¿Puede ponerse en una medalla un código QR con los datos personales y el historial clínico de un paciente?

Hoy vamos a hablar de códigos QR, sí, esos cuadraditos ininteligibles que se leen con un Smartphone.

El tema de fondo responde a la idea de que algunos pacientes vayan con un código QR en una medalla colgada al cuello, como ocurre con la plaquita del grupo sanguíneo, y ahí vayan datos personales, como son el nombre, la dirección o teléfono y, además, información médica como qué enfermedad tienen, por ejemplo, Alzheimer, problemas cardíacos, diabetes, etc.

Código qr
Código qr

La idea a priori a todos nos parece bien si pensamos en un familiar, por ejemplo con Alzheimer ya que da tranquilidad saber que si se pierde quien lo encuentre va a saber quién es, cómo localizar a sus familiares y que tiene esa enfermedad.

Entonces , ¿cuál es el problema?

Unos amigos americanos me decían hace poco que en España todo se complica, que cualquier idea tiene que saltar demasiados obstáculos legales y que eso lastra el desarrollo de este país. En parte esto ocurre aquí. La idea es buena, muy buena. Si preguntáramos, a la gente casi todo el mundo diría que le parece bien, sobre todo si tiene familiares con problemas de salud importantes o está expuesta a ellos. Pero, aquí el problema, no es si es útil o no, sino de protección de datos ya que puede que la persona que encuentre al anciano utilice esos datos para otros fines. Por tanto, la problemática gira en torno al acceso a los datos y cómo se articula la cesión de los mismos a esos terceros (por ejemplo un policía o una persona caritativa), así como a la finalidad de la entrega de esa información.
Y todo el problema existe porque un código QR se puede leer con cualquier móvil Smartphone.

He comentado lo de mis amigos americanos porque a más de uno se le puede ocurrir la siguiente contrapregunta: ¿no es lo mismo si el anciano va con una tarjeta en su bolsillo en la que está escrita la información personal y sus datos médicos, que es lo que se ha hecho toda la vida? Pues sí y no, depende. Pero lo que está claro es que en esos casos, donde todo está escrito en papel, nadie se ha planteado la vulneración de la LOPD. Pero tampoco conozco que se haya planteado problema alguno por colgarse una placa con el nombre y grupo sanguíneo .

Qué dice la Agencia de Protección de Datos: Planteamiento jurídico

Esta cuestión se ha resuelto por la Agencia de Protección de Datos en un informe reciente, el 12/2013 que se puede descargar en http://bit.ly/13gIsxk y cuyas líneas de argumentación son las siguientes:

• Tiene que haber un consentimiento inequívoco y expreso por el portador de la medalla, para llevar sus datos en un código QR (donde están grabados y conservados) que puede ser accesible desde cualquier Smartphone. Esto significa que no vale con que el hijo o el cuidador le haga la medalla y se la cuelgue.

• El consentimiento del usuario de la medalla con el código QR no implica que quepa cualquier tratamiento de los datos, dado que se trata de datos de protección alta. Llevar colgada la medalla no autoriza per se a que cualquiera pueda leer/descargar los datos del código QR.

• Los datos que se contengan en la medalla han de ser adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades explícitas y legítimas para las que se han recogido. Además tienen que estar actualizados. Esto implica que hay que ver si la recogida de los datos personales y de historial médico son necesarios para la finalidad pretendida (por ejemplo, para que el anciano perdido pueda ser devuelto a su casa o a la residencia de ancianos parece que no es necesario el historial médico, pero sí si el portador de la medalla tiene problemas cardíacos)

• La ley 41/2002 establece que la finalidad principal de la historia clínica es “facilitar la asistencia sanitaria”. Por ello se deberán detallar las medidas de seguridad que se adoptarán para asegurar que los datos médicos sólo sean accesibles para los servicios sanitarios y no por cualquier tercero.

Cuál es la conclusión de la AGPD:

• “No existe obstáculo en la inclusión de datos personales en un código QR, siempre que, existiendo consentimiento informado del portador de la medalla en los términos indicados, sólo se incluyan en el mismo los datos estrictamente necesarios para el cumplimiento de las finalidades pretendidas, lo que dependerá de cada tipo de usuario y de enfermedad”.

• “Deberán adaptarse las medidas de seguridad que correspondan en cada caso, en los términos del Título VIII del Real Decreto 1720/2007 de 21 de diciembre”.

• “Si la finalidad es que únicamente accedan a dichos datos el personal sanitario que vaya atender al paciente en situación de emergencia o accidente, deberían implantarse medidas que no permitieran el acceso a esta información por terceros”.

