Protección de datos: No vale el café para todos

Protección de datos: No vale el café para todos

Esta semana Inma Riu y Guillermo Bagaria, al hilo de una charla que tuvo lugar en el Colegio Oficial de Farmacéuticos de Barcelona, me lanzaron el guante a través de Twitter para que hablara en el blog sobre protección de datos y, en concreto, sobre qué cosas se hacen mal en la farmacia. Yo añado que debe ser particular de cada farmacia y que no vale el café para todos. Continuar leyendo “Protección de datos: No vale el café para todos”

Datos de la tarjeta de crédito en e-commerce. El caso de Groupon.

La empresa de cupones Groupon ha sido sancionada por almacenar los datos de la tarjeta de crédito de sus clientes contraviniendo lo establecido en la normativa de protección de datos. Esto obliga a una reflexión por la farmacia, donde se recogen cada vez más datos personales, sobre todo a través de las redes sociales y del e-commerce. Continuar leyendo “Datos de la tarjeta de crédito en e-commerce. El caso de Groupon.”

¿Tengo bien hecha la protección de datos en mi farmacia?

Por todos es conocido que la farmacia maneja datos de protección alta, que necesita de medidas de seguridad específicas y que, además, debe velar para que su documento de seguridad esté actualizado con toda la documentación relevante incorporada. Pero, ¿cómo gestiona la farmacia sus obligaciones en materia de protección de datos? ¿se hace bien?

Veamos algunos apuntes para dar luz sobre el tema.

1. No todos los datos que recoge la farmacia pueden hacerse sin consentimiento expreso, bajo el paraguas de la atención farmacéutica. Deberá analizarse qué datos se recogen para finalmente discernir cuáles precisan de consentimiento y cuáles no.

2. Aunque la ley obligue a recoger algunos datos e incorporarlos a libros oficiales (por ejemplo el DNI del que recoge la medicación en el libro de estupefacientes), la farmacia debe dar de alta los ficheros en la AGPD y tener su documento de seguridad actualizado.

3. El haber hecho una vez la protección de datos no es suficiente. Hay que hacer auditorías cada dos años y, además, cada cosa nueva que se implante en la farmacia que afecte a datos personales deberá ser analizada, de modo que en ocasiones supondrá dar de alta nuevos ficheros o modificar los datos que están recogidos en la notificación de la AGPD, o cambiar el documento de seguridad, entre otras cosas.

4. En la farmacia cada vez más hay sociedades. No debe olvidarse que ellas también tienen sus ficheros y por tanto su protección de datos. Debe saberse que si esos datos son de la sociedad no son de la farmacia y viceversa. No se debe y ni se puede mezclar.

5. Hay farmacias que piensan que sólo ha de darse de alta lo que está en el ordenador. Se trata de un craso error. También han de darse de alta los ficheros en papel y en esa categoría entran por ejemplo, los cuadernos que el farmacéutico tiene con datos de clientes y los medicamentos que toman. También estos ficheros deben de estar en el documento de seguridad con todas las políticas de acceso necesarias.

6. Cada vez más farmacias tienen datos en tablets o smartphones y ahí también entra la protección de datos. Al hacer la protección de datos y redactar el documento de seguridad hay que tener en cuenta todo tipo de hardware, todo tipo de soportes.

7. Cada vez se habla más de la cartera de servicios en la farmacia. Pues bien, la apertura de la farmacia a nuevos servicios suele implicar nuevos datos y nuevos ficheros, por tanto una modificación de lo que ya se haya hecho en la farmacia. Si la farmacia hace SPD, por ejemplo, deberá tener su fichero declarado en la AGPD y, además, figurar en su documento de seguridad.

8. Una cosa cada vez más implantada es la tarjeta de fidelidad. Aquí hay que prestar gran atención porque los datos que recoge el farmacéutico, en algunas ocasiones como masfarma o farmapremium no son del farmacéutico, no los puede usar y tratar para su uso en la farmacia como propios. Son de la sociedad que gestiona la tarjeta. Hay que ser conscientes de qué es de la farmacia y qué no es, de qué datos es responsable la farmacia y de cuáles es encargada de tratamiento, así como de las obligaciones que tiene respecto de esos datos.

