Negocios farmacéuticos
Ninguna empresa o negocio puede dejar de cumplir con la normativa vigente en materia de protección de datos y especialmente aquellas que manejan datos considerados de categoría especial, como los de salud. En esta guía te contamos cómo cumplir la normativa de protección de datos para que no tengas ninguna sorpresa si recibes una inspección de la AEPD.
¿Qué tipo de datos personales se tratan?
Las farmacias tratan distintos tipos de datos personales. Por un lado, están los datos identificativos, como pueden ser nombres y apellidos, dirección, correo electrónico, etc.
Por otro, están los datos relacionados con la salud. Y con estos es con los que hay que tener especial cuidado. Para el desarrollo de su actividad, la farmacias han de tener datos sobre patologías, diagnósticos y tratamientos, para la dispensación de medicamentos derivados de la atención sanitaria.
Los datos relacionados con la salud están incluidos dentro de las categorías especiales de datos. Se trata de datos especialmente sensibles, que al igual que la información sobre razas, creencias, etc, cuentan con una protección especial.
Normativa aplicable
Si necesitas consultar la normativa de protección de datos en farmacias (y otras empresas u organismos) que rige en España, podrás encontrarla regulada en:
- RGPD (Reglamento General de Protección de Datos)
- LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales)
- LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico).
- Ley 41/2002, de Autonomía del Paciente, más especifica para el ámbito de la salud.
Gestión de la protección de datos
Deberás realizar una serie de actuaciones:
- Realizar un Registro de actividades de tratamiento
- Elaborar un análisis de riesgos
- Realizar una Evaluación de impacto
- Firmar los contratos con terceros
- Incluir los textos legales en la página web
- Solicitar el consentimiento a los clientes/pacientes
- Facilitar los derechos de los usuarios
- Firmar los contratos con los empleados
- Nombrar un DPD
Si te encuentras un poco perdido, no te preocupes, en Ayudaleyprotecciondatos te vamos a explicar paso a paso en qué consisten cada una de esas actuaciones.
Realizar el registro de actividades de tratamiento para farmacias
Elaborar un registro de actividades de tratamiento es el paso para cumplir con la ley de protección de datos, puesto que necesitas saber qué tipo de datos manejes, en qué cantidad y cómo los tratarás.
Para poder hacer, te puedes basar en esta pequeña lista de preguntas o puntos:
- Tipo de datos que recopilas
- Finalidad del tratamiento
- Política de almacenamiento de esos datos
- Si cedes esos datos o los transfieres fuera de nuestro país
- Medios de tratamiento
Este registro de actividades de tratamiento puede hacer en formato electrónico o en soporte papel, y de debe mantenerse lo más actualizado posible, puesto que es el documento que la AEPD (Agencia Española de Protección de Datos) te puede solicitar en caso de que lleve a cabo una inspección en tu farmacia.
Análisis de riesgos
Actualmente, los datos personales son un bien muy preciado y a gente que se dedica a tratar de robarlos para venderlos al mejor postor o realizar acciones fraudulentas con ellos. Por este motivo es importante que llevar a cabo un análisis de riesgos al que pueden estar expuestas las bases de datos de las farmacias, valorando, entre otras
- Tipo de tratamiento:
- ¿Dónde se almacenan los datos?
- ¿Durante cuánto tiempo?
- ¿En un fichero o en una base de datos?
- ¿En qué equipos?
- Naturaleza de los datos,
- Identificativos
- Bancarios
- De salud ….
- Número de interesados afectados;
Evidentemente, una vez terminado este análisis, obtendrás un informe de los riesgos potenciales que puedes enfrentar al realizar el tratamiento de los datos personales de tus clientes. Ese informe deberás emplearlo para tomar las medidas de seguridad adecuadas con las que puedas prevenir y evitar ataques informáticos que conduzcan a la pérdida o robo o exposición de dichos datos.
Evaluación de impacto
Como los datos personales de terceros que se manejan en una farmacia son especialmente sensibles, tendrás también la obligación de realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados (es decir, de aquellos terceros cuyos datos hayan podido quedar expuesto).
Como en el paso anterior, de la evaluación de impacto debería surgir un informe con el que puedas tomar e implementar las medidas de seguridad adecuadas para evitar cualquier tipo de ataque informático que ponga en riesgo tus bases de datos de clientes.
Contratos con Encargados de tratamiento
Entre las obligaciones que exige la protección de datos para empresas está la de firmar contratos con encargados de tratamiento de todas las empresas y profesionales externos con los que tengas una relación laboral (te presten algún servicio) que pueda implicar ceder datos personales de tus clientes.
En estos contratos de encargado de tratamiento tu farmacia y la empresa o profesional externo debéis acordar las condiciones y obligaciones para el correcto tratamiento de los datos personales de tus clientes a los que puedan tener acceso. Sirve, en esencia, para asegurarnos de que estas empresas o profesionales cumplen también con la ley de protección datos.