Mi opinión

La argumentación de la AGPD es muy correcta y aplica la norma actualmente vigente de forma irreprochable.

Yo, además, traigo al debate otra interpretación, sobre la base de que toda ley (aún siendo imperativa) debe interpretarse de acuerdo con los otros derechos que hay en conflicto. En este caso habría de ponerse en la balanza la protección de datos personales, en un platillo, y el derecho a la salud, en el otro, a fin de determinar qué derecho (ambos constitucionales) tiene más peso. Considero que la salud y la vida humana tiene más peso que la protección de datos en un caso como el expuesto. Ello porque, desde mi perspectiva, es preferible el acceso por un tercero, aunque no sea del servicio de emergencias, a los datos de un señor para salvarle la vida, que, en aras de la protección de datos, no quepa el acceso a sus datos y se muera.

Pero reconozco que conjugar ambos derechos es difícil. Por eso sí creo, siguiendo a la AGPD, que es importante que en esa medalla no esté todo el historial médico del que habla la Ley de Autonomía del Paciente (por ejemplo los consentimientos informados o las radiografías), sino sólo aquellos datos médicos que en un momento de emergencia puedan ser relevantes.

¿Cómo afecta la fan page de la farmacia en Facebook a la protección de datos?

Cada vez más farmacias tienen una fan page en facebook (o página de marca) porque es una forma de interactuar como empresa con posibles clientes para conocer sus gustos e intereses y así incrementar ventas. Pero ¿has pensado si afecta a la protección de datos?. Sobre este tema hay varias cuestiones que la farmacia ha de tener en cuenta:

1. Al abrir la fan page la farmacia está recogiendo datos personales, esos datos son los de los seguidores y están integrados tanto por los personales propiamente dichos (ej. el nombre) como los derivados de la interactuación con el botón me gusta o los comentarios que se incluyan (estos datos son válidos para los análisis de perfiles). Además el fan conoce los nombres de otros fans y sus opiniones. En principio todos estos datos están bajo el paraguas de Facebook en lo que a protección de datos se refiere, sin embargo, si ese contenido o información de los fans se recopila y, por tanto se trata y utiliza con fines particulares, la fan page de la farmacia tiene la obligación de cumplir con la LOPD española.

2. Tener una page en facebook persigue un claro fin comercial, se buscan clientes y perfiles pudiendo definirse qué gusta y quieren los fans de la página a la vista del contenido que se inserta. Con ello, luego se pueden establecer políticas de marketing muy personalizadas. Por eso que tener una fan page es una forma de conseguir clientes y es la razón por la que los datos de los fans se trabajan. Pues bien, el fan tiene que saber que la farmacia recopila sus datos, debe dar su consentimiento para que se pueda utilizar el contenido e información recopilada y, en consecuencia, la farmacia debe informar sobre su política de protección de datos igual que si recogiera los datos con una ficha en papel en la farmacia. La fan page de la botica debe informar sobre el consentimiento, los datos que recoge, los fines que persigue y los derechos ARCO (acceso, rectificación, cancelación y oposición).

3. No vale con tener los disclaimers de protección de datos en la página web de la farmacia, ya que esa es otra vía de contacto y captación de datos, cuyas finalidades pueden no ser las mismas. Es en Facebook donde deben de quedar definidas las políticas de protección de datos de la fan page de la farmacia que, al ser española, deberán estar ajustadas a las previstas en la normativa española (y ello al margen de la política de protección de datos de Facebook, en EEUU)

4. Todo lo anterior implica que en el documento de seguridad de la farmacia o de la SL de parafarmacia (depende de cómo se de de alta la fan page) deben figurar las redes sociales utilizadas para la obtención y tratamiento de datos, los ficheros específicos que se generan o aquellos en los que se incorporen los datos obtenidos por esta vía, qué datos se recogen, cómo se hace y la finalidad que se persigue, entre otros temas. No debe olvidarse que el documento de seguridad debe estar vivo en la farmacia siendo obligación del responsable de los ficheros (el titular) mantenerlo actualizado.

5. Por último, e íntimamente unido al punto anterior, si los datos de los fans se incorporan a uno o más ficheros nuevos (p.e. clientes RRSS), estos deberán darse de alta en la AGPD. Pero incluso si se incorporan al fichero de clientes que esté ya dado de alta en la farmacia éste deberá modificarse, puesto que las finalidades y formas de recogida de la información serán posiblemente diferentes a las que estén notificadas a la AGPD.

