¿Puede ponerse en una medalla un código QR con los datos personales y el historial clínico de un paciente?

Hoy vamos a hablar de códigos QR, sí, esos cuadraditos ininteligibles que se leen con un Smartphone.

El tema de fondo responde a la idea de que algunos pacientes vayan con un código QR en una medalla colgada al cuello, como ocurre con la plaquita del grupo sanguíneo, y ahí vayan datos personales, como son el nombre, la dirección o teléfono y, además, información médica como qué enfermedad tienen, por ejemplo, Alzheimer, problemas cardíacos, diabetes, etc.

Código qr
Código qr

La idea a priori a todos nos parece bien si pensamos en un familiar, por ejemplo con Alzheimer ya que da tranquilidad saber que si se pierde quien lo encuentre va a saber quién es, cómo localizar a sus familiares y que tiene esa enfermedad.

Entonces , ¿cuál es el problema?

Unos amigos americanos me decían hace poco que en España todo se complica, que cualquier idea tiene que saltar demasiados obstáculos legales y que eso lastra el desarrollo de este país. En parte esto ocurre aquí. La idea es buena, muy buena. Si preguntáramos, a la gente casi todo el mundo diría que le parece bien, sobre todo si tiene familiares con problemas de salud importantes o está expuesta a ellos. Pero, aquí el problema, no es si es útil o no, sino de protección de datos ya que puede que la persona que encuentre al anciano utilice esos datos para otros fines. Por tanto, la problemática gira en torno al acceso a los datos y cómo se articula la cesión de los mismos a esos terceros (por ejemplo un policía o una persona caritativa), así como a la finalidad de la entrega de esa información.
Y todo el problema existe porque un código QR se puede leer con cualquier móvil Smartphone.

He comentado lo de mis amigos americanos porque a más de uno se le puede ocurrir la siguiente contrapregunta: ¿no es lo mismo si el anciano va con una tarjeta en su bolsillo en la que está escrita la información personal y sus datos médicos, que es lo que se ha hecho toda la vida? Pues sí y no, depende. Pero lo que está claro es que en esos casos, donde todo está escrito en papel, nadie se ha planteado la vulneración de la LOPD. Pero tampoco conozco que se haya planteado problema alguno por colgarse una placa con el nombre y grupo sanguíneo .

Qué dice la Agencia de Protección de Datos: Planteamiento jurídico

Esta cuestión se ha resuelto por la Agencia de Protección de Datos en un informe reciente, el 12/2013 que se puede descargar en http://bit.ly/13gIsxk y cuyas líneas de argumentación son las siguientes:

• Tiene que haber un consentimiento inequívoco y expreso por el portador de la medalla, para llevar sus datos en un código QR (donde están grabados y conservados) que puede ser accesible desde cualquier Smartphone. Esto significa que no vale con que el hijo o el cuidador le haga la medalla y se la cuelgue.

• El consentimiento del usuario de la medalla con el código QR no implica que quepa cualquier tratamiento de los datos, dado que se trata de datos de protección alta. Llevar colgada la medalla no autoriza per se a que cualquiera pueda leer/descargar los datos del código QR.

• Los datos que se contengan en la medalla han de ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades explícitas y legítimas para las que se han recogido. Además tienen que estar actualizados. Esto implica que hay que ver si la recogida de los datos personales y de historial médico son necesarios para la finalidad pretendida (por ejemplo, para que el anciano perdido pueda ser devuelto a su casa o a la residencia de ancianos parece que no es necesario el historial médico, pero sí si el portador de la medalla tiene problemas cardíacos)

• La ley 41/2002 establece que la finalidad principal de la historia clínica es “facilitar la asistencia sanitaria”. Por ello se deberán detallar las medidas de seguridad que se adoptarán para asegurar que los datos médicos sólo sean accesibles para los servicios sanitarios y no por cualquier tercero.

