Protección de Datos para farmacias

Guía 2021

Ninguna empresa o negocio puede dejar de cumplir con la normativa vigente en materia de protección de datos y especialmente aquellas que manejan datos considerados de categoría especial, como los de salud. En esta guía te contamos cómo cumplir la protección de datos en farmacias para que no tengas ninguna sorpresa si recibes una inspección de la AEPD.

¿Qué tipo de datos personales tratan las farmacia?

Las farmacias tratan distintos tipos de datos personales. Por un lado, están los datos identificativos, como pueden ser nombres y apellidos, dirección, correo electrónico, etc.

Por otro, están los datos relacionados con la salud. Y con estos es con los que hay que tener especial cuidado. Para el desarrollo de su actividad, la farmacias han de tener datos sobre patologías, diagnósticos y tratamientos, para la dispensación de medicamentos derivados de la atención sanitaria.

Los datos relacionados con la salud están incluidos dentro de las categorías especiales de datos. Se trata de datos especialmente sensibles, que al igual que la información sobre razas, creencias, etc, cuentan con una protección especial.

Normativa de Protección de Datos que afecta a las farmacias

Si necesitas consultar la normativa de protección de datos para farmacias (y otras empresas u organismos) que rige en España, podrás encontrarla regulada en:

  • RGPD (Reglamento General de Protección de Datos)
  • LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales)
  • LSSI-CE (Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico).
  • Ley 41/2002, de Autonomía del Paciente, más especifica para el ámbito de la salud.

RGPD para farmacias

El RGPD o Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2018, y establece una serie de nuevas obligaciones para el adecuado cumplimiento de la protección de datos en oficinas farmacéuticas.

Entre estas nuevas obligaciones están el realizar un registro de las actividades de tratamiento, el deber de informar a los usuarios sobre la identidad del responsable o encargado del tratamiento, la finalidad, el plazo de conservación de datos, la cesión de datos a terceros o cómo ejercer sus derechos ARCO.

A su vez, el RGPD hace especial hincapié en otras exigencias, como la obligación de cumplir con el principio de responsabilidad proactiva, obtener consentimiento expreso para el tratamiento de datos, y notificar a la AEPD cualquier brecha de seguridad.

LOPDGDD en oficinas farmacéuticas

La LOPDGDD no es más que la adaptación al marco español de la ley europea RGPD. Por tanto, se puede decir que son dos leyes muy similares aunque con algunos pequeños matices.

Por ejemplo, la LOPDGDD amplía cierta información como la relacionada con las entidades que han de contar con un Delegado de Protección de Datos, y también profundiza más sobre los derechos digitales de los usuarios.

En cualquier caso, se puede decir que tanto el RGPD como la LOPDGDD establecen prácticamente las mismas obligaciones para cumplir con la protección de datos en tu farmacia.

Gestión de la protección de datos en la oficina de farmacia

Como farmacia, en tu negocio te encargas de recoger recetas médicas o cumplir con otros servicios farmacéuticos, esto supone manejar datos personales de tus clientes, además, algunos de ellos de categoría especial, puesto que los datos relativos a la salud de las personas están especialmente protegidos.

Esta situación, como a cualquier otro negocio o empresa, te llevará a tener que adaptarte al Reglamento General de Protección de Datos, de manera que cumplas con la legalidad vigente en esta materia. Para ello deberás realizar una serie de actuaciones:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes/pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Si te encuentras un poco perdido, no te preocupes, en Ayudaleyprotecciondatos te vamos a explicar paso a paso en qué consisten cada una de esas actuaciones.

pasos cumplir ley lopd rgpd en farmacias

Realizar el registro de actividades de tratamiento para farmacias

Elaborar un registro de actividades de tratamiento es el paso para cumplir con la ley de protección de datos, puesto que necesitas saber qué tipo de datos manejes, en qué cantidad y cómo los tratarás.

Para poder hacer, te puedes basar en esta pequeña lista de preguntas o puntos:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Este registro de actividades de tratamiento puede hacer en formato electrónico o en soporte papel, y de debe mantenerse lo más actualizado posible, puesto que es el documento que la AEPD (Agencia Española de Protección de Datos) te puede solicitar en caso de que lleve a cabo una inspección en tu farmacia.

Análisis de riesgos

Actualmente, los datos personales son un bien muy preciado y a gente que se dedica a tratar de robarlos para venderlos al mejor postor o realizar acciones fraudulentas con ellos. Por este motivo es importante que llevar a cabo un análisis de riesgos al que pueden estar expuestas las bases de datos de las farmacias, valorando, entre otras

  • Tipo de tratamiento:
    • ¿Dónde se almacenan los datos?
    • ¿Durante cuánto tiempo?
    • ¿En un fichero o en una base de datos?
    • ¿En qué equipos?
  • Naturaleza de los datos,
    • Identificativos
    • Bancarios
    • De salud ….
  • Número de interesados afectados;

Evidentemente, una vez terminado este análisis, obtendrás un informe de los riesgos potenciales que puedes enfrentar al realizar el tratamiento de los datos personales de tus clientes. Ese informe deberás emplearlo para tomar las medidas de seguridad adecuadas con las que puedas prevenir y evitar ataques informáticos que conduzcan a la pérdida o robo o exposición de dichos datos.