El copago, el dato económico y su afectación a la protección de datos en la farmacia: el caso de las residencias de ancianos

Hasta ahora en las residencias de ancianos se recogían las recetas que prescribían a sus mayores, se entregaban a una farmacia para su dispensación y como los titulares de las recetas eran de pensionistas no se pagaba nada. A lo más se giraba una factura a la residencia si se compraban productos no financiados. Se trata este de un servicio que da la residencia y que evita que cada mayor tenga que salir con sus recetas a comprar su medicación.

Con la entrada en vigor del copago, cada residente tendrá un gasto farmacéutico que se deberá cobrar por el farmacéutico y que será diferente según el anciano. Pero, ¿cómo se debe hacer esto para que no haya problemas con la Ley de Protección de Datos? Si la residencia paga al tiempo de recibir la medicación, siendo ella la encargada de la gestión de las recetas, no hay problema, pero no puede afirmarse lo mismo cuando haya que girarse recibos y facturas, ya sea a la propia residencia o a los residentes.

En este último caso existen dos grandes opciones:

1. La farmacia dispensa las medicinas y para gestionar el cobro abre una ficha personal a cada anciano, ya sea en el programa de la aplicación farmacéutica o en otro programa creado “ad hoc”. En ella, además de los datos personales se incluiría el número de cuenta bancaria donde girar el gasto farmacéutico. Esto supone que de forma periódica el farmacéutico debe hacer una factura global del paciente y girar el importe. Aquí la residencia sólo interviene para llevar las recetas a la farmacia y para llevar el medicamento al residente.

2. La farmacia dispensa los medicamentos pero se factura a la residencia, de modo que sea ésta quien repercuta el gasto a los residentes de acuerdo con la factura que emita el farmacéutico, que deberá desglosar el gasto de cada paciente. En este caso toda la gestión de cobro la hace la residencia y la farmacia únicamente dispensa las recetas, debiendo quedarse con siguientes datos: el nombre del residente y la aportación, además de los productos dispensados, para incluir en la factura que a la farmacia le paga la residencia.

Es un hecho que el farmacéutico no se va a librar de emitir facturas con nombres de los residentes, gasto en que se ha incurrido e importe que han de abonar como aportación, ya sea emitidas a nombre de cada residente o una global a la residencia. Por eso que es importante que toda la gestión con la residencia quede bien protocolarizada desde la perspectiva de la protección de datos. Esto significa podemos estar, de modo simplificado, ante los siguientes escenarios:

1. Contrato anciano-residencia con autorización de cesión de datos. El anciano al tiempo de entrar en la residencia, ya sea personalmente o a través de tutor, firma un consentimiento informado de que sus datos van a ser cedidos a una farmacia en concreto con la finalidad de la gestión de sus recetas y medicamentos, y en el mismo deberá dejarse claro que será la botica la que emita los recibos correspondientes al importe de la aportación de la medicación que se ha dispensado. Esto implica, por tanto, que la residencia cede los datos, incluida la cuenta bancaria, a la farmacia, que tendrá que hacer los recibos y deberá llevar al banco para su cobro. A la vez, en el contrato entre residencia y anciano deberá hacerse constar el encargo a la residencia de la gestión de las recetas (llevada a la farmacia y recogida de medicamentos). Aquí hay un riesgo evidente de impago de facturas o de devolución de recibos.

2. Consentimiento del residente a la farmacia. Puede ocurrir que la residencia no haya pedido ese consentimiento informado o no quiera solicitarlo. En ese caso, la farmacia tendrá que pedirlo uno o por uno a cada residente, puesto que de otra forma no podrá tratar el dato económico-bancario para poder girarles la factura. No vale aquí la exposición al público de que se están tratando los datos económicos puesto que, sin entrar en otras disquisiciones, los residentes no son los que van a la Farmacia, se trata de consentimientos personales y no se garantizan los derechos ARCO. Por otro lado, en el mismo consentimiento que se hace en la farmacia deberá hacerse constar que el residente autoriza a la residencia a que gestione sus recetas y medicamentos en esa botica.

3. ¿Y qué pasa si el anciano no da el consentimiento a la residencia o a la farmacia para dar ese dato económico? Pues en este caso no cabe la opción de que se giren recibos o se cargue en la cuenta bancaria del anciano el importe de la aportación de los medicamentos dispensados y, por tanto, tendrá que ser el propio residente, los familiares o tutores, o incluso la residencia los que deberán encargarse de ir a la farmacia y recoger las medicinas prescritas. En el caso de que lo haga la residencia pueden a su vez producirse dos circunstancias, que pague directamente a la farmacia cada vez que recoge los medicamentos o, por el contrario, que la farmacia emita a la residencia una factura por el importe total de las aportaciones de las medicinas dispensadas y, para ello, necesita el dato del nombre del paciente y aportación y, además, el dato bancario de la residencia si se van a pasar recibos, debiendo todo ello constar en un contrato.

