Consejos principales para gestionar la protección de datos en la farmacia

La gestión de la protección de datos en el ámbito de la oficina de farmacia se ha convertido en una de las principales prioridades legales de los farmacéuticos en los últimos años. La implantación de las medidas de seguridad en la farmacia, los conceptos y principios clave que hay que conocer, la legislación aplicable y las principales obligaciones que exige la ley son los puntos que se trataron en el seminario web “Nuevos retos – Protección de datos en la farmacia” de Educó + Health Academy de Cofares, que ha sido impartido por Carlos Sánchez Oliver, Delegado de Protección de Datos de Cofares.

“En la era digital en la que nos encontramos, la digitalización crea oportunidades y es necesario conjugar el tratamiento de datos del día a día de la farmacia con el cumplimiento normativo”, apuntó este experto. No solo hay que tener un conocimiento de la normativa, que incluye multas y obligaciones de carácter administrativo, también es necesario saber qué son los datos personales, en qué consiste el tratamiento y los principios básicos de actuación. Dato personal es toda información referida a una persona física identificada o identificable (por ejemplo, nombre, apellidos, domicilio, localización IP, chips, etc.,) e incluso puede haber un conjunto de datos que aparentemente no tienen referencias personales, pero pueden llegar a identificar a una persona. La Agencia Española de Protección de Datos es la entidad administrativa que vela por el cumplimiento de la normativa y tiene facultad para imponer sanciones de hasta 20 millones de euros.

El tratamiento de los datos puede consistir en la recogida, la conservación, la supresión, la consulta o la limitación en el acceso, entre otros aspectos. Por eso es importante conocer que existen datos especialmente protegidos, como los de tipo étnico, político, genético, de salud, orientación sexual, etc., ya que tienen una protección reforzada y hay que evaluar el impacto que pueda tener su uso en los derechos y libertades de las personas.

Sánchez Oliver destacó que en el ámbito de la protección de datos hay que tener “una responsabilidad proactiva, que consiste en cumplir y demostrarlo, así como por defecto y desde el diseño, de modo que todas las iniciativas que traten datos personales en la farmacia deben tener en cuenta la protección de datos”. Los principios básicos, como la exactitud, la limitación de la finalidad del tratamiento, la limitación del plazo de conservación, la integridad o la confidencialidad, hay que tenerlos en cuenta en las diferentes actuaciones exigibles.

Medidas de seguridad a tener en cuenta a la hora de tratar los datos

Entre las medidas de seguridad que pueden destacarse, hay que atender a la necesidad de contar con espacios de cortesía para la atención al público que permita la privacidad de la consulta, en la documentación evitar imprimir y guardar bajo llave, en los sistemas informáticos contar con bloqueo de los equipos, antivirus y copias de seguridad, así como contar con contraseñas seguras, y que no se encuentren a la vista.

Dentro de las obligaciones que se exigen para el cumplimento de la normativa Carlos Sánchez Oliver destacó el Registro de Actividades de Tratamiento (RAT) y la evaluación del riesgo. La farmacia debe incluir en el denominado RAT una suerte de inventario de actividades que permitan identificar los tratamientos que se realizan en la farmacia: los fines del tratamiento, la legitimación, la categoría de los titulares de los datos, la categoría de los datos tratados, los destinatarios, las transferencias internacionales, el plazo de conservación y las medidas de seguridad. Por este motivo, este experto destacó la necesidad de que la farmacia se encuentre asesorada por un profesional.

Otra obligación de la farmacia es el deber de informar sobre cómo trata los datos, puede hacerse mediante una locución telefónica, puede ser por escrito, a través de un cartel físico, en los correos electrónicos y en la página web (la denominada política de privacidad).

La evaluación del riesgo del tratamiento de los datos es otro de los apartados relevantes, ya que pretende medir el impacto existente sobre la privacidad para poder adoptar medidas de seguridad. Por ejemplo, si el riesgo es medio – alto “hay que hacer un plan de medidas para mitigar el riesgo” y en el supuesto de que “el riesgo permanezca alto hay que consultar a la Agencia Española de Protección de Datos para ver si es viable o no el tratamiento”.

Otro de los aspectos a tener en cuenta es el ciclo de vida de los datos personales, que está relacionado con los plazos de conservación (1, 4 ó 6 años en función de la finalidad de tratamiento). También hay que tener en cuenta la Ley de Servicios de la Sociedad de la Información, que exige incluir en las comunicaciones comerciales el consentimiento (no está permitida la utilización de casillas preseleccionadas), la relación contractual previa, la oposición en el momento de la recogida, que haya un sistema automatizado y que el remitente sea conocido.

Las brechas de seguridad en el entorno de la farmacia son incidentes que afectan a los datos de carácter personal y pueden ser accidentales o intencionados. Estos incidentes pueden ser relacionados con la integridad de los datos (si hay manipulación o alteración), con la confidencialidad (accesos no autorizados) y con la disponibilidad (pérdida de acceso). Para la gestión de estas situaciones “es necesario contar con ayuda externa, así como con herramientas y aplicaciones que cumplan”.