Gestión de la protección de datos en la oficina de farmacia

Vamos a abordar en este artículo de qué modo afecta a la oficina de farmacia el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).

Gestión de la protección de datos en la oficina de farmacia
Gestión de la protección de datos en la oficina de farmacia

Aspectos generales
La oficina de farmacia es un establecimiento sanitario en el que el farmacéutico titular propietario realiza unas funciones de carácter profesional que conllevan un acceso a los datos personales de sus clientes. A los efectos de la normativa de protección de datos, ese farmacéutico es responsable del tratamiento que da a esos datos.

La normativa sobre protección de datos define al «responsable de tratamiento» como a la persona física o jurídica, autoridad pública, servicio u otro organismo que por sí solo, o junto con otros, determine los fines y medios del tratamiento de los datos personales.

Según la misma normativa, por «tratamiento» se entiende cualquier operación o conjunto de operaciones realizadas sobre los datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, difusión o cualquier otra habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

Los principales datos sobre los que el farmacéutico titular de la oficina de farmacia realiza ese tratamiento son de salud, ya que se derivan de la dispensación de los medicamentos, de la realización de actividades de carácter sanitario y de la prestación de servicios sanitarios; por tanto, su actividad profesional, en tanto que tiene acceso a datos personales, también está sujeta a la normativa que regula su tratamiento.

La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental, pero no es un derecho absoluto porque debe mantener un equilibrio con la necesidad de que la información que nos proporcionan los datos personales pueda ser objeto de tratamiento, ya que éstos se han convertido en un recurso fundamental en la sociedad de la información1.

EF567 ESPECIAL GESTION PROTECCION 2El tratamiento de la información que nos proporcionan los datos personales ha transformado la economía global, y uno de los sectores que se ha visto más beneficiado es el de la investigación. La posibilidad de acceder a los datos de carácter personal tiene una importancia sin precedentes, ya que la información que proporcionan es necesaria e imprescindible.

Sin embargo, debemos tener claro que la información que es objeto de tratamiento no puede estar al alcance de cualquiera. Los datos personales nos proporcionan una idea exacta de cómo es una persona: sus cualidades, sus preferencias, su poder adquisitivo, su ideología, su carácter, sus enfermedades y sus preferencias sexuales... Y toda esa información forma parte del contenido de los derechos fundamentales contemplados en las constituciones de los países desarrollados: el derecho al honor, a la intimidad personal y a la propia imagen.

Y en ese sentido, el artículo 18.4 de nuestra Constitución Española establece que la Ley limitará el uso de la informática para garantizar el derecho al honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Lo que se quiere decir con ello es que el ciudadano tiene el derecho de decidir sobre el uso y el destino de sus datos personales, y el derecho a oponerse a su tratamiento cuando éste se destine a una finalidad distinta a la que justificó su obtención, o cuando se haya llevado a cabo un tratamiento sin su autorización en el caso en que ésta hubiera sido preceptiva.

La responsabilidad de adoptar medidas conducentes a garantizar la seguridad de los datos personales objeto de tratamiento ha sido una constante desde que se aprobó en España la LORTAD, La Ley Orgánica 5/1992 de 29 de octubre reguladora del tratamiento automatizado de los datos de carácter temporal, que fue derogada por la Ley 15/1999 de 13 de diciembre. Desde entonces, en nuestro país cualquiera que realizara una actividad económica que comportara el tratamiento de datos personales debía garantizar la seguridad de la información e impedir el acceso de personas no autorizadas a la misma.

En nuestro mundo actual, es impensable una integración económica y social de los países que forman parte de la UE sin el acceso a datos personales y sin la libre circulación de estos datos, pues de ello depende el motor de la economía moderna. De ahí que el nuevo reglamento europeo haya surgido de la necesidad de controlar el tratamiento de la información de forma armonizada y sujeto a las mismas reglas para todos los países que integran la UE, para conseguir una convivencia entre la necesidad del tratamiento de los datos personales de las personas físicas y la garantía de que éstos tengan un efectivo control exhaustivo de la información sobre su persona.

Nuevos principios
El nuevo reglamento de la Unión europea ha introducido nuevos principios con respecto a la normativa que le precede. En realidad, mantiene los anteriores y amplía. Esos principios son: de licitud, lealtad y transparencia, limitación a la finalidad para la que se obtienen (para fines determinados explícitos y legítimos), minimización (datos adecuados, pertinentes y limitados en relación con los fines para los que son tratados), exactitud y actualización (evitar errores en el tratamiento), limitación en el plazo de conservación, integridad y confidencialidad y, sobre todo, deberán ser tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito, su pérdida o destrucción, exigiendo la adopción de medidas técnicas u organizativas que lo impidan. Con relación a la implementación de esas medidas, el nuevo reglamento aplica el principio de responsabilidad proactiva.