Y qué es lo mejor. Pues cada caso es diferente y las relaciones con las residencias difieren mucho unas de otras, así que la decisión es totalmente personal y todas pueden ser buenas. Lo único cierto es que el dato económico de los ancianos se va a tener que tratar directa o indirectamente por lo que, aprovechando la situación y dado que en muchos casos se tendrán que firmar contratos o consentimientos, se me ocurre que puede ser un buen momento para que las farmacias aporten un valor añadido a las residencias prestando sus servicios (diferentes a la mera dispensación de recetas), entre otras cosas y, por ejemplo, implantando sistemas de dosificación personalizada, que permite una óptima adherencia al tratamiento.

Qué hacer con el curriculum vitae que se recibe en la farmacia y su afectación por la Ley de Protección de Datos

Estamos en crisis y tenemos una tasa de desempleo superior al 23%, por ello cada vez es más habitual que en las farmacias se reciban currículum vítae con los que no se sabe muy bien qué hacer, si en ese momento no se tiene en marcha un proceso de selección de personal.

Se trata de un claro caso de protección de datos, ya que en el curriculum el candidato puede incluir variados datos, incluso de salud (por ejemplo minusvalías), y sólo por recibirlo en la farmacia, ya se guarde o no, deberán adoptarse en la farmacia las medidas de protección, diligencia y seguridad adecuadas, conforme a la Ley de Protección de Datos, para su almacenamiento, tratamiento o, en su caso, destrucción.

Recibido el currículum el titular de la farmacia debe decidir entre desecharlo o guardarlo. Las obligaciones que asume son diferentes en cada caso, siendo también relevante cómo se haya recibido: en mano, por correo, email, página web u otro canal.

Si se opta por desecharlo deberá hacerse a través de un medio que impida la recuperación de la información. Por ejemplo, si están en formato papel se hará a través de destructora de papel o a través de empresas de destrucción certificadas de papel y, si están en formato electrónico (recibidos por email) a través de borrado efectivo. En consecuencia no es válido romperlos manualmente “en trocitos” ni tirarlos al contenedor azul de papel o, en su caso, guardarlos en el ordenador en la bandeja de entrada del correo electrónico.

Por el contrario, si se opta por conservarlo se incorporará a un fichero que deberá estar dado de alta en la Agencia de Protección de Datos con el nivel de seguridad que corresponda (recomendable el nivel alto) Ese fichero también constará en el documento de seguridad de la oficina de farmacia. Además, si el fichero en el que se incluye el curriculum es manual (porque el formato es en papel), deberá, entre otras cosas, guardarse en un armario cerrado con llave, determinarse quienes son los usuarios autorizados y establecerse un registro de accesos a través del cual pueda el responsable del fichero saber la consulta que se ha hecho, qué modificación se ha operado o qué se ha suprimido y por quién.

Además, la entrega de un curriculum por el candidato, aunque no se especifique, persigue un fin, que es su incorporación a un proceso de selección de personal en la farmacia receptora. Por tanto, los datos que se incluyan en el mismo no podrán ser utilizados por el farmacéutico titular para otras finalidades, ni podrá cederlos a otras farmacias o empresas sin el consentimiento expreso e inequívoco del candidato, titular de los datos. En este sentido, a modo ilustrativo, traigo a colación la resolución de la AGPD R/01568/2010 en la que se impone una multa de 60.121,21€ más 6.000€ por cederse un curriculum entre empresas sin consentimiento inequívoco del afectado. Y es que, más allá de la letra de la Ley Orgánica de Protección de Datos, la Audiencia Nacional exige una especial diligencia a la hora de operar con los datos de carácter personal, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos. (En este sentido, entre otras, sentencias de la Audiencia Nacional de fechas 24 de abril de 2001 y 3 de marzo de 2004).

A la vista de todo ello, lo más fácil sería no recoger ningún currículum, salvo que se esté buscando personal, ya que de esta forma se evita adoptar cambios en materia de protección de datos de la farmacia. Sin embargo, disponer de los datos de posibles trabajadores puede ser de indudable utilidad y no debe dar miedo guardar los currículum si el fichero está debidamente dado de alta en la Agencia de Protección de Datos y están las medidas de seguridad legales implantadas en la farmacia. Al fin y al cabo, este fichero sería sólo uno más a sumar a todos los que hoy en día tiene la farmacia, por lo que el titular, responsable del fichero, no se enfrentaría a algo totalmente nuevo.