Cuál es la conclusión de la AGPD:

• «No existe obstáculo en la inclusión de datos personales en un código QR, siempre que, existiendo consentimiento informado del portador de la medalla en los términos indicados, sólo se incluyan en el mismo los datos estrictamente necesarios para el cumplimiento de las finalidades pretendidas, lo que dependerá de cada tipo de usuario y de enfermedad».

• «Deberán adaptarse las medidas de seguridad que correspondan en cada caso, en los términos del Título VIII del Real Decreto 1720/2007 de 21 de diciembre».

• «Si la finalidad es que únicamente accedan a dichos datos el personal sanitario que vaya atender al paciente en situación de emergencia o accidente, deberían implantarse medidas que no permitieran el acceso a esta información por terceros».

Mi opinión

La argumentación de la AGPD es muy correcta y aplica la norma actualmente vigente de forma irreprochable.

Yo, además, traigo al debate otra interpretación, sobre la base de que toda ley (aún siendo imperativa) debe interpretarse de acuerdo con los otros derechos que hay en conflicto. En este caso habría de ponerse en la balanza la protección de datos personales, en un platillo, y el derecho a la salud, en el otro, a fin de determinar qué derecho (ambos constitucionales) tiene más peso. Considero que la salud y la vida humana tiene más peso que la protección de datos en un caso como el expuesto. Ello porque, desde mi perspectiva, es preferible el acceso por un tercero, aunque no sea del servicio de emergencias, a los datos de un señor para salvarle la vida, que, en aras de la protección de datos, no quepa el acceso a sus datos y se muera.

Pero reconozco que conjugar ambos derechos es difícil. Por eso sí creo, siguiendo a la AGPD, que es importante que en esa medalla no esté todo el historial médico del que habla la Ley de Autonomía del Paciente (por ejemplo los consentimientos informados o las radiografías), sino sólo aquellos datos médicos que en un momento de emergencia puedan ser relevantes.

Por qué es importante prestar atención a la cancelación de suscripciones. Multa de la AEPD.

¿Por qué hay que prestar atención a la cancelación de suscripciones? Existen farmacias que envían boletines electrónicos con novedades y ofertas a sus clientes a través de suscripciones. Para ello el cliente, que debe dar su consentimiento al tratamiento y finalidad para la que se recogen sus datos, les facilita su correo electrónico y algunos otros datos que conforman su perfil. Se trata de una vía de fidelización, de mantener la atención del cliente y demostrarle que «su» farmacia se acuerda de él de forma periódica. Aquí será importante el tipo de información que se mande y, preferiblemente, se hará de acuerdo al perfil que tenga el cliente.

cancelación de suscripciones
cancelación de suscripciones

Este envío de boletines y/o campañas de marketing o publicidad es cada vez más frecuente, no debe ir en contra de la normativa vigente y exigen una especial diligencia del farmacéutico.

El fondo del asunto.
La pregunta que hoy vamos a resolver es qué pasa si la farmacia no da de baja un correo electrónico de un cliente, donde recibe periódicamente las novedades de la farmacia,cuando así se le solicita; y qué consecuencias tiene para la farmacia el seguir remitiendo los boletines a dicho email.

La consecuencia de esta falta de diligencia por parte de la farmacia es que el cliente puede denunciar el hecho ante la Agencia de Protección de Datos, que puede, una vez instruido un expediente, multar a la botica.

La protección de datos suele pensar la farmacia que es más burocracia sin sentido, algo para que unos pocos nos ganemos la vida o que las farmacias son inmunes a las inspecciones y multas porque las denuncias siempre se hacen a los grandes. Pero esta forma de pensar está totalmente equivocada.

Los hechos que he expuesto responden a un caso real, resuelto por la AEPD con multa a la farmacia en 2012.