El principio de responsabilidad proactiva implica que, antes de someter a tratamiento los datos personales, el responsable de tratamiento debe, desde el diseño de la aplicación o de los soportes con los que va a realizarse el tratamiento y por defecto, implementar o introducir esas medidas.

EF567 ESPECIAL GESTION PROTECCION 3Medidas de seguridad
A diferencia de la normativa anterior, en la que en función de la categoría de datos sujetos a tratamiento debían implementarse medidas de seguridad de diferente nivel (básico, medio y alto) convenientemente descritas, el nuevo reglamento no indica qué medidas en concreto deben implementarse; en su lugar, establece la necesidad de que esas medidas garanticen: (i) la seudonimización y el cifrado de los datos; (ii) la capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y los servicios de tratamiento; (iii) la capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidencia física o técnica; (iv) la existencia de un proceso de verificación, evaluación y valoración regulares de la eficacia de esas medidas para garantizar la seguridad, y todo eso adecuando el nivel de seguridad a los riesgos que puedan producirse como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de los datos personales.

Esas medidas deberán garantizar también que sólo se traten los datos personales necesarios para cumplir con la finalidad de su obtención. La protección de datos desde el diseño y por defecto es uno de los ejes principales de su adopción, de manera que, desde el momento de la concepción de la idea de una aplicación informática, un producto o un servicio, se tenga en cuenta el riesgo que implica el tratamiento de los datos.

Tipos de datos
El nuevo reglamento distingue dos tipos de datos: aquellos denominados de «categorías especiales» (datos sobre el origen racial y étnico; opiniones políticas; convicciones religiosas; afiliación sindical; datos genéticos, biométricos y de salud; vida sexual y orientación sexual) y el resto. En la normativa anterior, la clasificación de los datos venía definida por el nivel de medidas de seguridad que debían adoptarse:

  • Básico. Nombre, apellidos, domicilio, DNI, etc.
  • Medio. Los relativos a la comisión de infracciones administrativas o penales o tributarias, los originados con la prestación de servicios financieros, los de las mutuas de accidentes de trabajo y enfermedades profesionales, o aquellos que contengan un conjunto de datos que ofrezcan una definición de las características y personalidad de los ciudadanos y permitan determinar su comportamiento.
  • Alto. Datos sobre ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, así como los recabados para fines policiales sin el consentimiento de las personas afectadas.

¿Qué datos personales son objeto de tratamiento en la oficina de farmacia?
De acuerdo con la clasificación del nuevo reglamento, podríamos distinguir entre los datos de categorías especiales: (i) los de la receta médica; (ii) los de los servicios de SPD; (iii) los del seguimiento farmacoterapéutico; (iv) los del libro recetario y el de estupefacientes, y (v) los datos que se obtienen por la prestación de otros servicios de carácter sanitario en la oficina de farmacia. El resto pueden referirse a datos exclusivamente comerciales (adquisición de productos de higiene personal, cosmética, promociones comerciales, tarjetas de clientes sin datos de salud, videovigilancia, datos sobre el personal y la relación laboral, etc.).

Obligaciones de los titulares de oficina de farmacia con respecto al tratamiento de los datos a los que tienen acceso
Registro de actividades
El nuevo reglamento ha eliminado la obligación de notificar a la Agencia Española de Protección de Datos la existencia de un fichero. El fichero no ha desaparecido como concepto, pero existe la preferencia de identificar los datos en función de su tratamiento y la tipología del dato, en vez de hacerlo por la existencia del fichero en sí. Para el tratamiento de datos con riesgo para la privacidad o en el tratamiento de datos sensibles, el Reglamento obliga a llevar un registro de actividades que debe contener básicamente la misma información que incluía el formulario de notificación de la inscripción del fichero. Ese registro de actividades ha de estar documentado y a disposición de las autoridades competentes.

