• Horario: 09 a 19
  • info@legalglobal.es

Legal Global

Consultoría Compliance

Protección de datos para Farmacias

Spread the love

La Protección de datos para farmacias aplica tanto a las farmacias físicas como a las online.

¿Qué tipo de datos personales tratan las farmacia?

Las farmacias tratan distintos tipos de datos personales. Por un lado, están los datos identificativos, como pueden ser nombres y apellidos, dirección, correo electrónico, etc.

Por otro, están los datos relacionados con la salud. Y con estos es con los que hay que tener especial cuidado. Para el desarrollo de su actividad, la farmacias han de tener datos sobre patologías, diagnósticos y tratamientos, para la dispensación de medicamentos derivados de la atención sanitaria.

Los datos relacionados con la salud están incluidos dentro de las categorías especiales de datos. Se trata de datos especialmente sensibles, que al igual que la información sobre razas, creencias, etc, cuentan con una protección especial.

Gestión de la protección de datos en la oficina de farmacia

Como farmacia, en tu negocio te encargas de recoger recetas médicas o cumplir con otros servicios farmacéuticos, esto supone manejar datos personales de tus clientes, además, algunos de ellos de categoría especial, puesto que los datos relativos a la salud de las personas están especialmente protegidos.

Esta situación, como a cualquier otro negocio o empresa, te llevará a tener que adaptarte al Reglamento General de Protección de Datos, de manera que cumplas con la legalidad vigente en esta materia. Para ello deberás realizar una serie de actuaciones:

  1. Realizar un Registro de actividades de tratamiento
  2. Elaborar un análisis de riesgos
  3. Realizar una Evaluación de impacto
  4. Firmar los contratos con terceros
  5. Incluir los textos legales en la página web
  6. Solicitar el consentimiento a los clientes/pacientes
  7. Facilitar los derechos de los usuarios
  8. Firmar los contratos con los empleados
  9. Nombrar un DPD

Realizar el registro de actividades de tratamiento para farmacias

Elaborar un registro de actividades de tratamiento es el paso para cumplir con la ley de protección de datos, puesto que necesitas saber qué tipo de datos manejes, en qué cantidad y cómo los tratarás.

Para poder hacer, te puedes basar en esta pequeña lista de preguntas o puntos:

  • Tipo de datos que recopilas
  • Finalidad del tratamiento
  • Política de almacenamiento de esos datos
  • Si cedes esos datos o los transfieres fuera de nuestro país
  • Medios de tratamiento

Este registro de actividades de tratamiento puede hacer en formato electrónico o en soporte papel, y de debe mantenerse lo más actualizado posible, puesto que es el documento que la AEPD (Agencia Española de Protección de Datos) te puede solicitar en caso de que lleve a cabo una inspección en tu farmacia.

a) Análisis de riesgos

Actualmente, los datos personales son un bien muy preciado y a gente que se dedica a tratar de robarlos para venderlos al mejor postor o realizar acciones fraudulentas con ellos. Por este motivo es importante que llevar a cabo un análisis de riesgos al que pueden estar expuestas las bases de datos de las farmacias, valorando, entre otras

  • Tipo de tratamiento:
    • ¿Dónde se almacenan los datos?
    • ¿Durante cuánto tiempo?
    • ¿En un fichero o en una base de datos?
    • ¿En qué equipos?
  • Naturaleza de los datos,
    • Identificativos
    • Bancarios
    • De salud ….
  • Número de interesados afectados;

Evidentemente, una vez terminado este análisis, obtendrás un informe de los riesgos potenciales que puedes enfrentar al realizar el tratamiento de los datos personales de tus clientes. Ese informe deberás emplearlo para tomar las medidas de seguridad adecuadas con las que puedas prevenir y evitar ataques informáticos que conduzcan a la pérdida o robo o exposición de dichos datos.

b) Evaluación de impacto

Como los datos personales de terceros que se manejan en una farmacia son especialmente sensibles, tendrás también la obligación de realizar una evaluación del impacto para minimizar las posibilidades de afectar a los derechos o libertades de los interesados (es decir, de aquellos terceros cuyos datos hayan podido quedar expuesto).

