¿ Crees que tu FARMACIA está correctamente adaptada a la LOPD y RGPD ?
Las obligaciones para un comercio como pueda ser una farmacia pasarán por todas las obligaciones genéricas que comporta la aplicación del Reglamento General de Protección de Datos para un Responsable del tratamiento. Ninguna empresa o negocio puede dejar de cumplir con la normativa vigente en materia de protección de datos y especialmente aquellas que manejan datos considerados de categoría especial, como los de salud.
Las farmacias manejan una gran cantidad de datos en su día a día y son datos de salud de los pacientes por lo que deben ser correctamente protegidos y exigen una serie de obligaciones especiales, como son la de contar obligatoriamente, con un Delegado de Protección de Datos, conocido por sus siglas en inglés como DPO
Debe tratarse de un experto/a en Protección de Datos, cuyas funciones son asesorar en materia de Protección de datos al Responsable del fichero, en este caso la farmacia y debe operar con total imparcialidad.
La aplicación de la normativa en Protección de Datos de las farmacias, según mi experiencia, te puede plantear la siguiente duda:
¿Tengo que cumplir con esta normativa si soy autónomo/a?
Sí, por supuesto, toda persona física como jurídica que fuera de su ámbito doméstico, trate datos de carácter personal de terceros, está sujeta al cumplimiento de la normativa en materia de protección de datos.
Las principales actuaciones que debes realizar en tu farmacia para adaptarte al RGPD son:
1. Registro de actividades de tratamiento
El nuevo Reglamento ha eliminado la obligación de notificar a la Agencia Española de Protección de Datos ( AEPD ) la existencia de un fichero.
El fichero no ha desaparecido como concepto, pero existe la preferencia de identificar los datos en función de su tratamiento y la tipología del dato, en vez de hacerlo por la existencia del fichero en sí.
Ese registro de actividades ha de estar documentado y a disposición de las autoridades competentes.
2. Análisis de riesgos
El farmacéutico titular de oficina de farmacia realiza un tratamiento de categorías especiales de datos personales, debe llevar a cabo un análisis de riesgos, con el fin de valorar el impacto de la exposición a la amenaza por el hecho de que ésta se materialice, como consecuencia del tratamiento de los datos.
El análisis de riesgos debe ser el resultado de un estudio documentado sobre las implicaciones de los tratamientos respecto a los derechos y libertades de los interesados o de la cantidad y variedad de tratamientos que lleve a cabo el farmacéutico titular de la oficina de farmacia.
3. Evaluación de impacto
En tu farmacia estás obligado a realizar esa Evaluación de Impacto al tratar categorías especiales de datos, porque manejas datos de salud de tus pacientes.
Con la realización de la Evaluación de Impacto, se determinarán los posibles daños que se producirán si la amenaza se materializa y afecta a los interesados.
Después de estos análisis deberás implementar unas medidas de seguridad correctas.
4. Contratos con Encargados de tratamiento
El encargado de tratamiento es la persona física o jurídica, autoridad pública, servicio u otro organismo que presta un servicio al responsable de tratamiento que conlleva el acceso y el tratamiento de datos personales por cuenta de éste.
En el caso de la actividad llevada a cabo en la oficina de farmacia, los encargados de tratamiento serán aquellas personas y/o entidades que presten un servicio al farmacéutico titular propietario del establecimiento: asesorías, empresas que realizan fórmulas magistrales a la farmacia, empresa de hosting dónde se ubican alojados los datos de sus pacientes en la nube, el farmacéutico titular de oficina de farmacia puede ser encargado de tratamiento de aquellos datos personales a los que la administración sanitaria le proporciona acceso cuando participa en programas de salud promovidos por dicha administración.
5. Página web
Si ofreces los servicios de información o asesoramiento a través de una página web debes incluir en ella los textos exigidos por la normativa de Protección de Datos y la Ley de Servicios de la Sociedad de la Información (LSSI):
- Aviso legal
- Política de privacidad
- Política de cookies
6. Consentimiento de pacientes
Los interesados, usuarios / clientes / pacientes, de la oficina de farmacia tienen derecho a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización por escrito, salvo que dicho acceso esté amparado por la Ley.