Análisis de riesgos y evaluación del impacto
Por su actividad profesional, el farmacéutico titular de oficina de farmacia realiza un tratamiento de categorías especiales de datos personales, por lo que debe llevar a cabo las siguientes operaciones para definir qué medidas de seguridad ha de implementar:

  • Análisis de riesgos. Con el análisis de riesgos se valora el impacto de la exposición a la amenaza, juntamente con el hecho de que ésta se materialice como consecuencia del tratamiento de los datos. El análisis debe ser el resultado de un estudio documentado sobre las implicaciones de los tratamientos respecto a los derechos y libertades de los interesados o de la cantidad y variedad de tratamientos que lleve a cabo el farmacéutico titular de la oficina de farmacia. El análisis de riesgo debe hacerse con los distintos tratamientos que se lleven a cabo; por ejemplo, si se tratan datos sensibles, datos de gran cantidad de personas; si incluye elaboración de perfiles; si se cruzan datos obtenidos de otras fuentes; si se tratan datos obtenidos para una finalidad distinta de la que motivó su obtención; si se tratan a gran escala, o si se utilizan tecnologías especialmente invasivas para la privacidad.
  • Evaluación del impacto. Con esta evaluación se determinan los posibles daños que se podrían producir si la amenaza se materializa, es decir, qué consecuencias repercutirían sobre los interesados.

Encargados de tratamiento
El encargado de tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable de tratamiento que conlleva el acceso y el tratamiento de datos personales por cuenta de éste.

En el caso de la actividad llevada a cabo en la oficina de farmacia, los encargados de tratamiento serán aquellas personas y/o entidades que presten un servicio al farmacéutico titular propietario del establecimiento. Por ejemplo: si el farmacéutico contrata a una gestoría los servicios de confección de nóminas, de contratos laborales y la representación ante los organismos de la Seguridad Social para cumplir con las obligaciones laborales con respecto a los empleados, esa gestoría será, a efectos de la normativa de protección de datos, un encargado de tratamiento, porque para cumplir con sus obligaciones contractuales tiene que tener acceso a los datos personales de los trabajadores y operar con ellos.

El farmacéutico titular de oficina de farmacia que elabora fórmulas magistrales por encargo de otros titulares de oficina de farmacia tiene la consideración de encargado de tratamiento de estos últimos, ya que realiza operaciones (tratamiento) con los datos correspondientes a los destinatarios de la medicación que preparan.

A su vez, el farmacéutico titular de oficina de farmacia puede ser encargado de tratamiento de aquellos datos personales a los que la administración sanitaria le proporciona acceso cuando participa en programas de salud promovidos por dicha administración.

La relación entre el responsable de tratamiento y el encargado de tratamiento, aparte de la que regule las obligaciones con respecto a la prestación de los servicios que se contratan, debe establecerse mediante un contrato o un acto jurídico similar que los vincule, por escrito o incluso en formato electrónico.

En la relación entre el responsable de tratamiento y el encargado de tratamiento, el responsable no pierde la consideración de tal y sigue siendo el responsable del tratamiento que se da a los datos personales y de la garantía de los derechos de las personas afectadas por dicho tratamiento, por lo que debe mantener una obligación de control de las actividades del encargado. No hay límite de tratamiento de datos que pueda llevar a cabo el encargado por cuenta del responsable. El encargado puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio contratado, asegurando la confidencialidad de los datos. Las decisiones que sobre este aspecto tome deberán respetar las instrucciones del responsable de tratamiento.

El acuerdo entre el responsable de tratamiento y el encargado debe contener como mínimo los siguientes aspectos: las instrucciones del responsable de tratamiento acordes con la finalidad de su obtención y/o acceso; el deber de confidencialidad y privacidad de los datos; las medidas de seguridad que va a implementar; el régimen de subcontratación; los derechos de los interesados; la colaboración en el cumplimiento de las obligaciones del responsable; el destino de los datos al finalizar la prestación de los servicios, y la colaboración con el responsable para demostrar el cumplimiento de las obligaciones del responsable de tratamiento.

EF567 ESPECIAL GESTION PROTECCION 4El consentimiento
El farmacéutico titular de la oficina de farmacia debe garantizar tanto el respeto a la dignidad de la persona y a la autonomía de su voluntad, como el respeto a su intimidad. Los interesados (usuarios/clientes/pacientes) de la oficina de farmacia tienen derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización por escrito, salvo que dicho acceso esté amparado por la Ley.

El tratamiento de sus datos sólo será lícito si cumple con los siguientes requisitos:

  • Si el interesado presta su consentimiento.
  • Si el tratamiento es necesario para la prestación de un servicio (como la dispensación de un medicamento, sujeto o no a receta médica, o la prestación de servicios sanitarios a petición).
  • Si el tratamiento es necesario para cumplir con una obligación legal (como el tratamiento de datos consecuencia de cumplir con las obligaciones laborales).
  • Si el tratamiento es necesario para proteger el interés vital del interesado.
  • Si el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o de un tercero.