¿Pero cómo pasaron los hechos?
El cliente, que en un primer momento dio su consentimiento al boletín, canceló la suscripción utilizando para ello el enlace facilitado en el correo electrónico. De forma diligente la farmacia contestó el email confirmando la baja, pero no le borró de la lista de distribución, por lo que el cliente recibió tres comunicaciones comerciales de la farmacia durante casi tres meses. A la vista de ello, el cliente denunció a la farmacia ante la AEPD.

¿Qué se incumplió por la farmacia?
El envío de comunicaciones comerciales sin el consentimiento del destinatario (aquí el cliente) es lo que se llama spam y está prohibido por la legislación española.

Se vulnera La LSSI, en el artículo 21.1 de la Ley de Servicios de Sociedad de la Información (LSSI) que prohíbe de forma expresa “el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas”.

También se contraviene la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), ya que la dirección de correo electrónico puede ser considerada como dato de carácter personal.

¿Es imprescindible el consentimiento del cliente para mandarle el boletín?
Sí. Se necesita el consentimiento del destinatario para el envío de correo electrónico con fines comerciales. La prestación del consentimiento ha de ser previa a los envíos de correos, salvo que exista una relación contractual anterior y el sujeto no manifieste su voluntad en contra.

Además se aplica el art. 3.h) de la LOPD, que define el consentimiento, por lo que además de previo, ha de ser específico, inequívoco e informado. Esto significa que la farmacia deberá informar del tipo de tratamiento y la finalidad para la que se recogen los datos, comunicando así mismo sobre el derecho a denegar o retirar el consentimiento.

Y, ¿cuando se considera que es una información comercial?
De acuerdo con la LSSI, se considera información comercial a toda aquella forma de comunicación destinada a promocionar directa o indirectamente bienes, servicios o la imagen de una empresa, organización o persona con una actividad comercial, industrial, artesanal o profesional, y, además, ha de realizarse dicha comunicación en los términos que señala el Considerando 17 de la Directiva 2000/31/CE que recoge lo previsto en las citadas Directivas 98/34/CE y 98/84/CE, es decir, ha de tratarse de cualquier servicio prestado normalmente a título oneroso, a distancia, mediante un equipo electrónico para el tratamiento (incluida la compresión digital) y el almacenamiento de datos, y a petición individual de un receptor de un servicio.

¿Qué multa puso la AEPD?
De acuerdo con el art. 38 LSSI “3. Son infracciones graves:
c) El envío masivo de comunicaciones comerciales por correo electrónico u otro medio de comunicación electrónica equivalente o el envío, en el plazo de un año, de más de tres comunicaciones comerciales por los medios aludidos a un mismo destinatario, cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21”.
“4. Son infracciones leves:
d) El envío de comunicaciones comerciales por correo electrónico u otro medio de  comunicación electrónica equivalente cuando en dichos envíos no se cumplan los requisitos establecidos en el artículo 21 y no constituya infracción grave”.

En el caso actual se realizaron tres comunicaciones y se impuso la sanción leve, porque la sanción grave exige que sean más de tres. Es decir, si la farmacia hubiera remitido un boletín más la multa hubiera sido de 150.001 hasta 600.000 euros.

Sin embargo se calificó la infracción como leve, que tiene aparejada una multa de hasta 30.000€ (treinta mil euros) si bien, en este caso, se graduó para ser fijada finalmente en 1.800€.

Conclusión
Hay que pedir el consentimiento previo al cliente con todos los requisitos legales, hay que informarle claramente y, en caso de que solicite la baja en el tratamiento de sus datos o revoque el consentimiento hay que ser diligente y borrar los datos para evitar que se puedan imponer sanciones que, como se ha visto, pueden ser de hasta 600.000€.

¿Cómo afecta la fan page de la farmacia en Facebook a la protección de datos?

