguna empresa o negocio puede dejar de cumplir con la normativa vigente en materia de protección de datos y especialmente aquellas que manejan datos considerados de categoría especial, como los de salud. Por ello, si tienes una farmacia te vamos a explicar cómo cumplir con la Ley de Protección de Datos para que no tengas ninguna sorpresa si recibes una inspección de la AEPD.

Normativa de Protección de Datos

Si necesitas consultar la normativa de protección de datos para farmacias (y otras empresas u organismos) que rige en España, podrás encontrarla regulada en:

¿Cómo deben cumplir las farmacia con la Ley de Protección de Datos y el RGPD?

Como farmacia, en tu negocio te encargas de recoger recetas médicas o cumplir con otros servicios farmacéuticos, esto supone manejar datos personales de tus clientes, además, algunos de ellos de categoría especial, puesto que los datos relativos a la salud de las personas están especialmente protegidos.

Esta situación, como a cualquier otro negocio o empresa, te llevará a tener que adaptarte al Reglamento General de Protección de Datos, de manera que cumplas con la legalidad vigente en esta materia. Para ello deberás realizar una serie de actuaciones:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes/pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Si te encuentras un poco perdido, no te preocupes, en Ayudaleyprotecciondatos te vamos a explicar paso a paso en qué consisten cada una de esas actuaciones.

como cumplir la ley de proteccion de datos y el reglamento general de proteccion de datos en las farmacias

1. Cómo realizar el registro de actividades de tratamiento para farmacias

Elaborar un registro de actividades de tratamiento es el paso para cumplir con la ley de protección de datos, puesto que necesitas saber qué tipo de datos manejes, en qué cantidad y cómo los tratarás.

Para poder hacer, te puedes basar en esta pequeña lista de preguntas o puntos:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Este registro de actividades de tratamiento puede hacer en formato electrónico o en soporte papel, y de debe mantenerse lo más actualizado posible, puesto que es el documento que la AEPD (Agencia Española de Protección de Datos) te puede solicitar en caso de que lleve a cabo una inspección en tu farmacia.

2. Análisis de riesgos

Actualmente, los datos personales son un bien muy preciado y a gente que se dedica a tratar de robarlos para venderlos al mejor postor o realizar acciones fraudulentas con ellos. Por este motivo es importante que llevar a cabo un análisis del riesgo al que pueden estar expuestas las bases de datos de las farmacias, valorando, entre otras

  • el tipo de tratamiento:
    • ¿dónde se almacenan los datos?
    • ¿durante cuánto tiempo?
    • ¿en un fichero o en una base de datos?
    • ¿en qué equipos?
  • la naturaleza de los datos,
    • identificativos
    • bancarios
    • de salud ….
  • el número de interesados afectados;
    • 1.000
    • 5.000
    • 50.000 …

Evidentemente, una vez terminado este análisis, obtendrás un informe de los riesgos potenciales que puedes enfrentar al realizar el tratamiento de los datos personales de tus clientes. Ese informe deberás emplearlo para tomar las medidas de seguridad adecuadas con las que puedas prevenir y evitar ataques informáticos que conduzcan a la pérdida o robo o exposición de dichos datos.

3. Evaluación de impacto

Como los datos personales de terceros que se manejan en una farmacia son especialmente sensibles, tendrás también la obligación de realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados (es decir, de aquellos terceros cuyos datos hayan podido quedar expuesto).

Como en el paso anterior, de la evaluación de impacto debería surgir un informe con el que puedas tomar e implementar las medidas de seguridad adecuadas para evitar cualquier tipo de ataque informático que ponga en riesgo tus bases de datos de clientes.

Imagen de farmacia para protección de datos para farmacias

4. Contratos con Encargados de tratamiento

Entre las obligaciones que exige la protección de datos para empresas está la de firmar contratos con encargados de tratamiento de todas las empresas y profesionales externos con los que tengas una relación laboral (te presten algún servicio) que pueda implicar ceder datos personales de tus clientes.

En estos contratos de encargado de tratamiento tu farmacia y la empresa o profesional externo debéis acordar las condiciones y obligaciones para el correcto tratamiento de los datos personales de tus clientes a los que puedan tener acceso. Sirve, en esencia, para asegurarnos de que estas empresas o profesionales cumplen también con la ley de protección datos.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

5. Página web de farmacias y RGPD

Si tu farmacia tiene una página web en la que ofrezcas alguna clase de servicio o asesoramiento, también estás obligado a cumplir con varios aspectos tanto del RGPD, la LOPD y la LSSI:

  • Aviso legal
  • Política de privacidad
  • Política de cookies

Veamos cada uno de ellos más en detalle, para ver qué debemos incluir en cada apartado.

Aviso legal

Este es el documento donde se identifica al propietario de la página web. En él debes incluir:

  • Nombre del propietario
  • CIF / NIF
  • Dirección
  • Email
  • Nº de inscripción en el Registro mercantil o nº de colegiado, si eres autónomo

Debes poner un enlace visible a este texto desde cualquier página de la web.

