Desde hace algunos años, las farmacias han empezado a comunicarse con sus clientes- pacientes más allá del mostrador. Para ello, hacen uso de SMS, plataformas de email marketing, eventos… y otras muchas actividades para las que, la actual norma de protección de datos nos exige seguir unas normas cuando esto implica comunicarnos comercialmente con nuestros clientes- pacientes. Por tanto, no debemos olvidarnos de la protección de datos antes de poner en marcha cualquier acción de este tipo.
Cuando digo cualquier acción de este tipo, me refiero, por ejemplo:
- a una convocatoria para un taller sobre cuidados del bebé
- un evento donde presentemos un producto
- un sorteo para promocionar alguna crema
- o cualquier otra acción de publicidad que la farmacia quiera realizar, ya sea mediante una campaña de marketing física, digital o con la colaboración de un externo.
Antes de continuar, un pequeño apunte, recordar que para poner en marcha la mayoría de acciones publicitarias debéis consultar siempre la legislación de cada Comunidad, y nunca debéis utilizar dichas acciones para la promoción o publicidad de productos sanitarios o medicamentos. Pero entendemos que esto es algo que todos los farmacéuticos ya sabéis.
Como os indicaba en el título de este artículo, únicamente quiero centrarme en la protección de datos y en aquello que debéis tener en cuenta para que no os puedan sancionar por utilizar los datos personales de vuestros clientes en finalidades para las que no habéis recabado su consentimiento, ya que este es el aspecto más importante que debéis tener en cuenta y que siempre suele estar reñido con las prácticas comerciales de vuestra farmacia, tanto si van dirigidas a clientes de la propia farmacia como a potenciales.
Algunos de vosotros ya tenéis una base de datos con clientes a los que les realizáis acciones comerciales, y a los que en su momento les recabasteis su consentimiento para esta finalidad. Pues bien, si es así, perfecto. Únicamente debéis comprobar que estos consentimientos no son anteriores a la entrada en vigor del Reglamento actual (2018) y que se recogieron de manera expresa y no tácita, ¿qué quiere decir esto? Que debe habernos autorizado con una clara acción afirmativa (explícitamente), es decir, si en el consentimiento que tenemos firmado dice que utilizamos sus datos para enviarle información comercial y que si no está de acuerdo nos lo diga, es un consentimiento tácito, por lo que no sería válido. Esto era muy habitual antes de 2018 (antes del RGPD) puesto que la LOPD así nos lo permitía. En definitiva, para poder enviar comunicaciones comerciales a nuestros clientes tenemos que tener un documento válido (papel o electrónico) donde nos haya autorizado para ello de forma explícita.
Otros no tenéis ninguna base de datos, pero estáis pensando en acceder a fuentes accesibles al público, y ya está. Aquí es cuando podemos cometer otro error, ya que pensáis que podemos hacer con estos datos lo que queramos y que como están ahí, en una guía de teléfono, en un boletín … al alcance de cualquiera, podemos bombardearles con emails, pero recordar que esto no siempre es así ya que estos datos deben estar vigentes, porque si ha salido una nueva edición ya no se consideran fuentes de accesibles al público, y además debemos comprobar que no están en ningún fichero de exclusión publicitaria (lista Robinson) porque si no os podrían sancionar. Por tanto, nuestro consejo es que evitéis crear una base de datos sin una base de consentimiento, ya que podéis cometer algún error que os puede costar caro, es complicado y costoso (en tiempo, sobre todo) ya que tendríais que validar que no está en ninguna lista de exclusión, que es válido el correo o teléfono, que la fuente es fiable... demasiado trabajo tanto para crearla como para mantenerla, ya que tendríais que revisar periódicamente que la legitimación es correcta.
Una vez hemos definido como crear nuestra base de datos, viene el siguiente paso, como utilizarla. Hoy en día casi todas las farmacias optan por realizar campañas de email, ya que son muy ventajosas. Además de tener los emails de los clientes de nuestra farmacia porque nos los dieron de forma voluntaria, también podemos tener su nombre, apellido, e incluso su edad y estos se pueden filtrar y obtener distintas categorías de clientes según sus necesidades y todo sin llevarnos mucho tiempo, lo cual es algo muy agradecido en la farmacia. Asimismo, sacar los reportes de estas campañas no es algo muy complejo con una pequeña herramienta informática, por lo que podríamos valorar nuestros resultados de forma fácil y sencilla. Pero ojo, si sus datos nos los dio para que le avisemos de un encargo, por ejemplo, y no nos ha autorizado a enviarle información comercial, no podremos utilizarlos para campañas comerciales.
Sea como sea, lo que no debemos olvidar nunca, ni dejar de lado, es el cumplimiento del Reglamento General de Protección de Datos (RGPD), tenerlo presente si no queremos ser sancionados. Por ello, para evitar una posible multa, debemos siempre seguir estos pasos:
- Tener claro cómo vamos a obtener los datos: formularios, trípticos, fuentes accesibles al público…
- Para qué los vamos a utilizar: hay que detallar su finalidad, y tener claro que si, por ejemplo, es para recibir ofertas, no le podemos enviar nada más que no sean ofertas. Se debe hacer una reflexión sobre las finalidades, porque si, por ejemplo, ponemos que nos autorice a felicitarle el cumpleaños, no podremos felicitarle el santo, por poner un ejemplo extremo.
- Utilizar textos muy claros y fáciles de entender: en los textos que utilicemos para recabar el consentimiento para acciones comerciales debemos poner bien claro la palabra “publicidad”.
- Cuando los vamos a eliminar: se conservarán durante no más tiempo del necesario para mantener el fin del tratamiento o mientras existan prescripciones legales que dictaminen su custodia y cuando ya no sea necesario para ello.
- Cómo los vamos a eliminar: siempre se suprimirán con medidas de seguridad adecuadas para garantizar la anonimización de los datos o la destrucción total de los mismos.
- Qué tenemos que hacer si el interesado quiere ver los datos que tenemos de él: hay que indicar nuestros datos de contacto para que puedan ejercer sus derechos. Debemos facilitar el permitir modificar sus datos o incluso darse de baja.
- Dejar registro de todas las gestiones que realices con los datos: estas evidencias estarán siempre a disposición de la autoridad pertinente si fuese necesario y podrás demostrar todo lo realizado.
- Obtener el consentimiento (expreso e informado): el interesado puede o no autorizar el tratamiento. Nunca uses casillas previamente marcadas.
Como conclusión, la actividad comercial de una farmacia es muy importante (fidelización, ventas, marketing…) para su crecimiento, pero las sanciones por no llevar a cabo esta actividad correctamente (incumplimiento del RGPD, LOPDGDD, LSSI…) también pueden llegar a serlo. Por eso debemos conocer las normativas que engloban esta actividad, tanto de protección de datos como sanitarias, y rodearnos de expertos especializados en farmacia que puedan asesorarnos en el cumplimiento de las mismas.
Como siempre nos ponemos a vuestra disposición para cualquier duda o pregunta sobre este tema, u otros que puedan afectar a la gestión de vuestra farmacia. Puedes dejar tus datos en el enlace y contactaremos contigo.
María Cerón Polo
Consultora protección de datos Audifarma