Cada vez más farmacias tienen una fan page en facebook (o página de marca) porque es una forma de interactuar como empresa con posibles clientes para conocer sus gustos e intereses y así incrementar ventas. Pero ¿has pensado si afecta a la protección de datos?. Sobre este tema hay varias cuestiones que la farmacia ha de tener en cuenta:

1. Al abrir la fan page la farmacia está recogiendo datos personales, esos datos son los de los seguidores y están integrados tanto por los personales propiamente dichos (ej. el nombre) como los derivados de la interactuación con el botón me gusta o los comentarios que se incluyan (estos datos son válidos para los análisis de perfiles). Además el fan conoce los nombres de otros fans y sus opiniones. En principio todos estos datos están bajo el paraguas de Facebook en lo que a protección de datos se refiere, sin embargo, si ese contenido o información de los fans se recopila y, por tanto se trata y utiliza con fines particulares, la fan page de la farmacia tiene la obligación de cumplir con la LOPD española.

2. Tener una page en facebook persigue un claro fin comercial, se buscan clientes y perfiles pudiendo definirse qué gusta y quieren los fans de la página a la vista del contenido que se inserta. Con ello, luego se pueden establecer políticas de marketing muy personalizadas. Por eso que tener una fan page es una forma de conseguir clientes y es la razón por la que los datos de los fans se trabajan. Pues bien, el fan tiene que saber que la farmacia recopila sus datos, debe dar su consentimiento para que se pueda utilizar el contenido e información recopilada y, en consecuencia, la farmacia debe informar sobre su política de protección de datos igual que si recogiera los datos con una ficha en papel en la farmacia. La fan page de la botica debe informar sobre el consentimiento, los datos que recoge, los fines que persigue y los derechos ARCO (acceso, rectificación, cancelación y oposición).

3. No vale con tener los disclaimers de protección de datos en la página web de la farmacia, ya que esa es otra vía de contacto y captación de datos, cuyas finalidades pueden no ser las mismas. Es en Facebook donde deben de quedar definidas las políticas de protección de datos de la fan page de la farmacia que, al ser española, deberán estar ajustadas a las previstas en la normativa española (y ello al margen de la política de protección de datos de Facebook, en EEUU)

4. Todo lo anterior implica que en el documento de seguridad de la farmacia o de la SL de parafarmacia (depende de cómo se de de alta la fan page) deben figurar las redes sociales utilizadas para la obtención y tratamiento de datos, los ficheros específicos que se generan o aquellos en los que se incorporen los datos obtenidos por esta vía, qué datos se recogen, cómo se hace y la finalidad que se persigue, entre otros temas. No debe olvidarse que el documento de seguridad debe estar vivo en la farmacia siendo obligación del responsable de los ficheros (el titular) mantenerlo actualizado.

5. Por último, e íntimamente unido al punto anterior, si los datos de los fans se incorporan a uno o más ficheros nuevos (p.e. clientes RRSS), estos deberán darse de alta en la AGPD. Pero incluso si se incorporan al fichero de clientes que esté ya dado de alta en la farmacia éste deberá modificarse, puesto que las finalidades y formas de recogida de la información serán posiblemente diferentes a las que estén notificadas a la AGPD.

Protección de datos en mi web de parafarmacia: contenido

Ya he comentado cómo, desde una perspectiva de Derecho, puede la farmacia tener una web y cuál es el futuro que espera al sector. Lo cierto es que Internet ha venido para quedarse y la farmacia debe estar ahí, antes o después. Pero, ¿qué hay que tener en cuenta para estar en Internet de forma legal? Empecemos por las páginas web de las boticas a través de las cuales se venden productos de parafarmacia (que es lo que hoy se puede hacer)

He hecho un pequeño estudio y me ha sorprendido que muchas páginas de Internet ligadas con la farmacia no cumplen, seguro que inconscientemente, con la Ley Orgánica de Protección de Datos (LOPD) ni con la Ley Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI)

Qué errores he visto y qué ha de hacerse

1º Sobre el alta de fichero de clientes.
En toda página de Internet que vende hay unos clientes que compran y unos datos que se incorporan a un fichero. Este fichero ha de estar dado de alta en la AGPD. ¿Vale el de la Farmacia? Depende. Si tenemos constituida una sociedad para gestionar la parafarmacia y la venta online se canaliza a través de ella, la responsable del fichero es esta y no la farmacia. Por tanto, la sociedad ha de dar de alta el fichero (y otros que pueda haber, como proveedores) y tener un documento de seguridad, con todos sus anexos: libros de registro (incidencias, accesos, etc), contratos de confidencialidad, etc.