Evaluación de impacto

Como los datos personales de terceros que se manejan en una farmacia son especialmente sensibles, tendrás también la obligación de realizar una evaluación de impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados (es decir, de aquellos terceros cuyos datos hayan podido quedar expuesto).

Como en el paso anterior, de la evaluación de impacto debería surgir un informe con el que puedas tomar e implementar las medidas de seguridad adecuadas para evitar cualquier tipo de ataque informático que ponga en riesgo tus bases de datos de clientes.

farmacia lopd

Contratos con Encargados de tratamiento

Entre las obligaciones que exige la protección de datos para empresas está la de firmar contratos con encargados de tratamiento de todas las empresas y profesionales externos con los que tengas una relación laboral (te presten algún servicio) que pueda implicar ceder datos personales de tus clientes.

En estos contratos de encargado de tratamiento tu farmacia y la empresa o profesional externo debéis acordar las condiciones y obligaciones para el correcto tratamiento de los datos personales de tus clientes a los que puedan tener acceso. Sirve, en esencia, para asegurarnos de que estas empresas o profesionales cumplen también con la ley de protección datos.

terceros

Recuerda firmar el contrato de encargo de tratamiento con los terceros

La página web de la farmacia

Si tu farmacia tiene una página web en la que ofrezcas alguna clase de servicio o asesoramiento, también estás obligado a cumplir con varios aspectos tanto del RGPD, la LOPD y la LSSI:

  • Aviso legal: se identifica al propietario de la web. Incluye información como el nombre, NIF, dirección, email, teléfono o número de inscripción en el registro mercantil.
  • Política de privacidad: informa sobre el tratamiento de datos que realiza la web. Quién es el responsable o encargado de tratamiento, finalidad de la recogida de datos, plazo de conservación, cesión de datos a terceros o vías para ejercer los derechos ARCO.
  • Política de cookies: indica el tipo de cookies que usa la web. Para colocar una cookie en el navegador del usuario se debe solicitar su consentimiento expreso. Consulta cómo debe ser el texto de la política de cookies.

¿Necesitas cumplir el RGPD?

Solicita varios presupuestos

 

El consentimiento de usuarios, clientes y pacientes

Además de actualizar la política de privacidad, en la entidad farmacéutica debes tener el consentimiento de todos tus clientes para poder tratar sus datos.

El consentimiento en protección de datos ha de ser expreso, otorgado mediante una acción inequívoca y voluntaria, por ejemplo marcar una casilla de verificación. Ya no está permitido el consentimiento tácito o por omisión.

En caso de que la farmacia esté tratando datos de clientes que en su día no otorgaron el consentimiento de forma expresa, deberá volver a solicitarlo. Y si se solicitan los datos con varias finalidades, se ha de pedir el consentimiento por separado para cada una de ellas.

Derechos de los interesados

El RGPD asegura que los interesados podrán ejercer una serie de derechos LOPD respecto a los datos personales que las empresas o entidades manejan sobre ellos:

  • Acceso a los propios datos personales;
  • Rectificación si los datos son inexactos;
  • Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • Limitación del tratamiento;
  • Portabilidad de los datos;
  • Oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
  • Con el derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Las farmacias deben proveer de los mecanismos necesarios para que los interesados puedan ejercer sus derechos. Estos medios quedarán recogidos de manera clara tanto el documento de consentimiento a firmar por clientes o pacientes, como en la política de privacidad de la página web.

farmacia rgpd

Contratos de confidencialidad con empleados

Si tienes empleados trabajando en tu farmacia y estos tienen acceso a los datos personales de tus clientes, deberás asegurarte de que cumplen también con la LOPD. Para ello, deben firmar un contrato que contenga cláusulas que garanticen la confidencialidad de trabajadores para evitar que revelen información de forma no autorizada y en caso de hacerlo, que puedas hacerles responsables a ellos.

También debes informar y formar a tus empleados sobre las medidas de seguridad en materia de protección de datos que haya adoptado tu farmacia, para asegurarte de que no sean un punto de vulnerabilidad que puedan aprovechar los ciberdelincuentes para robar datos personales de tus clientes.

Consulta nuestro modelo de contrato de confidencialidad para trabajadores en España.

Notificar brechas de seguridad

Si aún con todas las medidas de seguridad y precauciones tomadas para proteger los datos personales que tratas de tus clientes, acaba produciéndose un incidente de seguridad que pueda dejarlos expuestos, el RGPD y la LOPD obligan a la notificación de las brechas de seguridad tanto a los interesados como a la AEPD.