Como en el paso anterior, de la evaluación de impacto debería surgir un informe con el que puedas tomar e implementar las medidas de seguridad adecuadas para evitar cualquier tipo de ataque informático que ponga en riesgo tus bases de datos de clientes.

c) Contratos con Encargados de tratamiento

Entre las obligaciones que exige la protección de datos para empresas está la de firmar contratos con encargados de tratamiento de todas las empresas y profesionales externos con los que tengas una relación laboral (te presten algún servicio) que pueda implicar ceder datos personales de tus clientes.

En estos contratos de encargado de tratamiento tu farmacia y la empresa o profesional externo debéis acordar las condiciones y obligaciones para el correcto tratamiento de los datos personales de tus clientes a los que puedan tener acceso. Sirve, en esencia, para asegurarnos de que estas empresas o profesionales cumplen también con la ley de protección datos.

d) La página web de la farmacia

Si tu farmacia tiene una página web en la que ofrezcas alguna clase de servicio o asesoramiento, también estás obligado a cumplir con varios aspectos tanto del RGPD, la LOPD y la LSSI:

  • Aviso legal: se identifica al propietario de la web. Incluye información como el nombre, NIF, dirección, email, teléfono o número de inscripción en el registro mercantil.
  • Política de privacidad: informa sobre el tratamiento de datos que realiza la web. Quién es el responsable o encargado de tratamiento, finalidad de la recogida de datos, plazo de conservación, cesión de datos a terceros o vías para ejercer los derechos ARCO.
  • Política de cookies: indica el tipo de cookies que usa la web. Para colocar una cookie en el navegador del usuario se debe solicitar su consentimiento expreso.

e) El consentimiento de usuarios, clientes y pacientes

Además de actualizar la política de privacidad, en la entidad farmacéutica debes tener el consentimiento de todos tus clientes para poder tratar sus datos.

El consentimiento en protección de datos ha de ser expreso, otorgado mediante una acción inequívoca y voluntaria, por ejemplo marcar una casilla de verificación. Ya no está permitido el consentimiento tácito o por omisión.

En caso de que la farmacia esté tratando datos de clientes que en su día no otorgaron el consentimiento de forma expresa, deberá volver a solicitarlo. Y si se solicitan los datos con varias finalidades, se ha de pedir el consentimiento por separado para cada una de ellas.

f) Derechos de los interesados

El RGPD asegura que los interesados podrán ejercer una serie de derechos LOPD respecto a los datos personales que las empresas o entidades manejan sobre ellos:

  • Acceso a los propios datos personales;
  • Rectificación si los datos son inexactos;
  • Supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
  • Limitación del tratamiento;
  • Portabilidad de los datos;
  • Oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
  • Con el derecho al olvido, el paciente puede solicitar que se eliminen o se oculten los datos que le conciernen. Recordamos que en materia de salud es necesario conservar algunos datos durante un cierto número de años para cuestiones médicas/legales. En este caso, es preferible ocultar los datos en lugar de eliminarlos.

Las farmacias deben proveer de los mecanismos necesarios para que los interesados puedan ejercer sus derechos. Estos medios quedarán recogidos de manera clara tanto el documento de consentimiento a firmar por clientes o pacientes, como en la política de privacidad de la página web.

g) Contratos de confidencialidad con empleados

Si tienes empleados trabajando en tu farmacia y estos tienen acceso a los datos personales de tus clientes, deberás asegurarte de que cumplen también con la LOPD. Para ello, deben firmar un contrato que contenga cláusulas que garanticen la confidencialidad de trabajadores para evitar que revelen información de forma no autorizada y en caso de hacerlo, que puedas hacerles responsables a ellos.

También debes informar y formar a tus empleados sobre las medidas de seguridad en materia de protección de datos que haya adoptado tu farmacia, para asegurarte de que no sean un punto de vulnerabilidad que puedan aprovechar los ciberdelincuentes para robar datos personales de tus clientes.

h) Notificar brechas de seguridad

Si aún con todas las medidas de seguridad y precauciones tomadas para proteger los datos personales que tratas de tus clientes, acaba produciéndose un incidente de seguridad que pueda dejarlos expuestos, el RGPD y la LOPD obligan a la notificación de las brechas de seguridad tanto a los interesados como a la AEPD.

