La protección de datos en la farmacia

La protección de datos en la farmacia

La protección de datos en la farmacia es especialmente relevante, ya que las farmacias tratan datos personales de los catalogados como «especiales» (artículo 9 RGPD), por lo que deben observar las medidas de seguridad necesarias para garantizar un adecuado tratamiento, almacenamiento, conservación y destrucción de los mismos.

¿Cuál es la normativa que debe observar una farmacia en el tratamiento de los datos personales?

 

¿Cuáles son las obligaciones en materia de protección de datos con las que debe cumplir una farmacia?

1.INFORMAR

Hay que informar a los interesados del tratamiento de sus datos. Con un lenguaje claro y sencillo, tenemos la obligación de informarles de la base legal para el tratamiento de sus datos, los períodos de tiempo que vamos a almacenar sus datos, la posibilidad de ejercitar sus derechos,etc. Esta información puede ofrecerse por capas, y se podrán usar iconos normalizados. La información se ofrece por escrito, medios electrónicos, etc. Subsiste la obligación de establecer políticas de privacidad en las páginas web, establecer leyendas al pie de los correos electrónicos, insertar en los contratos o fichas de los clientes la oportuna política de privacidad etc.

Esta obligación de informar adquiere especial relevancia si tenemos una cámara de grabación, debiendo avisar con los carteles legales oportunos.

2. CONSENTIMIENTO

Es muy importante recabar el consentimiento cuando recabemos los datos del interesado con el fin de fidelizarle como cliente de nuestra farmacia. Cuando guardemos sus datos para realizar un encargo (de medicamentos, cremas, plantillas, etc.) no es necesario si tenemos un contrato firmado, pero si no podemos demostrar que nos ha realizado un encargo, será recomendable contar con su consentimiento para almacenar sus datos personales.

El consentimiento debe darse mediante un acto afirmativo claro. No se permite el silencio (consentimiento tácito, admitido con la legislación anterior), las casillas ya marcadas o la inacción. Cuando los datos personales los vayamos a utilizar para distintas cosas (por ejemplo, para utilizar su imagen en nuestra página web, pero además para el envío de promociones), será necesario recabar el consentimiento para cada uno de estos tratamientos.

3. REGISTRO DE ACTIVIDADES

Se establece la obligación de que cada responsable lleve un registro de las actividades de tratamiento. En dicho registro se debe contener la siguiente información: nombre y datos de contacto del responsable, fines del tratamiento, categorías de interesados y categorías de datos personales, a quién le vamos a comunicar esos datos, transferencias de datos a terceros países, plazos para la supresión de los datos y medidas técnicas y organizativas de seguridad.

Tenemos un modelo disponible de registro de actividades aquí.

4.EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS PERSONALES

Esta obligación va a depender del tamaño de nuestra empresa y de la categoría de datos que usemos. En el caso de las farmacias va a depender del volumen de datos que estemos utilizando ya que  nos encontramos ante categorías especiales de datos (de la salud).

La Agencia Española de Protección de Datos ha facilitado una guía para realizar esta evaluación, y puedes obtenerla aquí.

5.ENCARGADO DE TRATAMIENTO

Las farmacias tienen la obligación de celebrar un contrato por escrito con los encargados de tratamiento que designemos. Siempre que cedamos los datos que nos ha proporcionado una persona a otro sujeto, debemos celebrar con éste un contrato por escrito (por ejemplo, si contratamos una gestoría para que se encargue de la elaboración de nóminas de nuestros trabajadores la gestoría será considerada un encargado del tratamiento, y deberemos poseer el correspondiente contrato con los requisitos marcados por el reglamento). Además, se introduce una nueva figura, que es el corresponsable del tratamiento prevista para aquellos supuestos en que sean dos o más responsables que determinen los objetivos y los medios del tratamiento.

6.TRABAJADORES

Deberán firmar las correspondientes cláusulas informativas sobre sus obligaciones y derechos en torno a la normativa de protección de datos. No debemos olvidar que los datos de nuestros trabajadores también son personales, y como tales deben cumplir con la legislación protectora de los mismos. Si los trabajadores trabajan a su vez con datos personales de nuestros clientes, deberán ser informados de sus obligaciones en tales tratamientos.

7.EJERCICIO DE LOS DERECHOS DE LOS INTERESADOS

En el ámbito sanitario son varias las resoluciones de la AEPD en las que apercibe al responsable del tratamiento de los datos personales de su obligación de poner a disposición del interesado la documentación que se solicita.

Como ejemplo os dejo dos resoluciones:

resolucion historia clinica

resolucion aepd

Las imágenes han sido obtenidas de freepik.