7. Derechos de los interesados
El responsable de tratamiento tiene el deber de informar a los interesados de los derechos que les asisten en relación con el tratamiento de datos que lleve a cabo.
El nuevo reglamento ha ampliado el elenco de derechos, con el objeto de proporcionar herramientas de control de sus datos.
El farmacéutico deberá informar de cómo, cuándo y dónde el interesado puede ejercer tales derechos, y deberá responder dentro del plazo de 1 mes desde que se le presentó la reclamación, y de 2 meses cuando se trate de solicitudes más complejas.
Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer: acceso, rectificación, supresión ( olvido) , limitación, portabilidad, oposición y de no ser objeto de decisiones individualizadas.
8. Contratos de confidencialidad con empleados
Los empleados tienen acceso a toda la información que maneja la farmacia y deben firmar un acuerdo de confidencialidad para evitar que esa información sea revelada a personas no autorizadas.
Son los empleados los que manipulan y gestionan toda la información, por lo que deben estar debidamente informados y concienciados sobre las medidas de seguridad que deben aplicar para proteger dicha información.
En una farmacia, los empleados tienen acceso a un correo electrónico para comunicarse entre ellos internamente, y también para comunicarse con pacientes y proveedores.
Esto les convierte en objetivos de los atacantes, porque la ingeniería social y las técnicas como el phishing son los métodos de ataque más utilizados debido al éxito que tiene para los ciberdelincuentes.
9. Notificar brechas de seguridad
Una de las obligaciones que establece el nuevo Reglamento es la notificación de los incidencias de seguridad que se produzcan en la empresa.
¿A quién?
Tanto a los afectados como a la AEPD.
Te recomiendo estar prevenido con un plan de respuesta ante incidentes.
Existe un límite de 72 horas para notificar a las autoridades y dotar a estas de información, por lo que el plan debe someterse a prueba para garantizar que se cumple con el plazo establecido.
10. Delegado de protección de datos
El delegado de protección de datos es una figura que tiene distintas funciones:
- asesorar e informar al responsable de tratamiento;
- supervisar el cumplimiento de la normativa sobre protección de datos;
- cooperar con la autoridad de control,
- operar como punto de contacto entre ésta y el responsable de tratamiento.
La figura del DPO / DPD Delegado de Protección de Datos no existía en la normativa anterior al nuevo reglamento europeo.Por el volumen de datos que trates en tu farmacia, puede ser necesario que debas designar a un profesional con la cualificación, en esta materia para que salvaguarde los procesos y políticas internas del tratamiento de datos personales. Este profesional será el Delegado de Protección de Datos (DPD o DPO).
¿ Estás preparado/a para poner en práctica el Reglamento europeo dentro de tu FARMACIA ? Si tienes dudas sobre cómo empezar contacta conmigo, cumple el RGPD, gana la confianza de tus clientes y mejora la reputación de tu Farmacia.
HOLA RGPD realiza la adaptación integral de tu FARMACIA en Córdoba y en todo el territorio nacional.
Si aún te quedan dudas sobre si tu negocio o empresa está cumpliendo con la legislación vigente en materia de Protección de datos en Córdoba o si necesitas un Delegado de Protección de datos, ponte en contacto con nosotros en info@holargpd.es, empresa local cordobesa de Protección de datos.
Te ofrecemos consultorías de 30′ gratuitas, Protección de Datos Córdoba, Protección de Datos a nivel nacional, para ayudarte a saber si cumples o no cumples la normativa actual de Protección de datos, asesoramiento en Evaluaciones de Impacto y Servicio de Delegado de Protección de datos DPO / DPD DPO Córdoba.
Tanto para consultorías de Protección de datos Córdoba como a nivel nacional, se concertarán online por videoconferencia o llamada telefónica.
Con HOLA RGPD Gana Seguridad Gana Confianza
¿ Qué pasa si tengo estudiantes en prácticas en la farmacia y hay cámaras ? ¿ han de firmar algún documento?
Mónica, si existen empleados del régimen general que trabajen en la farmacia, así como en el supuesto de estudiantes que realicen prácticas, es necesario que recojas su compromiso de mantener la confidencialidad de los datos para que tengan conocimiento de que están siendo grabados. También debes informarles sobre el uso de estas imágenes y su finalidad. Un saludo