Para realizar esta notificación, junto a la información de las medidas tomadas para ponerle solución y minimizar los posibles perjuicios, hay un plazo máximo de 72 horas. Ten en cuenta que si pruebas haber tomado todas las precauciones posibles y contar con medidas de seguridad suficientes implementadas, es posible si te sancionan por la brecha de seguridad, se tomen como atenuantes.

i) Nombrar un Delegado de Protección de Datos

Dependiendo del volumen de datos personales que se trate en la farmacia y de la categoría de estos, es posible que tengas la obligación de nombrar a un profesional que se encargue de todos los procesos y políticas internas en materia de protección y tratamiento de datos. Estamos hablando el Delegado de Protección de Datos (DPD o DPO).

La LOPDGDD señala que tienen obligación de contar con un Delegado de Protección de Datos los centros sanitarios que tengan acceso al historial clínico de sus pacientes. No será necesario si se ejerce como profesional sanitario a título individual.

En cualquier caso, las farmacias tienen acceso a datos sobre la salud que están especialmente protegidos, por lo que si bien no es obligatorio, sí se más que recomendable contar con un DPD.

Cuando designas a un DPD, debes además, asegurarte de comunicar su nombre y datos de contacto a la AEPD. Así mismo, esta designación podrá hacerse sobre un empleado que forme ya parte de la plantilla, o contratado un profesional o empresa externos expertos en la protección de datos.

Sanciones por incumplimiento de las obligaciones legales

Las sanciones se interpondrán teniendo en cuenta:

  • Naturaleza, gravedad y duración de la infracción
  • Número de interesados afectados
  • Nivel de los daños y perjuicios que hayan sufrido
  • Intencionalidad o negligencia en la infracción
  • Medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados.

Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

Así, la cuantía de las sanciones RGPD para farmacias dependerá de la gravedad de la infracción:

  • Las infracciones leves se sancionarán con multas de hasta 40.000 €.
  • Las infracciones graves se sancionarán con multas entre 40.001 € a 300.000 €.
  • Las infracciones muy graves se sancionarán con multas entre 300.001 € a 20.000.000 € o el 4% de la facturación del último ejercicio.

Preguntas frecuentes

¿Debo establecer medidas de seguridad adicionales a las habituales en el sector?

La normativa de protección de datos no hace referencia a medidas concretas de seguridad. Se refiere a las “adecuadas al tipo de datos que se maneja, su volumen y finalidad, y en todo caso en relación al estado actual de la tecnología y al coste asociado a su implantación”.

Esto quiere decir que las medidas de seguridad deben ser las correspondientes al manejo, en el caso de las farmacias, de datos tan sensibles como los de salud. Que además pueden afectar a colectivos considerados vulnerables, tales como los menores o los ancianos.

Por todo lo anterior se hace necesario enfatizar en la necesidad de cumplir unas medidas de seguridad como:

  • establecer sistemas de identificación de usuarios y contraseñas para el acceso a la información en el caso del uso de herramientas informáticas,
  • elaborar una relación de autorizados y sus niveles de acceso,
  • posible encriptación de archivos y
  • realizar copias de respaldo de la abundante documentación de la que normalmente se dispone en las farmacias.

En el caso de prestadores de servicios sin acceso a datos en farmacias, ¿Cuándo se tratan datos personales?

Cuando prestamos el servicio, no actuamos como Encargados de tratamiento, ya que no debemos tener acceso a datos personales de clientes para ejecutar nuestro contrato con la clínica como prestador de servicios.

Es obligación de la clínica, como Responsables, enviar cualquier información para la revisión por parte del prestador del servicio con los datos personales de los clientes anonimizados.

En caso contrario (recibir la información sin anonimizar datos), el prestador del servicio deberá tomar medidas técnicas, como la destrucción de esa información, informando al Responsable y pidiendo la recepción correcta conforme al RGPD de la información.

Cuando no se tenga acceso a datos personales de las clínicas/laboratorios no se deberá firmar un contrato de “Encargado de Tratamiento” en sí. Sin embargo, sí sería necesario firmar un “Contrato de Prestador de Servicios y/o Confidencialidad SIN acceso a datos”, donde se recojan las obligaciones del Responsable y del Encargado sin acceso a datos, así como el deber de confidencialidad propio y de nuestros empleados en caso de acceso a los datos.