En caso de que la farmacia sea la titular de la web habrá de comprobarse que en la inscripción del fichero de clientes y en el documento de seguridad de la farmacia esté reflejada la recogida de datos a través la tienda online (y todo lo que ello supone). Pero si es un fichero independiente del de la farmacia física habrá de crearse y darse de alta en la AGPD, además de la obligación de incorporarlo en el documento de seguridad de la farmacia.

2º Sobre los derechos ARCO y el consentimiento.
Como hay clientes y se recogen datos online es importante tener bien resuelto, desde la perspectiva legal, la recogida del consentimiento y los derechos ARCO (acceso, rectificación, cancelación y oposición) de los clientes. Hay supuestos en los que se da por supuesto que se entregan los datos rellenando un formulario y hay un consentimiento implícito para que el receptor, la farmacia, pueda utilizarlos libremente, pero eso no es así. Un ejemplo puede ser que no se podrán remitir promociones, actualizaciones, ofertas al email proporcionado por el cliente virtual si no hay un consentimiento expreso para ello.

En definitiva, el cliente debe saber que los datos que entrega se van a tratar para una determinada finalidad (y la farmacia no podrá usarlos fuera de ellas) y si van a ser o no cedidos a terceros y cómo peder ejercer sus derechos de acceso, rectificación, cancelación y oposición. Pero además debe quedar claramente definido cómo el cliente otorga su consentimiento y para ello hay diversas formas, como la de dar la conformidad al rellenar el formulario haciendo un tic en una casilla al efecto, con lo que reconocemos haber leído y estar conformes con la política de protección de datos..

3º El aviso legal: obligatorio.
Toda página web ha de tener un “Aviso Legal” y he comprobado que en ocasiones falta o existe pero está incompleto. Ha de recordarse que, a veces, copiar lo que ha hecho alguien en Internet no es garantía de que esté bien, y pegarlo sin más en la página creada puede llegar a suponer una sanción en caso de inspección si no es un aviso completo o está mal hecho. El aviso tiene que tener todos los requisitos que establece la norma y es preferible invertir en una consulta jurídica y tener la tranquilidad de que legalmente está bien hecho.

4º La Política de privacidad: obligatorio.
También hay webs que no la incluyen y no vale con tener el fichero dado de alta y un documento de seguridad, o que se recoja el consentiemiento clicando en una casilla. Toda tienda online tiene que dar información de su Política de Privacidad, que podrá leer el cliente cuantas veces quiera, debiendo ser de fácil acceso. Ahí quedará definidos los datos que se recogen, los fines para los que se lleva a cabo su recogida y cómo se utilizan esos datos. Así mismo, se regula la forma de entregar el consentimiento por los clientes y cómo éstos pueden acceder a los datos ejerciendo sus derechos ARCO.

Si tenéis alguna duda o queréis que vuestra web esté completa desde la perspectiva de la LOPD y LSSI, no dudéis en contactar conmigo: farmaciayderecho@movistar.es

Otro día seguiremos con la presencia de las farmacias en las redes sociales como Facebook y qué hay que hacer para que legalmente esté todo bien.

Otro interrogante al hilo del copago: ¿el TSI de la receta supone una cesión de datos ilegal al no mediar consentimiento expreso del ciudadano?

