¿Cómo afecta la fan page de la farmacia en Facebook a la protección de datos?

Cada vez más farmacias tienen una fan page en facebook (o página de marca) porque es una forma de interactuar como empresa con posibles clientes para conocer sus gustos e intereses y así incrementar ventas. Pero ¿has pensado si afecta a la protección de datos?. Sobre este tema hay varias cuestiones que la farmacia ha de tener en cuenta:

1. Al abrir la fan page la farmacia está recogiendo datos personales, esos datos son los de los seguidores y están integrados tanto por los personales propiamente dichos (ej. el nombre) como los derivados de la interactuación con el botón me gusta o los comentarios que se incluyan (estos datos son válidos para los análisis de perfiles). Además el fan conoce los nombres de otros fans y sus opiniones. En principio todos estos datos están bajo el paraguas de Facebook en lo que a protección de datos se refiere, sin embargo, si ese contenido o información de los fans se recopila y, por tanto se trata y utiliza con fines particulares, la fan page de la farmacia tiene la obligación de cumplir con la LOPD española.

2. Tener una page en facebook persigue un claro fin comercial, se buscan clientes y perfiles pudiendo definirse qué gusta y quieren los fans de la página a la vista del contenido que se inserta. Con ello, luego se pueden establecer políticas de marketing muy personalizadas. Por eso que tener una fan page es una forma de conseguir clientes y es la razón por la que los datos de los fans se trabajan. Pues bien, el fan tiene que saber que la farmacia recopila sus datos, debe dar su consentimiento para que se pueda utilizar el contenido e información recopilada y, en consecuencia, la farmacia debe informar sobre su política de protección de datos igual que si recogiera los datos con una ficha en papel en la farmacia. La fan page de la botica debe informar sobre el consentimiento, los datos que recoge, los fines que persigue y los derechos ARCO (acceso, rectificación, cancelación y oposición).

3. No vale con tener los disclaimers de protección de datos en la página web de la farmacia, ya que esa es otra vía de contacto y captación de datos, cuyas finalidades pueden no ser las mismas. Es en Facebook donde deben de quedar definidas las políticas de protección de datos de la fan page de la farmacia que, al ser española, deberán estar ajustadas a las previstas en la normativa española (y ello al margen de la política de protección de datos de Facebook, en EEUU)

4. Todo lo anterior implica que en el documento de seguridad de la farmacia o de la SL de parafarmacia (depende de cómo se de de alta la fan page) deben figurar las redes sociales utilizadas para la obtención y tratamiento de datos, los ficheros específicos que se generan o aquellos en los que se incorporen los datos obtenidos por esta vía, qué datos se recogen, cómo se hace y la finalidad que se persigue, entre otros temas. No debe olvidarse que el documento de seguridad debe estar vivo en la farmacia siendo obligación del responsable de los ficheros (el titular) mantenerlo actualizado.

5. Por último, e íntimamente unido al punto anterior, si los datos de los fans se incorporan a uno o más ficheros nuevos (p.e. clientes RRSS), estos deberán darse de alta en la AGPD. Pero incluso si se incorporan al fichero de clientes que esté ya dado de alta en la farmacia éste deberá modificarse, puesto que las finalidades y formas de recogida de la información serán posiblemente diferentes a las que estén notificadas a la AGPD.

El copago, el dato económico y su afectación a la protección de datos en la farmacia: el caso de las residencias de ancianos

Hasta ahora en las residencias de ancianos se recogían las recetas que prescribían a sus mayores, se entregaban a una farmacia para su dispensación y como los titulares de las recetas eran de pensionistas no se pagaba nada. A lo más se giraba una factura a la residencia si se compraban productos no financiados. Se trata este de un servicio que da la residencia y que evita que cada mayor tenga que salir con sus recetas a comprar su medicación.

Con la entrada en vigor del copago, cada residente tendrá un gasto farmacéutico que se deberá cobrar por el farmacéutico y que será diferente según el anciano. Pero, ¿cómo se debe hacer esto para que no haya problemas con la Ley de Protección de Datos? Si la residencia paga al tiempo de recibir la medicación, siendo ella la encargada de la gestión de las recetas, no hay problema, pero no puede afirmarse lo mismo cuando haya que girarse recibos y facturas, ya sea a la propia residencia o a los residentes.