Política de privacidad

Es importante revisar la política de privacidad de la farmacia y hacer una versión de esta más extensa, que incluya más información acerca del procesamiento de los datos.

  • ¿Dónde se utilizan esos datos?
  • ¿Se está haciendo con el consentimiento de los usuarios?
  • ¿Tiene fines comerciales?
  • ¿Se realizan cesiones a terceros o transferencias internacionales?

Así, al solicitar los datos personales del cliente, en el formulario tendrás que informar expresamente de:

  • existencia de un tratamiento de los datos que se le están solicitando,
  • finalidad,
  • destinatario o destinatarios de aquella información,
  • identidad y dirección del responsable del tratamiento de los datos y
  • posibilidad de ejercer sus derechos de acceso, rectificación, cancelación y oposición y por qué vía.

Todos esos detalles deberán formar parte de la política de privacidad. Una vez actualizada, asegúrate de que esta nueva versión se publique en la web.

Política de cookies

Las cookies son archivos de información enviados por un sitio web y almacenados en el navegador del usuario que visita ese sitio. Se utilizan para analizar las visitas a nuestra página web o mostrar publicidad dinámica.

Por tanto, si tu web incluye algo de esto, debes cumplir con la ley de cookies.

La ley que regula las cookies es la propia LSSI. En ese texto debe informarse sobre las cookies utilizadas en la página, su finalidad y duración.

6. Consentimiento de los clientes de la farmacia

Además de actualizar la política de privacidad, en la entidad farmacéutica debes tener el consentimiento expreso de todos tus pacientes para poder tratar sus datos.

Uno de los principales fines del RGPD es que los ciudadanos sean más conscientes del tipo de información y datos personales que las empresas manejan sobre ellos y para qué se utilizan. Esta es una de las razones por las que se obliga a las empresas a comunicar a los interesados cualquier cambio en las políticas de protección de datos o privacidad, a través de los medios que sean necesarios para llegar a sus clientes o usuarios.

Este consentimiento puede solicitarse de dos formas:

En la web

Si el cliente/paciente introduce sus datos personales en la página web, debe existir una casilla desmarcada por defecto que le permita aceptar esa política de privacidad.

En la farmacia

En caso de que el paciente facilite sus datos personalmente en la farmacia, debe firmar un documento en el que se le informe sobre:

  • responsable del tratamiento,
  • finalidad para la que se van a usar los datos,
  • si se van a ceder a terceros y
  • el medio por el que puede ejercer sus derechos ARCO.

Uno de los fines principales del RGPD es que los clientes sean mucho más conscientes de qué información disponen las empresas de ellos y para qué se utiliza. Por ello, es esencial que se les comunique cualquier cambio que se vaya a realizar. Una buena opción sería enviar emails a los clientes y empleados o publicar alguna entrada en la página web y difundirla posteriormente por redes sociales, para generar más confianza.

7. Derechos de los interesados

El RGPD asegura que los interesados podrán ejercer una serie de derechos respecto a los datos personales que las empresas o entidades manejan sobre ellos:

  • acceso a los propios datos personales;
  • rectificación si los datos son inexactos;
  • supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • limitación del tratamiento;
  • portabilidad de los datos;
  • oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
  • Con el derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Las farmacias deben proveer de los mecanismos necesarios para que los interesados puedan ejercer sus derechos. Estos medios quedarán recogidos de manera clara tanto el documento de consentimiento a firmar por clientes o pacientes, como en la política de privacidad de la página web.

Imagen interior farmacia para protección datos farmacias

8. Contratos de confidencialidad con empleados

Si tienes empleados trabajando en tu farmacia y estos tienen acceso a los datos personales de tus clientes, deberás asegurarte de que cumplen también con la LOPD. Para ello, deben firmar un contrato que contenga cláusulas que garanticen la confidencialidad de trabajadores para evitar que revelen información de forma no autorizada y en caso de hacerlo, que puedas hacerles responsables a ellos.

También debes informar y formar a tus empleados sobre las medidas de seguridad en materia de protección de datos que haya adoptado tu farmacia, para asegurarte de que no sean un punto de vulnerabilidad que puedan aprovechar los ciberdelicuentes para robar datos personales de tus clientes.

9. Notificar brechas de seguridad

Si aún con todas las medidas de seguridad y precauciones tomadas para proteger los datos personales que tratas de tus clientes, acaba produciéndose un incidente de seguridad que pueda dejarlos expuestos, el RGPD y la LOPD obligan a la notificación de los incidentes de seguridad tanto a los interesados como a la AEPD.

Para realizar esta notificación, junto a la información de las medidas tomadas para ponerle solución y minimizar los posibles perjuicios, hay un plazo máximo de 72 horas. Ten en cuenta que si pruebas haber tomado todas las precauciones posibles y contar con medidas de seguridad suficientes implementadas, es posible si te sancionan por la brecha de seguridad, se tomen como atenuantes.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

10. ¿Una farmacia necesita nombrar un Delegado de Protección de Datos?