9. Tampoco el farmacéutico puede quedarse con datos a través de programas de venta online y recogida en la farmacia como los de www.promocionesfarma.com en cuyas condiciones expresamente se dice que: “Salvo consentimiento expreso por parte del titular de los datos o cliente final, el establecimiento farmacéutico donde se realizará el canjeo de los cupones no obtendrán datos personales del cliente o tercero que acuda a recoger el pedido”.

10. El responsable del fichero debe saber dónde tiene el documento de seguridad y debe estar en la farmacia, no en casa, en el coche o en el trastero. Por otro lado el documento de seguridad es algo vivo, debe ir actualizándose.

La protección de datos es un tema importante y su elaboración debe confiarse a un profesional, a quien pueda acudirse en caso de duda, que sea accesible y que sepa explicar bien lo que pasa en la farmacia. A pesar de ser igual la ley para todos, la farmacia tiene sus especialidades y sólo quien se mueve en ese mundo será capaz de realizar un trabajo completo y aconsejar para no incurrir en ilegalidades.

WhatsApp en la farmacia: algunos apuntes legales

En un post anterior comenté qué decía la AGPDCAT sobre el uso de Whatsapp desde el punto de vista profesional y, a tenor de lo que he podido pulsar en el sector, ha dejado a las farmacias con ganas de saber más. A la vista del informe hay que sacar conclusiones prácticas ya que hay dos cuestiones diferentes, por un lado el hecho del incumplimiento de Whatsapp (que deberá ser perseguido por las autoridades y en el que la farmacia no tiene participación alguna) y, por otro, la responsabilidad de la botica en el uso de Whatsapp por aplicación de la LOPD y su reglamento. Como es lógico me voy a centrar en las medidas que deben tomar las farmacias.

logo whatsapp
WhatsApp en la farmacia

La primera pregunta que ha de hacerse el farmacéutico es Continuar leyendo “WhatsApp en la farmacia: algunos apuntes legales”

¿Puede ponerse en una medalla un código QR con los datos personales y el historial clínico de un paciente?

Hoy vamos a hablar de códigos QR, sí, esos cuadraditos ininteligibles que se leen con un Smartphone.

El tema de fondo responde a la idea de que algunos pacientes vayan con un código QR en una medalla colgada al cuello, como ocurre con la plaquita del grupo sanguíneo, y ahí vayan datos personales, como son el nombre, la dirección o teléfono y, además, información médica como qué enfermedad tienen, por ejemplo, Alzheimer, problemas cardíacos, diabetes, etc.

Código qr
Código qr

La idea a priori a todos nos parece bien si pensamos en un familiar, por ejemplo con Alzheimer ya que da tranquilidad saber que si se pierde quien lo encuentre va a saber quién es, cómo localizar a sus familiares y que tiene esa enfermedad.

Entonces , ¿cuál es el problema?

Unos amigos americanos me decían hace poco que en España todo se complica, que cualquier idea tiene que saltar demasiados obstáculos legales y que eso lastra el desarrollo de este país. En parte esto ocurre aquí. La idea es buena, muy buena. Si preguntáramos, a la gente casi todo el mundo diría que le parece bien, sobre todo si tiene familiares con problemas de salud importantes o está expuesta a ellos. Pero, aquí el problema, no es si es útil o no, sino de protección de datos ya que puede que la persona que encuentre al anciano utilice esos datos para otros fines. Por tanto, la problemática gira en torno al acceso a los datos y cómo se articula la cesión de los mismos a esos terceros (por ejemplo un policía o una persona caritativa), así como a la finalidad de la entrega de esa información.
Y todo el problema existe porque un código QR se puede leer con cualquier móvil Smartphone.