Para realizar esta notificación, junto a la información de las medidas tomadas para ponerle solución y minimizar los posibles perjuicios, hay un plazo máximo de 72 horas. Ten en cuenta que si pruebas haber tomado todas las precauciones posibles y contar con medidas de seguridad suficientes implementadas, es posible si te sancionan por la brecha de seguridad, se tomen como atenuantes.

aviso alerta

¡Cuidado! Debes notificar las brechas de seguridad en un plazo de 72 horas

Nombrar un Delegado de Protección de Datos

Dependiendo del volumen de datos personales que se trate en la farmacia y de la categoría de estos, es posible que tengas la obligación de nombrar a un profesional que se encargue de todos los procesos y políticas internas en materia de protección y tratamiento de datos. Estamos hablando el Delegado de Protección de Datos (DPD o DPO).

La LOPDGDD señala que tienen obligación de contar con un Delegado de Protección de Datos los centros sanitarios que tengan acceso al historial clínico de sus pacientes. No será necesario si se ejerce como profesional sanitario a título individual.

En cualquier caso, las farmacias tienen acceso a datos sobre la salud que están especialmente protegidos, por lo que si bien no es obligatorio, sí se más que recomendable contar con un DPD.

Cuando designas a un DPD, debes además, asegurarte de comunicar su nombre y datos de contacto a la AEPD. Así mismo, esta designación podrá hacerse sobre un empleado que forme ya parte de la plantilla, o contratado un profesional o empresa externos expertos en la protección de datos.

Modelos de ayuda para el sector farmacéutico

Aquí te dejo todos los documentos que necesitarás para adaptar tu farmacia a la normativa de Protección de Datos.

 

Sanciones por incumplimiento de las obligaciones legales

Las sanciones se interpondrán teniendo en cuenta:

  • Naturaleza, gravedad y duración de la infracción
  • Número de interesados afectados
  • Nivel de los daños y perjuicios que hayan sufrido
  • Intencionalidad o negligencia en la infracción
  • Medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

Así, la cuantía de las sanciones RGPD para farmacias dependerá de la gravedad de la infracción:

  • Las infracciones leves se sancionarán con multas de hasta 40.000 €.
  • Las infracciones graves se sancionarán con multas entre 40.001 € a 300.000 €.
  • Las infracciones muy graves se sancionarán con multas entre 300.001 € a 20.000.000 € o el 4% de la facturación del último ejercicio.

Preguntas frecuentes

¿Debo establecer medidas de seguridad adicionales a las habituales en el sector?

La normativa de protección de datos no hace referencia a medidas concretas de seguridad. Se refiere a las “adecuadas al tipo de datos que se maneja, su volumen y finalidad, y en todo caso en relación al estado actual de la tecnología y al coste asociado a su implantación”.

Esto quiere decir que las medidas de seguridad deben ser las correspondientes al manejo, en el caso de las farmacias, de datos tan sensibles como los de salud. Que además pueden afectar a colectivos considerados vulnerables, tales como los menores o los ancianos.

Por todo lo anterior se hace necesario enfatizar en la necesidad de cumplir unas medidas de seguridad como:

  • establecer sistemas de identificación de usuarios y contraseñas para el acceso a la información en el caso del uso de herramientas informáticas,
  • elaborar una relación de autorizados y sus niveles de acceso,
  • posible encriptación de archivos y
  • realizar copias de respaldo de la abundante documentación de la que normalmente se dispone en las farmacias.

En el caso de prestadores de servicios sin acceso a datos en farmacias, ¿Cuándo se tratan datos personales?

Cuando prestamos el servicio, no actuamos como Encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.

Es obligación de la clínica, como Responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.

En caso contrario (recibir la información sin anonimizar datos), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.

Cuando no se tenga acceso a datos personales de las clínicas/laboratorios no se deberá firmar un contrato de “Encargado de Tratamiento” en sí. Sin embargo, sí sería necesario firmar un “Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos”, donde se recojan las obligaciones del Responsable y del Encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.

En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos de estos prestadores de servicios son: empresa de limpieza, mantenimiento técnico, catering de empresa, etc.

¿Deben las farmacias cumplir los requisitos del RGPD en la instalación de cámaras de videovigilancia?

Por supuesto. En caso de que instalen cámaras de videovigilancia deben:

  • Incluir el correspondiente tratamiento
  • Cumplir el principio de proporcionalidad
  • Informar mediante el correspondiente cartel distintivo

¿Qué ocurre con las tarjetas de fidelidad facilitadas a mis clientes/pacientes?

Aquí hay que prestar gran atención porque los datos que recoge el farmacéutico, en algunas ocasiones no son del farmacéutico, no los puede usar y tratar para su uso en la farmacia como propios. Son de la sociedad que gestiona la tarjeta. Hay que ser conscientes de qué es de la farmacia y qué no es, de qué datos es responsable la farmacia y de cuáles es encargada de tratamiento, así como de las obligaciones que tiene respecto de esos datos.

Esperamos haberte ayudado con todo lo que debes hacer para adaptar tu farmacia a la normativa de Protección de Datos.

¿Necesitas ayuda?

¡Recibe hasta 4 presupuestos! Te ayudamos a encontrar una empresa especializada en la materia de protección de datos para poder resolver todas tus dudas.