Dependiendo del volumen de datos personales que se trate en la farmacia y de la categoría de estos, es posible que tengas la obligación de nombrar a un profesional que se encargue de todos los procesos y políticas internas en materia de protección y tratamiento de datos. Estamos hablando el Delegado de Protección de Datos (DPD o DPO).

Cuando designas a un DPD, debes además, asegurarte de comunicar su nombre y datos de contacto a la AEPD. Así mismo, esta designación podrá hacerse sobre un empleado que forme ya parte de la plantilla, o contratado un profesional o empresa externos expertos en la protección de datos.

Preguntas frecuentes

¿Deben las farmacias cumplir los requisitos del RGPD en la instalación de cámaras de videovigilancia?

Por supuesto. En caso de que instalen cámaras de videovigilancia deben:

  • Incluir el correspondiente tratamiento
  • Cumplir el principio de proporcionalidad
  • Informar mediante el correspondiente cartel distintivo

¿Qué ocurre con las tarjetas de fidelidad facilitadas a mis clientes/pacientes?

Aquí hay que prestar gran atención porque los datos que recoge el farmacéutico, en algunas ocasiones no son del farmacéutico, no los puede usar y tratar para su uso en la farmacia como propios. Son de la sociedad que gestiona la tarjeta. Hay que ser conscientes de qué es de la farmacia y qué no es, de qué datos es responsable la farmacia y de cuáles es encargada de tratamiento, así como de las obligaciones que tiene respecto de esos datos.

¿Debo establecer medidas de seguridad adicionales a las habituales en el sector?

La normativa de protección de datos no hace referencia a medidas concretas de seguridad. Se refiere a las “adecuadas al tipo de datos que se maneja, su volumen y finalidad, y en todo caso en relación al estado actual de la tecnología y al coste asociado a su implantación”.

Esto quiere decir que las medidas de seguridad deben ser las correspondientes al manejo, en el caso de las farmacias, de datos tan sensibles como los de salud. Que además pueden afectar a colectivos considerados vulnerables, tales como los menores o los ancianos.

Por todo lo anterior se hace necesario enfatizar en la necesidad de cumplir unas medidas de seguridad como:

  • establecer sistemas de identificación de usuarios y contraseñas para el acceso a la información en el caso del uso de herramientas informáticas,
  • elaborar una relación de autorizados y sus niveles de acceso,
  • posible encriptación de archivos y
  • realizar copias de respaldo de la abundante documentación de la que normalmente se dispone en las farmacias.

En el caso de prestadores de servicios sin acceso a datos en farmacias, ¿Cuándo se tratan datos personales?

Cuando prestamos el servicio, no actuamos como Encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.

Es obligación de la clínica, como Responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.

En caso contrario (recibir la información sin datos anonimizados), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.

Cuando no se tenga acceso a datos personales de las clínicas/laboratorios no se deberá firmar un contrato de “Encargado de Tratamiento” en sí. Sin embargo, sí sería necesario firmar un “Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos”, donde se recojan las obligaciones del Responsable y del Encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.

En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos de estos prestadores de servicios son: empresa de limpieza, mantenimiento técnico, cáterings de empresa…

Imagen farmacéutico para protección datos farmacias

Modelos

Aquí te dejo todos los documentos que necesitarás para adaptar tu farmacia a la normativa de Protección de Datos.

Sanciones

No cumplir con la Ley de Protección de Datos o no adaptar la farmacia al RGPD, se consideran infracciones y, por tanto, pueden conllevar sanciones económicas, que pueden ascender bien hasta el 4% de la facturación anual o los 20 millones de euros. Y ninguna empresa queda excluida de tener que cumplir la ley, aunque es cierto que empresas pequeñas tienen menos exigencias en algunos aspectos de la misma.

Las sanciones se interpondrán teniendo en cuenta:

  • naturaleza, gravedad y duración de la infracción,
  • número de interesados afectados,
  • nivel de los daños y perjuicios que hayan sufrido,
  • intencionalidad o negligencia en la infracción, y
  • medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

Aquí tienes algunos ejemplos de sanciones impuestas por la AEPD a farmacias.

No atender debidamente el derecho de cancelación

El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión. Resolución AEPD R/01466/2018

Envío de emails a varios destinatarios sin copia oculta

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos. El deber de secreto tiene como finalidad evitar que, por parte de quienes están en contacto con los datos personales almacenados en ficheros, se realicen filtraciones de los datos no consentidas por los titulares de los mismos. Resolución AEPD R/03231/2017

Espero haberte ayudado con todo lo que debes hacer para adaptar tu farmacia a la normativa de Protección de Datos.

¿Necesitas cumplir el RGPD?

Escribe aquí tu comentario

Deja un comentario

Las siguientes reglas del RGPD deben leerse y aceptarse:
Este formulario recopila tu nombre, correo electrónico y contenido para que podamos realizar un seguimiento de los comentarios dejados en la web. Para más información revisa nuestra política de privacidad, donde encontrarás más información sobre dónde, cómo y por qué almacenamos tus datos.