¿Tengo bien hecha la protección de datos en mi farmacia?

Por todos es conocido que la farmacia maneja datos de protección alta, que necesita de medidas de seguridad específicas y que, además, debe velar para que su documento de seguridad esté actualizado con toda la documentación relevante incorporada. Pero, ¿cómo gestiona la farmacia sus obligaciones en materia de protección de datos? ¿se hace bien?

Veamos algunos apuntes para dar luz sobre el tema.

1. No todos los datos que recoge la farmacia pueden hacerse sin consentimiento expreso, bajo el paraguas de la atención farmacéutica. Deberá analizarse qué datos se recogen para finalmente discernir cuáles precisan de consentimiento y cuáles no.

2. Aunque la ley obligue a recoger algunos datos e incorporarlos a libros oficiales (por ejemplo el DNI del que recoge la medicación en el libro de estupefacientes), la farmacia debe dar de alta los ficheros en la AGPD y tener su documento de seguridad actualizado.

3. El haber hecho una vez la protección de datos no es suficiente. Hay que hacer auditorías cada dos años y, además, cada cosa nueva que se implante en la farmacia que afecte a datos personales deberá ser analizada, de modo que en ocasiones supondrá dar de alta nuevos ficheros o modificar los datos que están recogidos en la notificación de la AGPD, o cambiar el documento de seguridad, entre otras cosas.

4. En la farmacia cada vez más hay sociedades. No debe olvidarse que ellas también tienen sus ficheros y por tanto su protección de datos. Debe saberse que si esos datos son de la sociedad no son de la farmacia y viceversa. No se debe y ni se puede mezclar.

5. Hay farmacias que piensan que sólo ha de darse de alta lo que está en el ordenador. Se trata de un craso error. También han de darse de alta los ficheros en papel y en esa categoría entran por ejemplo, los cuadernos que el farmacéutico tiene con datos de clientes y los medicamentos que toman. También estos ficheros deben de estar en el documento de seguridad con todas las políticas de acceso necesarias.

6. Cada vez más farmacias tienen datos en tablets o smartphones y ahí también entra la protección de datos. Al hacer la protección de datos y redactar el documento de seguridad hay que tener en cuenta todo tipo de hardware, todo tipo de soportes.

7. Cada vez se habla más de la cartera de servicios en la farmacia. Pues bien, la apertura de la farmacia a nuevos servicios suele implicar nuevos datos y nuevos ficheros, por tanto una modificación de lo que ya se haya hecho en la farmacia. Si la farmacia hace SPD, por ejemplo, deberá tener su fichero declarado en la AGPD y, además, figurar en su documento de seguridad.

8. Una cosa cada vez más implantada es la tarjeta de fidelidad. Aquí hay que prestar gran atención porque los datos que recoge el farmacéutico, en algunas ocasiones como masfarma o farmapremium no son del farmacéutico, no los puede usar y tratar para su uso en la farmacia como propios. Son de la sociedad que gestiona la tarjeta. Hay que ser conscientes de qué es de la farmacia y qué no es, de qué datos es responsable la farmacia y de cuáles es encargada de tratamiento, así como de las obligaciones que tiene respecto de esos datos.

9. Tampoco el farmacéutico puede quedarse con datos a través de programas de venta online y recogida en la farmacia como los de www.promocionesfarma.com en cuyas condiciones expresamente se dice que: “Salvo consentimiento expreso por parte del titular de los datos o cliente final, el establecimiento farmacéutico donde se realizará el canjeo de los cupones no obtendrán datos personales del cliente o tercero que acuda a recoger el pedido”.

10. El responsable del fichero debe saber dónde tiene el documento de seguridad y debe estar en la farmacia, no en casa, en el coche o en el trastero. Por otro lado el documento de seguridad es algo vivo, debe ir actualizándose.

La protección de datos es un tema importante y su elaboración debe confiarse a un profesional, a quien pueda acudirse en caso de duda, que sea accesible y que sepa explicar bien lo que pasa en la farmacia. A pesar de ser igual la ley para todos, la farmacia tiene sus especialidades y sólo quien se mueve en ese mundo será capaz de realizar un trabajo completo y aconsejar para no incurrir en ilegalidades.