Recuerda firmar el contrato de encargo de tratamiento con los terceros
La página web de la farmacia
Si tu farmacia tiene una página web en la que ofrezcas alguna clase de servicio o asesoramiento, también estás obligado a cumplir con varios aspectos tanto del RGPD, la LOPD y la LSSI:
- Aviso legal: se identifica al propietario de la web. Incluye información como el nombre, NIF, dirección, email, teléfono o número de inscripción en el registro mercantil.
- Política de privacidad: informa sobre el tratamiento de datos que realiza la web. Quién es el responsable o encargado de tratamiento, finalidad de la recogida de datos, plazo de conservación, cesión de datos a terceros o vías para ejercer los derechos ARCO.
- Política de cookies: indica el tipo de cookies que usa la web. Para colocar una cookie en el navegador del usuario se debe solicitar su consentimiento expreso. Consulta cómo debe ser el texto de la política de cookies.
¿Necesitas cumplir el RGPD?
El consentimiento de usuarios, clientes y pacientes
Además de actualizar la política de privacidad, en la entidad farmacéutica debes tener el consentimiento de todos tus clientes para poder tratar sus datos.
El consentimiento en protección de datos ha de ser expreso, otorgado mediante una acción inequívoca y voluntaria, por ejemplo marcar una casilla de verificación. Ya no está permitido el consentimiento tácito o por omisión.
En caso de que la farmacia esté tratando datos de clientes que en su día no otorgaron el consentimiento de forma expresa, deberá volver a solicitarlo. Y si se solicitan los datos con varias finalidades, se ha de pedir el consentimiento por separado para cada una de ellas.
Derechos de los interesados
El RGPD asegura que los interesados podrán ejercer una serie de derechos LOPD respecto a los datos personales que las empresas o entidades manejan sobre ellos:
- Acceso a los propios datos personales;
- Rectificación si los datos son inexactos;
- Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
- Limitación del tratamiento;
- Portabilidad de los datos;
- Oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
- A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
- Con el derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.
Las farmacias deben proveer de los mecanismos necesarios para que los interesados puedan ejercer sus derechos. Estos medios quedarán recogidos de manera clara tanto el documento de consentimiento a firmar por clientes o pacientes, como en la política de privacidad de la página web.
Contratos de confidencialidad con empleados
Si tienes empleados trabajando en tu farmacia y estos tienen acceso a los datos personales de tus clientes, deberás asegurarte de que cumplen también con la LOPD. Para ello, deben firmar un contrato que contenga cláusulas que garanticen la confidencialidad de trabajadores para evitar que revelen información de forma no autorizada y en caso de hacerlo, que puedas hacerles responsables a ellos.
También debes informar y formar a tus empleados sobre las medidas de seguridad en materia de protección de datos que haya adoptado tu farmacia, para asegurarte de que no sean un punto de vulnerabilidad que puedan aprovechar los ciberdelincuentes para robar datos personales de tus clientes.
Consulta nuestro modelo de contrato de confidencialidad para trabajadores en España.
Notificar brechas de seguridad
Si aún con todas las medidas de seguridad y precauciones tomadas para proteger los datos personales que tratas de tus clientes, acaba produciéndose un incidente de seguridad que pueda dejarlos expuestos, el RGPD y la LOPD obligan a la notificación de las brechas de seguridad tanto a los interesados como a la AEPD.
Para realizar esta notificación, junto a la información de las medidas tomadas para ponerle solución y minimizar los posibles perjuicios, hay un plazo máximo de 72 horas. Ten en cuenta que si pruebas haber tomado todas las precauciones posibles y contar con medidas de seguridad suficientes implementadas, es posible si te sancionan por la brecha de seguridad, se tomen como atenuantes.
¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas
Nombrar un Delegado de Protección de Datos
Dependiendo del volumen de datos personales que se trate en la farmacia y de la categoría de estos, es posible que tengas la obligación de nombrar a un profesional que se encargue de todos los procesos y políticas internas en materia de protección y tratamiento de datos. Estamos hablando el Delegado de Protección de Datos (DPD o DPO).
La LOPDGDD señala que tienen obligación de contar con un Delegado de Protección de Datos los centros sanitarios que tengan acceso al historial clínico de sus pacientes. No será necesario si se ejerce como profesional sanitario a título individual.
En cualquier caso, las farmacias tienen acceso a datos sobre la salud que están especialmente protegidos, por lo que si bien no es obligatorio, sí se más que recomendable contar con un DPD.
Cuando designas a un DPD, debes además, asegurarte de comunicar su nombre y datos de contacto a la AEPD. Así mismo, esta designación podrá hacerse sobre un empleado que forme ya parte de la plantilla, o contratado un profesional o empresa externos expertos en la protección de datos.
Modelos de ayuda para el sector farmacéutico
Aquí te dejo todos los documentos que necesitarás para adaptar tu farmacia a la normativa de Protección de Datos.
- Contrato con terceros
- Página web
- Compromiso confidencialidad empleados
- Consentimientos
- Videovigilancia
- Comunicaciones
¿Necesitas ayuda?
¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.