En este último caso existen dos grandes opciones:

1. La farmacia dispensa las medicinas y para gestionar el cobro abre una ficha personal a cada anciano, ya sea en el programa de la aplicación farmacéutica o en otro programa creado “ad hoc”. En ella, además de los datos personales se incluiría el número de cuenta bancaria donde girar el gasto farmacéutico. Esto supone que de forma periódica el farmacéutico debe hacer una factura global del paciente y girar el importe. Aquí la residencia sólo interviene para llevar las recetas a la farmacia y para llevar el medicamento al residente.

2. La farmacia dispensa los medicamentos pero se factura a la residencia, de modo que sea ésta quien repercuta el gasto a los residentes de acuerdo con la factura que emita el farmacéutico, que deberá desglosar el gasto de cada paciente. En este caso toda la gestión de cobro la hace la residencia y la farmacia únicamente dispensa las recetas, debiendo quedarse con siguientes datos: el nombre del residente y la aportación, además de los productos dispensados, para incluir en la factura que a la farmacia le paga la residencia.

Es un hecho que el farmacéutico no se va a librar de emitir facturas con nombres de los residentes, gasto en que se ha incurrido e importe que han de abonar como aportación, ya sea emitidas a nombre de cada residente o una global a la residencia. Por eso que es importante que toda la gestión con la residencia quede bien protocolarizada desde la perspectiva de la protección de datos. Esto significa podemos estar, de modo simplificado, ante los siguientes escenarios:

1. Contrato anciano-residencia con autorización de cesión de datos. El anciano al tiempo de entrar en la residencia, ya sea personalmente o a través de tutor, firma un consentimiento informado de que sus datos van a ser cedidos a una farmacia en concreto con la finalidad de la gestión de sus recetas y medicamentos, y en el mismo deberá dejarse claro que será la botica la que emita los recibos correspondientes al importe de la aportación de la medicación que se ha dispensado. Esto implica, por tanto, que la residencia cede los datos, incluida la cuenta bancaria, a la farmacia, que tendrá que hacer los recibos y deberá llevar al banco para su cobro. A la vez, en el contrato entre residencia y anciano deberá hacerse constar el encargo a la residencia de la gestión de las recetas (llevada a la farmacia y recogida de medicamentos). Aquí hay un riesgo evidente de impago de facturas o de devolución de recibos.

2. Consentimiento del residente a la farmacia. Puede ocurrir que la residencia no haya pedido ese consentimiento informado o no quiera solicitarlo. En ese caso, la farmacia tendrá que pedirlo uno o por uno a cada residente, puesto que de otra forma no podrá tratar el dato económico-bancario para poder girarles la factura. No vale aquí la exposición al público de que se están tratando los datos económicos puesto que, sin entrar en otras disquisiciones, los residentes no son los que van a la Farmacia, se trata de consentimientos personales y no se garantizan los derechos ARCO. Por otro lado, en el mismo consentimiento que se hace en la farmacia deberá hacerse constar que el residente autoriza a la residencia a que gestione sus recetas y medicamentos en esa botica.

3. ¿Y qué pasa si el anciano no da el consentimiento a la residencia o a la farmacia para dar ese dato económico? Pues en este caso no cabe la opción de que se giren recibos o se cargue en la cuenta bancaria del anciano el importe de la aportación de los medicamentos dispensados y, por tanto, tendrá que ser el propio residente, los familiares o tutores, o incluso la residencia los que deberán encargarse de ir a la farmacia y recoger las medicinas prescritas. En el caso de que lo haga la residencia pueden a su vez producirse dos circunstancias, que pague directamente a la farmacia cada vez que recoge los medicamentos o, por el contrario, que la farmacia emita a la residencia una factura por el importe total de las aportaciones de las medicinas dispensadas y, para ello, necesita el dato del nombre del paciente y aportación y, además, el dato bancario de la residencia si se van a pasar recibos, debiendo todo ello constar en un contrato.