Protección de datos en mi web de parafarmacia: contenido

Ya he comentado cómo, desde una perspectiva de Derecho, puede la farmacia tener una web y cuál es el futuro que espera al sector. Lo cierto es que Internet ha venido para quedarse y la farmacia debe estar ahí, antes o después. Pero, ¿qué hay que tener en cuenta para estar en Internet de forma legal? Empecemos por las páginas web de las boticas a través de las cuales se venden productos de parafarmacia (que es lo que hoy se puede hacer)

He hecho un pequeño estudio y me ha sorprendido que muchas páginas de Internet ligadas con la farmacia no cumplen, seguro que inconscientemente, con la Ley Orgánica de Protección de Datos (LOPD) ni con la Ley Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)

Qué errores he visto y qué ha de hacerse

1º Sobre el alta de fichero de clientes.
En toda página de Internet que vende hay unos clientes que compran y unos datos que se incorporan a un fichero. Este fichero ha de estar dado de alta en la AGPD. ¿Vale el de la Farmacia? Depende. Si tenemos constituida una sociedad para gestionar la parafarmacia y la venta online se canaliza a través de ella, la responsable del fichero es esta y no la farmacia. Por tanto, la sociedad ha de dar de alta el fichero (y otros que pueda haber, como proveedores) y tener un documento de seguridad, con todos sus anexos: libros de registro (incidencias, accesos, etc), contratos de confidencialidad, etc.

En caso de que la farmacia sea la titular de la web habrá de comprobarse que en la inscripción del fichero de clientes y en el documento de seguridad de la farmacia esté reflejada la recogida de datos a través la tienda online (y todo lo que ello supone). Pero si es un fichero independiente del de la farmacia física habrá de crearse y darse de alta en la AGPD, además de la obligación de incorporarlo en el documento de seguridad de la farmacia.

2º Sobre los derechos ARCO y el consentimiento.
Como hay clientes y se recogen datos online es importante tener bien resuelto, desde la perspectiva legal, la recogida del consentimiento y los derechos ARCO (acceso, rectificación, cancelación y oposición) de los clientes. Hay supuestos en los que se da por supuesto que se entregan los datos rellenando un formulario y hay un consentimiento implícito para que el receptor, la farmacia, pueda utilizarlos libremente, pero eso no es así. Un ejemplo puede ser que no se podrán remitir promociones, actualizaciones, ofertas al email proporcionado por el cliente virtual si no hay un consentimiento expreso para ello.

En definitiva, el cliente debe saber que los datos que entrega se van a tratar para una determinada finalidad (y la farmacia no podrá usarlos fuera de ellas) y si van a ser o no cedidos a terceros y cómo peder ejercer sus derechos de acceso, rectificación, cancelación y oposición. Pero además debe quedar claramente definido cómo el cliente otorga su consentimiento y para ello hay diversas formas, como la de dar la conformidad al rellenar el formulario haciendo un tic en una casilla al efecto, con lo que reconocemos haber leído y estar conformes con la política de protección de datos..

3º El aviso legal: obligatorio.
Toda página web ha de tener un “Aviso Legal” y he comprobado que en ocasiones falta o existe pero está incompleto. Ha de recordarse que, a veces, copiar lo que ha hecho alguien en Internet no es garantía de que esté bien, y pegarlo sin más en la página creada puede llegar a suponer una sanción en caso de inspección si no es un aviso completo o está mal hecho. El aviso tiene que tener todos los requisitos que establece la norma y es preferible invertir en una consulta jurídica y tener la tranquilidad de que legalmente está bien hecho.

4º La Política de privacidad: obligatorio.
También hay webs que no la incluyen y no vale con tener el fichero dado de alta y un documento de seguridad, o que se recoja el consentiemiento clicando en una casilla. Toda tienda online tiene que dar información de su Política de Privacidad, que podrá leer el cliente cuantas veces quiera, debiendo ser de fácil acceso. Ahí quedará definidos los datos que se recogen, los fines para los que se lleva a cabo su recogida y cómo se utilizan esos datos. Así mismo, se regula la forma de entregar el consentimiento por los clientes y cómo éstos pueden acceder a los datos ejerciendo sus derechos ARCO.