He comentado lo de mis amigos americanos porque a más de uno se le puede ocurrir la siguiente contrapregunta: ¿no es lo mismo si el anciano va con una tarjeta en su bolsillo en la que está escrita la información personal y sus datos médicos, que es lo que se ha hecho toda la vida? Pues sí y no, depende. Pero lo que está claro es que en esos casos, donde todo está escrito en papel, nadie se ha planteado la vulneración de la LOPD. Pero tampoco conozco que se haya planteado problema alguno por colgarse una placa con el nombre y grupo sanguíneo .

Qué dice la Agencia de Protección de Datos: Planteamiento jurídico

Esta cuestión se ha resuelto por la Agencia de Protección de Datos en un informe reciente, el 12/2013 que se puede descargar en http://bit.ly/13gIsxk y cuyas líneas de argumentación son las siguientes:

• Tiene que haber un consentimiento inequívoco y expreso por el portador de la medalla, para llevar sus datos en un código QR (donde están grabados y conservados) que puede ser accesible desde cualquier Smartphone. Esto significa que no vale con que el hijo o el cuidador le haga la medalla y se la cuelgue.

• El consentimiento del usuario de la medalla con el código QR no implica que quepa cualquier tratamiento de los datos, dado que se trata de datos de protección alta. Llevar colgada la medalla no autoriza per se a que cualquiera pueda leer/descargar los datos del código QR.

• Los datos que se contengan en la medalla han de ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades explícitas y legítimas para las que se han recogido. Además tienen que estar actualizados. Esto implica que hay que ver si la recogida de los datos personales y de historial médico son necesarios para la finalidad pretendida (por ejemplo, para que el anciano perdido pueda ser devuelto a su casa o a la residencia de ancianos parece que no es necesario el historial médico, pero sí si el portador de la medalla tiene problemas cardíacos)

• La ley 41/2002 establece que la finalidad principal de la historia clínica es “facilitar la asistencia sanitaria”. Por ello se deberán detallar las medidas de seguridad que se adoptarán para asegurar que los datos médicos sólo sean accesibles para los servicios sanitarios y no por cualquier tercero.

Cuál es la conclusión de la AGPD:

• “No existe obstáculo en la inclusión de datos personales en un código QR, siempre que, existiendo consentimiento informado del portador de la medalla en los términos indicados, sólo se incluyan en el mismo los datos estrictamente necesarios para el cumplimiento de las finalidades pretendidas, lo que dependerá de cada tipo de usuario y de enfermedad”.

• “Deberán adaptarse las medidas de seguridad que correspondan en cada caso, en los términos del Título VIII del Real Decreto 1720/2007 de 21 de diciembre”.

• “Si la finalidad es que únicamente accedan a dichos datos el personal sanitario que vaya atender al paciente en situación de emergencia o accidente, deberían implantarse medidas que no permitieran el acceso a esta información por terceros”.

Mi opinión

La argumentación de la AGPD es muy correcta y aplica la norma actualmente vigente de forma irreprochable.

Yo, además, traigo al debate otra interpretación, sobre la base de que toda ley (aún siendo imperativa) debe interpretarse de acuerdo con los otros derechos que hay en conflicto. En este caso habría de ponerse en la balanza la protección de datos personales, en un platillo, y el derecho a la salud, en el otro, a fin de determinar qué derecho (ambos constitucionales) tiene más peso. Considero que la salud y la vida humana tiene más peso que la protección de datos en un caso como el expuesto. Ello porque, desde mi perspectiva, es preferible el acceso por un tercero, aunque no sea del servicio de emergencias, a los datos de un señor para salvarle la vida, que, en aras de la protección de datos, no quepa el acceso a sus datos y se muera.

Pero reconozco que conjugar ambos derechos es difícil. Por eso sí creo, siguiendo a la AGPD, que es importante que en esa medalla no esté todo el historial médico del que habla la Ley de Autonomía del Paciente (por ejemplo los consentimientos informados o las radiografías), sino sólo aquellos datos médicos que en un momento de emergencia puedan ser relevantes.