El consentimiento del interesado debe realizarse mediante una declaración inequívoca o una acción afirmativa clara. Las casillas previamente marcadas, el consentimiento tácito o la inacción no constituyen desde la aplicación del nuevo reglamento europeo un consentimiento válido.

El consentimiento ha de ser explícito cuando se traten datos de categorías especiales, para la adopción de medidas automatizadas y para realizar transferencias internacionales de datos.

El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduce de una acción del interesado; por ejemplo, cuando accedemos a navegar por una página web y aceptamos que se utilicen cookies para monitorizar nuestra navegación.

Derecho de información2
En cualquier caso, los interesados tienen derecho a que el responsable de tratamiento les informe de lo siguiente:

  • Identificación del responsable de tratamiento (datos de contacto, nombre y apellidos, CIF, teléfono, y datos de contacto del DPO).
  • Finalidad del tratamiento: descripción de las finalidades del tratamiento, plazos de conservación de los datos, criterios de conservación y lógica aplicada a la elaboración de perfiles.
  • Legitimación o descripción de la base jurídica del tratamiento: puede consistir en el consentimiento del interesado, en una obligación legal del responsable de tratamiento o en un interés legítimo de éste.
  • Destinatarios: previsión de si los datos van a cederse a terceros y, en su caso, las transferencias internacionales.
  • Información sobre los derechos de los interesados.

Derechos de los interesados
El responsable de tratamiento tiene el deber de informar a los interesados de los derechos que les asisten en relación con el tratamiento de datos que lleve a cabo. El nuevo reglamento ha ampliado el elenco de derechos, con el objeto de proporcionar herramientas de control de sus datos. A los antiguos derechos ARCO (acceso, rectificación, cancelación y oposición) ha añadido: (i) el derecho de supresión; (ii) el derecho de portabilidad; (iii) el derecho a la limitación; (iv) el derecho a no ser objeto de decisiones individualizadas y, por último, (v) el derecho a presentar una reclamación ante la autoridad de control competente.

El farmacéutico deberá informar de cómo, cuándo y dónde el interesado puede ejercer tales derechos, y deberá responder dentro del plazo de 1 mes desde que se le presentó la reclamación y de 2 meses cuando se trate de solicitudes más complejas.

EF567 ESPECIAL GESTION PROTECCION 5Delegado de protección de datos: sí o no
El delegado de protección de datos es una figura que tiene distintas funciones: asesorar e informar al responsable de tratamiento; supervisar el cumplimiento de la normativa sobre protección de datos; cooperar con la autoridad de control, y operar como punto de contacto entre ésta y el responsable de tratamiento.

La figura del delegado de protección de datos no existía en la normativa anterior al nuevo reglamento europeo. La que más se le asemeja es la del «responsable de seguridad», que el responsable de tratamiento debía nombrar cuando los datos personales tratados requerían la adopción de medidas de seguridad de nivel medio y alto.

Según el nuevo reglamento, el delegado de protección de datos es obligatorio en los siguientes casos:

  • Cuando el responsable de tratamiento es una autoridad u organismo público.
  • Ante aquellos responsables y/o encargados de tratamiento que realicen, entre sus actividades principales, operaciones de tratamiento que requieran una observancia habitual y sistemática de interesados a gran escala, o que traten a gran escala categorías especiales de datos (de salud, biomédicos, genéticos, etc.).

En principio, y en espera de lo que se establezca en la nueva Ley de Protección de Datos española (en la actualidad pendiente de aprobación en el congreso de los diputados), el farmacéutico titular propietario de la oficina de farmacia no debería estar obligado a nombrar un delegado de protección de datos. De hecho, las directrices sobre delegados de protección de datos del Grupo de Trabajo sobre Protección de Datos del artículo 29 de la directiva 95/46/CE (órgano consultivo independiente de la UE en materia de protección de datos y privacidad) definen que el tratamiento de datos de pacientes por parte de un solo médico u otro profesional de la salud no constituye tratamiento a gran escala, por lo que se entiende que ése sería el caso del farmacéutico titular de la oficina de farmacia. No obstante, el reglamento admite que los Estados miembros exijan en sus respectivas normativas la designación de delegados de protección de datos en otros supuestos, por lo que deberemos esperar a lo que se establece sobre el particular en el texto definitivo de la Ley española.

 

1Exposición de motivos del Proyecto de Ley Orgánica de Protección de Datos.
2La información que ha de proporcionar el responsable puede ser expuesta de manera sencilla y escueta, proporcionando un link a una página web en la que aparezca de forma más ampliada.

Destacados

Lo más leído