Si tenéis alguna duda o queréis que vuestra web esté completa desde la perspectiva de la LOPD y LSSI, no dudéis en contactar conmigo: farmaciayderecho@movistar.es

Otro día seguiremos con la presencia de las farmacias en las redes sociales como Facebook y qué hay que hacer para que legalmente esté todo bien.

Qué hacer con el curriculum vitae que se recibe en la farmacia y su afectación por la Ley de Protección de Datos

Estamos en crisis y tenemos una tasa de desempleo superior al 23%, por ello cada vez es más habitual que en las farmacias se reciban currículum vítae con los que no se sabe muy bien qué hacer, si en ese momento no se tiene en marcha un proceso de selección de personal.

Se trata de un claro caso de protección de datos, ya que en el curriculum el candidato puede incluir variados datos, incluso de salud (por ejemplo minusvalías), y sólo por recibirlo en la farmacia, ya se guarde o no, deberán adoptarse en la farmacia las medidas de protección, diligencia y seguridad adecuadas, conforme a la Ley de Protección de Datos, para su almacenamiento, tratamiento o, en su caso, destrucción.

Recibido el currículum el titular de la farmacia debe decidir entre desecharlo o guardarlo. Las obligaciones que asume son diferentes en cada caso, siendo también relevante cómo se haya recibido: en mano, por correo, email, página web u otro canal.

Si se opta por desecharlo deberá hacerse a través de un medio que impida la recuperación de la información. Por ejemplo, si están en formato papel se hará a través de destructora de papel o a través de empresas de destrucción certificadas de papel y, si están en formato electrónico (recibidos por email) a través de borrado efectivo. En consecuencia no es válido romperlos manualmente “en trocitos” ni tirarlos al contenedor azul de papel o, en su caso, guardarlos en el ordenador en la bandeja de entrada del correo electrónico.

Por el contrario, si se opta por conservarlo se incorporará a un fichero que deberá estar dado de alta en la Agencia de Protección de Datos con el nivel de seguridad que corresponda (recomendable el nivel alto) Ese fichero también constará en el documento de seguridad de la oficina de farmacia. Además, si el fichero en el que se incluye el curriculum es manual (porque el formato es en papel), deberá, entre otras cosas, guardarse en un armario cerrado con llave, determinarse quienes son los usuarios autorizados y establecerse un registro de accesos a través del cual pueda el responsable del fichero saber la consulta que se ha hecho, qué modificación se ha operado o qué se ha suprimido y por quién.

Además, la entrega de un curriculum por el candidato, aunque no se especifique, persigue un fin, que es su incorporación a un proceso de selección de personal en la farmacia receptora. Por tanto, los datos que se incluyan en el mismo no podrán ser utilizados por el farmacéutico titular para otras finalidades, ni podrá cederlos a otras farmacias o empresas sin el consentimiento expreso e inequívoco del candidato, titular de los datos. En este sentido, a modo ilustrativo, traigo a colación la resolución de la AGPD R/01568/2010 en la que se impone una multa de 60.121,21€ más 6.000€ por cederse un curriculum entre empresas sin consentimiento inequívoco del afectado. Y es que, más allá de la letra de la Ley Orgánica de Protección de Datos, la Audiencia Nacional exige una especial diligencia a la hora de operar con los datos de carácter personal, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos. (En este sentido, entre otras, sentencias de la Audiencia Nacional de fechas 24 de abril de 2001 y 3 de marzo de 2004).

A la vista de todo ello, lo más fácil sería no recoger ningún currículum, salvo que se esté buscando personal, ya que de esta forma se evita adoptar cambios en materia de protección de datos de la farmacia. Sin embargo, disponer de los datos de posibles trabajadores puede ser de indudable utilidad y no debe dar miedo guardar los currículum si el fichero está debidamente dado de alta en la Agencia de Protección de Datos y están las medidas de seguridad legales implantadas en la farmacia. Al fin y al cabo, este fichero sería sólo uno más a sumar a todos los que hoy en día tiene la farmacia, por lo que el titular, responsable del fichero, no se enfrentaría a algo totalmente nuevo.