En caso contrario, siempre será necesario firmar un “Contrato de Encargado de Tratamiento” conforme al RGPD. Algunos ejemplos de estos prestadores de servicios son: empresa de limpieza, mantenimiento técnico, catering de empresa, etc.

¿Deben las farmacias cumplir los requisitos del RGPD en la instalación de cámaras de videovigilancia?

Por supuesto. En caso de que instalen cámaras de videovigilancia deben:

  • Incluir el correspondiente tratamiento
  • Cumplir el principio de proporcionalidad
  • Informar mediante el correspondiente cartel distintivo

¿Qué ocurre con las tarjetas de fidelidad facilitadas a mis clientes/pacientes?

Aquí hay que prestar gran atención porque los datos que recoge el farmacéutico, en algunas ocasiones no son del farmacéutico, no los puede usar y tratar para su uso en la farmacia como propios. Son de la sociedad que gestiona la tarjeta. Hay que ser conscientes de qué es de la farmacia y qué no es, de qué datos es responsable la farmacia y de cuáles es encargada de tratamiento, así como de las obligaciones que tiene respecto de esos datos.Esperamos haberte ayudado con todo lo que debes hacer para adaptar tu farmacia a la normativa de Protección de Datos.

¿Necesitas ayuda?

Escríbenos a info@legalglobal.es

Más información de nuestros servicios en materia de la Ley Orgánica de Protección de Datos y de Garantía de Derechos Digitales (LOPDGDD): https://www.legalglobal.es/proteccion-de-datos/

Entra en nuestra tienda, para poder adquirir la protección de datos de su sector: https://legalglobal.es/tienda/

También te podría interesar:

  • Protección de datos para Academias y centros de formación
  • Protección de datos para Administración de loterías
  • Protección de datos para Administradores de Fincas
  • Protección de datos para Agencias de viajes
  • Protección de datos para Agentes aduaneros
  • Protección de datos para Agentes comerciales
  • Protección de datos para Agentes inmobiliarios
  • Protección de datos para Aparcamientos
  • Protección de datos para Aseguradoras
  • Protección de datos para Asesorías Fiscal, laboral y contable
  • Protección de datos para Asociaciones, clubs, peñas
  • Protección de datos para Asociaciones de padres y madres (AMPA)
  • Protección de datos para Asociaciones de vecinos
  • Protección de datos para Autoescuelas
  • Protección de datos para Autobuses y Transporte turístico
  • Protección de datos para Azafatas
  • Protección de datos para Call center y teleoperadores
  • Protección de datos para Campings y alojamientos rurales
  • Protección de datos para Campos de golf
  • Protección de datos para Centros de terapias naturales, Hamman, SPA, balnearios y masajes
  • Protección de datos para Centros de negocios
  • Protección de datos para Centros sanitarios (Hasta 25 trabajadores)
  • Protección de datos para Clínicas o consultas médicas: odontología (dentista), traumatología, pediatría, psicología, psiquiatría, fisioterapia, nutricionista, ginecología, traumatología, urología, oftalmología, cirugía, dermatología, alergología, reumatología, otorrinolaringología, oncología, medicina estética, cardiologia, endocrinología, Anestesiología, Geriatría, digestivo, Hematología, nefrología, Neumología, Neurología, rehabilitación, Angiología, Reproducción asistida o fertilidad, Logopedas).
  • Protección de datos para Cofradías o Hermandades Religiosas
  • Protección de datos para Comercios al por menor, tiendas y suministros industriales. (Ejemplos: artículos médicos y ortopédicos; alarmas contra robos e incendios; cuberterías, vajillas, porcelana, loza y vidrio; muebles domésticos y lámparas; utensilios de madera, corcho y cestería; reparación de equipos de audio y video; artículos de segunda mano; alfombras, revestimientos de paredes y suelos; artículos deportivos; bricolaje; frutas y hortalizas; ordenadores, periféricos y programas; animales; bebidas; chuches y golosinas; electrodomésticos; equipos de audio y video; equipos de telecomunicaciones; grabación de música y video; libros; material fotográfico, sellos y souvenirs: periódicos y artículos de papelería; prendas de vestir; productos farmacéuticos en establecimientos especializados; ropa de cama y mesa, instrumentos musicales; jugueterías; zapaterías; accesorios para vehículos; ferreterías; droguerías, estancos, floristerías, herbolarios, mercerías, papelerías y venta de periódicos, perfumerías, relojerías y joyerías, anticuario, numismática, decoración, artículos náuticos, muebles, suministros industriales..etc).
  • Protección de datos para Comercios de alimentación (Ejemplos: Carnicerías, Charcuterías, Sucursal de carne, Volatería/Recova, Pescadería, Freiduría de pescado, Frutería, Panadería, Panificadoras, Obradores, Pastelería-Confitería, Horneado de pan, Venta de golosinas, Freiduría de patatas, Heladerías, Congelados, Minorista polivalente (supermercado y almacenes), Tienda online).
  • Protección de datos para Comunidades de Propietarios
  • Protección de datos para Colegios profesionales
  • Protección de datos para Concesionarios de vehículos y maquinaria industrial o agrícola
  • Protección de datos para Consejos de Hermandades
  • Protección de datos para Consultoras y asesorías: (Servicios especializados de marketing, calidad,  medio ambiente, prevención de riesgos, recursos humanos, responsabilidad social corporativa, networking, normativas, industriales,..etc)
  • Protección de datos para Construcción, Promoción inmobiliaria y Arquitectura: electricidad, fontanería, albañilería, jardinería, pintores, yesista, carpintería, climatización, maquinista, impermeabilizaciones, cerrajeros, limpieza vertical,…etc. (Hasta 25 trabajadores)
  • Protección de datos para Decorados y Tematizaciones
  • Protección de datos para Despachos de Abogados
  • Protección de datos para Detectives privados
  • Protección de datos para Distribución de botellas de butano
  • Protección de datos para Empresas de informática
  • Protección de datos para Empresas de energía
  • Protección de datos para Empresas de comunicaciones
  • Protección de datos para Empresas de trabajo temporal (ETT)
  • Protección de datos para Entidades Financieras y de crédito
  • Protección de datos para Estaciones de Esquí
  • Protección de datos para Extintores
  • Protección de datos para Farmacias
  • Protección de datos para Fotógrafos
  • Protección de datos para Gasolineras
  • Protección de datos para Gimnasios y centros deportivos
  • Protección de datos para Hostelería (Ejemplos: Pubs, Bar, Cafetería, Venta de carretera, Teterías, Kebabs, Asador de pollo, Pizzería, Hamburguesería, Bagueterias, Yogurterías, Restaurantes, cafeterías, bares, cantinas y tabernas, Guarderías con cocina, Comedores escolares).
  • Protección de datos para Hoteles, Hostels, Albergues y Apartamentos turísticos (Hasta 25 trabajadores)
  • Protección de datos para Iglesias
  • Protección de datos para Iglesias Evangélicas
  • Protección de datos para Inmobiliarias
  • Protección de datos para Laboratorios (Análisis clínicos, Anatomía patológica, Bioquímica clínica, Farmacología clínica, Inmunología, Medicina nuclear, Microbiología y parasitología, Neurofisiología clínica, Radiodiagnóstico)
  • Protección de datos para Limpieza
  • Protección de datos para Mensajería
  • Protección de datos para Mudanzas
  • Protección de datos para Museos
  • Protección de datos para Notarias
  • Protección de datos para Ocio Nocturno: Discotecas y pubs
  • Protección de datos para ONG
  • Protección de datos para Ópticas y oculistas
  • Protección de datos para Organizadores Profesionales de Congresos (OPC)
  • Protección de datos para Parques infantiles y juvenil de ocio y entretenimiento
  • Protección de datos para Peluquerías y maquillaje
  • Protección de datos para Residencias de ancianos
  • Protección de datos para Restaurantes y servicios de catering
  • Protección de datos para Seguridad privada
  • Protección de datos para Talleres mecánicos
  • Protección de datos para Tanatorios
  • Protección de datos para Tatuajes
  • Protección de datos para Taxistas
  • Protección de datos para Tiendas online
  • Protección de datos para Transporte y logística
  • Protección de datos para Turismo Activo, Industrial, Médico y Rutas Turísticas (Guías turísticos)
  • Protección de datos para Veterinarios
  • Protección de datos para Viveros y empresas agrícolas

Abrir chat
Powered by Joinchat
Hola 👋
¿En qué podemos ayudarte?