En las nuevas recetas desde la entrada en vigor del Decreto 16/2012, que regula el copago, debe constar un código (TSI) que determina el importe que paga cada cliente en la oficina de farmacia cuando retira sus medicamentos. Este dato hace referencia a la situación de activo o pensionista del paciente, pero también a la renta (datos fiscales), si bien de una forma muy amplia. Por ejemplo, la farmacia sabrá quien gana más de 100.000 euros/año, o de los pensionistas quien tiene una pensión inferior a 18.000€/año. ¿Es necesario el consentimiento?, ¿hay cesión de datos?, ¿se ampara en alguna ley ese vaivén de datos?

Desde mi punto de vista no hay cesión de datos y no es necesario el consentimiento de cada uno de los titulares de una tarjeta sanitaria de la Seguridad Social, en contra de lo que estoy leyendo en algunos foros y prensa o, incluso, de la campaña que ha iniciado el PSOE en su página web poniendo a disposición de los ciudadanos unos modelos de reclamaciones por este motivo (https://www.psoe.es/tetuan/news/657465/page/desde-psm-denunciamos-copago-farmaceutico-.html)

El RDL 16/2012 dice de forma expresa que no es necesario el consentimiento del interesado y afirma que la Administración Tributaria podrá comunicar al INSS los datos que sean necesarios para determinar el nivel de renta y, por tanto, determinar qué TSI debe poner en las recetas de cada paciente. En consecuencia, el primer paso de transferencia de datos de la Agencia Tributaria al Instituto Nacional de la Seguridad Social está previsto en la norma y no cabe cuestionarse la legalidad. (art. 94 ter, 2 “la administración competente en materia tributaria podrá comunicar al Instituto Nacional de la Seguridad Social, sin contar con el consentimiento del interesado, los datos que resulten necesarios para determinar el nivel de renta requerido”)

A partir de ahí, debe de haber otra entrega de datos del INSS a las CCAA, en concreto a las diferentes Consejerías de Sanidad. El RDL 16/2012 prevé de forma expresa esta transferencia de datos de la siguiente manera: “el Instituto Nacional de la Seguridad Social comunicará a las administraciones sanitarias competentes el dato relativo a la aportación que corresponda a cada usuario de conformidad con lo establecido en la normativa reguladora de las recetas médicas y órdenes de dispensación.”Es relevante dejar claro que la información que se entrega no es la renta de cada beneficiario de la Seguridad Social o del titular de la tarjeta (a la cual no tienen acceso las Consejerías de Sanidad), sino que se sólo se comunicará el dato relativo a la aportación (los TSI) y, además, con una finalidad concreta. En este sentido el RDL dice que “Los datos comunicados serán objeto de tratamiento por la administración sanitaria correspondiente a los solos efectos de su incorporación al sistema de información de la tarjeta sanitaria individual”.

Por tanto, la misma norma que implanta el copago contempla cómo se ceden los datos de una administración a otras y el fin para el que se entregan, que no es otro que incorporarlo al sistema de información de la tarjeta sanitaria, siendo los datos de ésta los necesarios para la emisión de las recetas, ya sean electrónicas o en papel, y su posterior dispensación.

El dato económico llega a la oficina de Farmacia a través de la receta y aquí se plantea también la misma pregunta: ¿es necesario el consentimiento del paciente?

Pues bien, en la receta, además del TSI, hay otros datos personales, que son incluso de protección mayor por ser de datos de salud y, por tanto, precisan de mayores medidas de seguridad. El farmacéutico tiene legitimidad de acceso a todos los datos de la receta, incluido el económico, de acuerdo con el art. 77.8 Ley de Garantías y Uso Racional de Medicamento, sin necesidad de consentimiento del cliente pero con un límite: que el tratamiento de esos datos de la receta (los de salud y el económico) tenga la finalidad de facilitar la asistencia farmacéutica al paciente y permitir el control de la prestación farmacéutica del Sistema Nacional de Salud.