Agencia PS Valencia Metropolitana
Líderes en
"Soluciones para el Cumplimiento"

Actualidad

 
¿Qué obligaciones tendrá que llevar a cabo el sector de las farmacias para cumplir con la LOPDGDD?
31 de Julio

En muchas ocasiones no somos conscientes de la cantidad de datos personales que cedemos a diferentes empresas u organizaciones. Además, por norma general, tampoco tenemos muy claro la importancia que conlleva ceder dichos datos así como las obligaciones derivadas de su tratamiento en materia de LOPDGDD.
 
En este post nos vamos a centrar en el sector de las farmacias, puesto que en mayor o menor medida todos alguna vez hemos cedido o cedemos datos personales. A continuación, se muestran aquellas obligaciones que tienen que cumplir las farmacias en base a la Ley Orgánica de Protección de Datos y Garantías de los Derechos Digitales y en su respectivo Reglamento.
 
Como comentábamos en anteriores publicaciones, en general, todas las farmacias tratan datos de carácter personal, tanto en formato papel como informatizado. Dichos datos están relacionados con clientes, proveedores, empleados, etc. Y, tanto el tratamiento como almacenamiento de los mismos deriva en diferentes obligaciones, todas recogidas tanto en la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los Derechos Digitales.; y, por otra parte, el Reglamento General de Protección de Datos.
 
Las farmacias, aunque en muchas ocasiones no seamos conscientes, recogen y tratan multitud de datos como por ejemplo la gestión de los libros oficiales, gestión de recetas, dosificación de medicamentos, etc. Por tanto, dichas actividades recogen datos personales y más concretamente de salud, lo que significa que SÍ tendrán que adaptarse a la nueva normativa (LOPDGDD).
 
El artículo 9 de la LOPDGDD caracteriza los datos de salud como datos sensibles o de alto riesgo, ya que por su relevancia e importancia deben de ser tratados y almacenados con mayor cuidado así como cumpliendo una serie de obligaciones. Por lo que, el sector de las farmacias va a ser objeto de posibles denuncias por parte de los clientes al poder vulnerar la privacidad de sus datos, considerados especialmente protegidos.
 
Tanto si se trata de una organización o entidad o si eres una persona autónoma vas a tener que llevar a cabo un correcto manejo de los datos personales en función a lo que marca la nueva LOPDGDD y el RGPD.
 
Las principales obligaciones que se derivan del tratamiento de datos personales considerados como Riesgo Alto, independiente de la personalidad jurídica seleccionada, son las siguientes:
 
Realizar un Registro de actividades de tratamiento (Art. 30 del RGPD): 
El responsable en este caso de la farmacia y, en su caso, su representante tendrá que realizar un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener la siguiente información: el nombre y los datos de contacto del responsable y, en su caso, del corresponsable, del representante del responsable, y del delegado de protección de datos; la finalidad del tratamiento, una descripción de las categorías de interesados y de las categorías de datos personales; las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales, etc.
 
Elaborar un documento de seguridad de nivel alto (Art. 32 del RGPD)
“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”.
 
Identificar y elaborar un análisis de riesgos
El análisis de riesgos es un análisis previo que tiene como objetivo establecer las medidas de seguridad y control orientadas a cumplir los principios de protección desde el diseño y por defecto que garanticen los derechos y libertades de las personas. En este análisis habrá que describir adecuadamente las actividades de tratamiento. Además habrá qué responder a cómo se han capturado esos datos, cómo se clasifican y/o almacenan, que uso se les da, si se ceden o se realizan transferencias de datos a un tercero para su tratamiento y de qué manera se destruyen.ç
 
Realizar una evaluación de impacto (Art. 35 del RGPD)
Las farmacias al tratar con datos sensibles, es decir datos de salud, deberán de realizar una evaluación de impacto. Esto se plasmará sobre un documento donde aparecerán las características del tratamiento así como las mediadas adoptadas para reducir los riesgos.
 
Consentimiento de los clientes
El sector de las farmacias para poder tratar con los datos personales de los clientes, necesitarán obligatoriamente un documento firmado por los mismos, ya sea en formato papel o digital, que demuestre que dichos clientes han dado su consentimiento expreso. En este documento aparecerá la finalidad de los datos que se van a utilizar, si se van a ceder esos datos, los destinatarios de los mismos, etc.
 
Contratos de encargo de tratamiento
En el momento en el que se trabaja con terceros, es decir, con la gestoría, empresa de informática, empresa de videovigilancia, etc., necesitaremos firmar un contrato entre el encargado de tratamiento y el responsable de la farmacia para garantizar así un adecuado tratamiento de los datos (Artículo 28 del RGPD).
 
Cumplir con el deber de confidencialidad
Se debe de garantizar que todo el personal cumple con los deberes de secreto, confidencialidad y seguridad establecidos. Para ello deberemos informar correctamente a nuestros empleados, así dispondrán de los conocimientos necesarios sobre el tratamiento y custodia de datos de Riesgo Alto.
 
Derechos de los interesados (Art. 15, 16, 17,18, 20, 21 del RGPD)
Los interesados en todo momento podrán ejercer los derechos acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento.
 
Además, si tienen cámaras de videovigilancia tendrán que poner en un lugar visible un cartel informando de la existencia de dichas cámaras, y en el caso de tener página Web deberán tener los textos legales, es decir la política de privacidad y la política de cookies, actualizados a la nueva normativa LOPDGDD. Por último, según el artículo 39 del Reglamento General de Protección de Datos, si las farmacias tratan con gran cantidad de datos es necesario que dispongan de un Delegado de Protección de datos (DPO). Esta figura podrá ser una persona externa o bien un trabajador interno de la empresa.
 
Remarcar que al igual que ocurre en empresas de otros sectores, que por el hecho de disponer de datos personales se ven obligadas a cumplir con las correspondientes obligaciones, las farmacias están igualmente obligadas y cualquier incumplimiento puede acarrear multas que oscilan los 20.000.000 o 10.000.000 de euros o una cuantía equivalente al 4% o al 2% de la facturación, por lo que como vemos es importante asegurarse de que se cumple correctamente con la normativa.
 
En PREVENSYSTEM disponemos de consultores/as especializados en materia de protección de datos personales. Podemos ayudarte a que aprendas a gestionar de manera correcta como empresa que trata con datos personales de terceros y por tanto como responsable de los mismos.
 
Podéis visitar nuestra web donde encontraréis toda la información sobre los productos de formación de LOPD disponibles y también el área de consultoría LOPD.
 
 
Empresa Responsable con el VIH  y el Sida en EspañaFundación Metal AsturiasWorld Compliance AssociationSTAREGISTERPLAN DE RESPONSABILIDAD SOCIAL DE ARAGÓNTarjeta Profesional de la ConstrucciónMicrosoftHiscoxEmpresa colaboradora Un Reto Social EmpresarialRecomendados por AEPSALEstrategia de emprendimiento y empleo jovenMiembros firmantes del Pacto de LuxemburgoEntidad Acreditada por Servicio de Prevención AjenoMiembros de AENOAUniversidad de San JorgeIntedyaPrevilaborFondo Social Europeo
PrevenSystem 2019