Y qué es lo mejor. Pues cada caso es diferente y las relaciones con las residencias difieren mucho unas de otras, así que la decisión es totalmente personal y todas pueden ser buenas. Lo único cierto es que el dato económico de los ancianos se va a tener que tratar directa o indirectamente por lo que, aprovechando la situación y dado que en muchos casos se tendrán que firmar contratos o consentimientos, se me ocurre que puede ser un buen momento para que las farmacias aporten un valor añadido a las residencias prestando sus servicios (diferentes a la mera dispensación de recetas), entre otras cosas y, por ejemplo, implantando sistemas de dosificación personalizada, que permite una óptima adherencia al tratamiento.

Qué hacer con el curriculum vitae que se recibe en la farmacia y su afectación por la Ley de Protección de Datos

Estamos en crisis y tenemos una tasa de desempleo superior al 23%, por ello cada vez es más habitual que en las farmacias se reciban currículum vítae con los que no se sabe muy bien qué hacer, si en ese momento no se tiene en marcha un proceso de selección de personal.

Se trata de un claro caso de protección de datos, ya que en el curriculum el candidato puede incluir variados datos, incluso de salud (por ejemplo minusvalías), y sólo por recibirlo en la farmacia, ya se guarde o no, deberán adoptarse en la farmacia las medidas de protección, diligencia y seguridad adecuadas, conforme a la Ley de Protección de Datos, para su almacenamiento, tratamiento o, en su caso, destrucción.

Recibido el currículum el titular de la farmacia debe decidir entre desecharlo o guardarlo. Las obligaciones que asume son diferentes en cada caso, siendo también relevante cómo se haya recibido: en mano, por correo, email, página web u otro canal.

Si se opta por desecharlo deberá hacerse a través de un medio que impida la recuperación de la información. Por ejemplo, si están en formato papel se hará a través de destructora de papel o a través de empresas de destrucción certificadas de papel y, si están en formato electrónico (recibidos por email) a través de borrado efectivo. En consecuencia no es válido romperlos manualmente “en trocitos” ni tirarlos al contenedor azul de papel o, en su caso, guardarlos en el ordenador en la bandeja de entrada del correo electrónico.

Por el contrario, si se opta por conservarlo se incorporará a un fichero que deberá estar dado de alta en la Agencia de Protección de Datos con el nivel de seguridad que corresponda (recomendable el nivel alto) Ese fichero también constará en el documento de seguridad de la oficina de farmacia. Además, si el fichero en el que se incluye el curriculum es manual (porque el formato es en papel), deberá, entre otras cosas, guardarse en un armario cerrado con llave, determinarse quienes son los usuarios autorizados y establecerse un registro de accesos a través del cual pueda el responsable del fichero saber la consulta que se ha hecho, qué modificación se ha operado o qué se ha suprimido y por quién.

Además, la entrega de un curriculum por el candidato, aunque no se especifique, persigue un fin, que es su incorporación a un proceso de selección de personal en la farmacia receptora. Por tanto, los datos que se incluyan en el mismo no podrán ser utilizados por el farmacéutico titular para otras finalidades, ni podrá cederlos a otras farmacias o empresas sin el consentimiento expreso e inequívoco del candidato, titular de los datos. En este sentido, a modo ilustrativo, traigo a colación la resolución de la AGPD R/01568/2010 en la que se impone una multa de 60.121,21€ más 6.000€ por cederse un curriculum entre empresas sin consentimiento inequívoco del afectado. Y es que, más allá de la letra de la Ley Orgánica de Protección de Datos, la Audiencia Nacional exige una especial diligencia a la hora de operar con los datos de carácter personal, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos. (En este sentido, entre otras, sentencias de la Audiencia Nacional de fechas 24 de abril de 2001 y 3 de marzo de 2004).

A la vista de todo ello, lo más fácil sería no recoger ningún currículum, salvo que se esté buscando personal, ya que de esta forma se evita adoptar cambios en materia de protección de datos de la farmacia. Sin embargo, disponer de los datos de posibles trabajadores puede ser de indudable utilidad y no debe dar miedo guardar los currículum si el fichero está debidamente dado de alta en la Agencia de Protección de Datos y están las medidas de seguridad legales implantadas en la farmacia. Al fin y al cabo, este fichero sería sólo uno más a sumar a todos los que hoy en día tiene la farmacia, por lo que el titular, responsable del fichero, no se enfrentaría a algo totalmente nuevo.