Las Farmacias son establecimientos sanitarios obligados al cumplimiento del Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 de protección de datos y garantía de los derechos digitales (LOPDGDD). El tratamiento habitual y sistemático de datos de salud que realizan implica un mayor riesgo de sanciones de elevada cuantía en caso de incumplimiento. En ocasiones, aunque los titulares tengan intención de cumplir la legalidad, la falta de información o de conciencia respecto al riesgo les hace incurrir en errores que se repiten de un establecimiento a otro. Para alertar sobre ello, les describimos aquellos más comunes:
1. NO INFORMAR A LOS CLIENTES/PACIENTES
La farmacia está obligada a informar a sus clientes, en virtud del principio de transparencia, acerca de las circunstancias y condiciones de los tratamientos de datos que vaya a efectuar, así como de los derechos que les asisten. La información se debe poner a disposición de los interesados en el momento en que se soliciten los datos, previamente a la recogida o registro. La forma más sencilla de hacerlo es mediante un cartel informativo expuesto en lugar visible que incluya todos los aspectos necesarios que el paciente deba conocer. Es común que no se coloque el cartel, o que se coloque en lugares poco visibles para el paciente, lo cual anula el cumplimiento de esta obligación.
2. NO FORMAR ADECUADAMENTE AL PERSONAL EN PROTECCION DE DATOS
Las principales sanciones vienen provocadas por la falta de formación de los trabajadores en cuanto al uso y tratamiento de los datos personales que manejan en el desarrollo de sus funciones. Informar y formar a los trabajadores es una inversión que el titular de la farmacia debe priorizar para mitigar el riesgo de infracciones y crear un clima de cumplimiento que genere respeto a las normas. Un documento interno de carácter vinculante para todo el personal, que contenga medidas técnicas y organizativas de acuerdo con el RGPD para proteger los datos personales que gestiona la farmacia, puede reducir considerablemente el peligro de infracción. Es común que los empleados estén ajenos a las obligaciones, porque no reciben las cláusulas o políticas de protección de datos, o porque las firman sin leerlas, y en estos casos, la responsabilidad recae en el establecimiento. Lo importante no es solo que el trabajador firme el compromiso, sino que lo entienda, por lo que los cursos o charlas sencillas son indispensables para este fin.
3. CONTRATAR PROVEEDORES QUE NO OFRECEN GARANTIAS
A la hora de elegir a un prestador de servicios, y más aún si éste tuviera la consideración de Encargado de Tratamiento, el precio, la cercanía o la amistad no pueden ser factores determinantes. La farmacia debe inclinarse por aquellos que, en su deseo por cumplir con la normativa vigente de protección de datos, han hecho un esfuerzo extra y son capaces de demostrar su nivel de cumplimiento y compromiso mediante certificado emitido por asesoría de protección de datos, adhesión a código de conducta, política interna o designación de Delegado de protección de datos, entre otros aspectos. Contratar un encargado que no cumpla la normativa es una sanción tipificada como grave y sancionada con hasta 10.000.000€. Es común que las farmacias no firmen los contratos de encargados de tratamiento, o no verifiquen, como obliga la norma, si el encargado elegido cumple adecuadamente la normativa. Sin embargo, si se diera el caso de que el encargado, por ejemplo, divulgara datos personales titularidad de la farmacia, a falta de contrato y garantías, la responsabilidad recaerá en la propia farmacia.
4. COPIAS DE SEGURIDAD INTERNAS Y POCO FRECUENTES
Estamos ante una medida indispensable para garantizar la continuidad del negocio y conservar la confianza que nuestros clientes han depositado en nuestra organización. No son válidas las copias internas entre equipos en red. Se deben realizar en un soporte diferente al que almacena los datos de forma principal y que cumpla las debidas medidas de seguridad (ej. cifrado, contraseñas, encriptación, etc): disco duro externo, pendrive o en la nube (exigiendo garantías de seguridad a la empresa que nos preste este servicio). La frecuencia de las mismas, tratándose datos de salud, debe ser diaria. Algunas farmacias ni siquiera saben si su información se resguarda en la nube o en el propio pc, y tampoco se preocupan por garantizar su encriptación. Recomendamos siempre realizar pruebas de contingencia para comprobar si la copia esta realizándose correctamente. La falta de medidas técnicas adecuadas al riesgo, como en este caso, podría suponer sanción segura en caso de incidente o denuncia.
5. RECOGIDA DE CURRÍCULUM (CV) EN PAPEL
Los CV recibidos en papel en la Farmacia ponen en riesgo la seguridad de la información que contienen puesto que suelen traspapelarse o perderse. Para mitigar el riesgo, se deberá establecer, como única vía de recepción, el correo electrónico, eliminando aquellos que no se vayan a conservar e informando, mediante una respuesta automática, por ejemplo, de los datos del responsable, finalidad, legitimación, derechos, cesiones y plazos de conservación, que para este tratamiento será de dos años.
6. RECICLADO O DESTRUCCION DOCUMENTAL SIN SEGURIDAD
Reciclar solo con garantías, de una forma segura. Se acabó usar el papel con datos personales por la otra cara, romperlos por la mitad o hacerlos una pelota para encestar en la papelera. Numerosas sentencias condenando a empresas, hospitales o laboratorios por aparecer en la basura información confidencial tendrían que transformarnos en diligentes agentes en pro de la destrucción más absoluta. Si el paciente tira su receta y informe medico sin destruir a la papelera de la farmacia, está poniendo en riesgo el cumplimiento de esta medida. Por ello, se le debe indicar que se la lleve o la deje en manos del farmacéutico para su destrucción segura.
Beatriz Valle
