La farmacia, al igual que cualquier otra empresa tiene la obligación de cumplir con la Protección de Datos, y para hacerlo y poder conseguir un compromiso de confidencialidad y seguridad con las personas que le proporcionan sus datos personales, y proteger los mismos, debe ser capaz de implantar y tener constantemente actualizado unos protocolos. Recordar que si no cumplís con la normativa de Protección de Datos podéis tener denuncias que deriven en sanciones.
Hoy os vamos a hablar de algunos de esos protocolos obligatorios que debéis conocer, implantar y mantener a lo largo de toda vuestra actividad como farmacia.
- Protocolos de actuación
- Protocolos del tratamiento
- Protocolos de actuación para el ejercicio de los derechos del interesado
PROTOCOLOS DE ACTUACIÓN EN LA FARMACIA
Como su nombre bien indica, son aquellas instrucciones que nos muestran cómo actuar en determinadas circunstancias. Los protocolos que la farmacia tiene obligación de tener son los siguientes:
- Protocolo que informe y comunique del tratamiento al interesado. Debemos tomar las medidas oportunas para comunicar al interesado, nuestros clientes- pacientes, la información del tratamiento y los derechos que le asisten.
- Protocolo que nos indique como cumplir con la Protección de Datos con los intervinientes en el tratamiento, tanto si los datos que vamos a tratar son datos de la farmacia o nos los han cedido como encargados de tratamiento. Debemos tomar las medidas adecuadas para garantizar la protección estos datos cuando el tratamiento lo realice personal nuestro y para ello debemos recoger mediante la firma de un acuerdo de confidencialidad indicando a que puede tener acceso y a donde. Lo mismo ocurre con los encargados de tratamiento, debemos registrar todas las empresas o profesionales externos a la farmacia que puedan acceder a los ficheros responsabilidad nuestra.
- Otro protocolo que debemos tener implantado cuando tenemos trabajadores a nuestro cargo, es el de garantía de los derechos digitales. Aquí, al igual que en el anterior, tanto si somos los responsables como los encargados del tratamiento, debemos tener fijado un protocolo que contribuirá a la aplicación de los derechos digitales relativos al entorno laboral establecidos en la LOPDGDD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales).
- El bloqueo de los datos, este es un protocolo de actuación que debemos seguir cuando tengamos que proceder a la rectificación o supresión de datos personales una vez finalizado el plazo de prescripción de sus responsabilidades.
- En caso de violaciones de seguridad, este es un protocolo que se debe poner en marcha siempre que haya cualquier incidencia que ocasione la destrucción, perdida o alteración por accidente o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, ocasionando daños o perjuicios a INTERESADOS o terceros en el transcurso del tratamiento de datos. Hablamos de esto en otro artículo hace unos meses. Puedes volver a leerlo: Cómo detectar y notificar una brecha de seguridad
- Protección de datos desde el diseño y por defecto. Este protocolo es fundamental puesto que es uno de los pilares del RGPD, y consiste en implementar medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado al riesgo que entrañe el tratamiento, a ser posible antes de comenzar el tratamiento (de ahí desde el diseño y por defecto), y teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, alcance, contexto y fines del tratamiento.
- Evaluación de riesgos, consiste en analizar los riesgos, examinando todas las operaciones de tratamiento llevados a cabo con los datos con el fin de diagnosticar si existen riesgos para la protección de los derechos y libertades de los INTERESADOS. Se trata de identificar las amenazas y la probabilidad de que ocurran, para implantar medidas correctoras y que se minimice el riesgo hasta valores aceptables. En caso de que el análisis de riesgos prevea un ALTO RIESGO, se deberá llevar a cabo una evaluación de impacto relativa a la protección de datos.
PROTOCOLOS DEL TRATAMIENTO DE DATOS EN LA FARMACIA
En la farmacia podemos tratar datos “básicos”, de “categorías especiales” y en ocasiones, “alto riesgo”.
Es cierto que, según el tipo de datos que tratemos el cumplimiento de las disposiciones del RGPD puede ser uno u otro, por lo que deberemos poner en marcha un protocolo u otro, pero en la farmacia puede darse el caso de tener que poner en marcha dos protocolos a la vez o incluso los tres, por lo que debemos tenerlos todos preparados antes de realizar cualquier tratamiento de datos. Os pongo un ejemplo:
Cuando contratamos un empleado, recogemos sus datos personales para poder realizarle un contrato laboral o poder pagarle su nómina, esto, puesto que es para un fin legal obligatorio, son datos básicos, pero sin embargo en el momento que le pedimos registrar su huella dactilar para el registro de la jornada laboral, ya estamos obteniendo un dato biométrico que nos permitirá identificarlo sin ningún error. Este dato es de categoría especial, por lo que el protocolo a poner en marcha es otro.
Bueno pues con nuestros clientes pasaría lo mismo, todos los datos básicos necesarios para poder realizar una dispensación, entrarían dentro del interés legítimo que prevalece sobre la norma, pero todos los datos que recabemos fuera de este fin y que sean datos de salud, o genéticos, pasarían a ser datos de categoría especial, por lo que el protocolo cambiaría.
Por último, el protocolo correspondiente a los datos de alto riesgo, solo se aplicaría cuando el tratamiento este sujeto a una Evaluación de Impacto, ya que como decíamos anteriormente, esto puede incurrir en un alto riesgo para la protección de los derechos y libertades de los interesados.
Para el correcto cumplimiento de este tipo de protocolos, las “cláusulas” son unos documentos altamente necesarios, que nos permitirán recabar el consentimiento de los mismos e informarles de los tratamientos a realizar a nuestros clientes-pacientes, garantizando el correcto tratamiento de sus datos.
PROTOCOLOS DE ACTUACIÓN PARA EL EJERCICIO DE LOS DERECHOS DEL INTERESADO EN LA FARMACIA
Como en el resto de protocolos, es un protocolo de actuación obligado para la farmacia, que debe existir antes de poder empezar a trabajar con cualquier tratamiento de datos. En este protocolo los clientes- pacientes tendrán derecho a ser informados del tratamiento de sus datos personales y a solicitar a la farmacia la gestión de los mismos, siempre que lo permita la legislación vigente. Para el ejercicio de los derechos del interesado, debe existir un modelo de solicitud del ejercicio de derechos del interesado y debe ser atendido en el plazo marcado por la Ley. Siempre se debe dar respuesta a la solicitud presentada por el interesado con pleno derecho, ya sea de forma afirmativa o negativa. A pesar de los diferentes derechos que existen, Acceso, Rectificación, Supresión, Portabilidad, Limitación, Oposición, en la farmacia el caso más común es el de Supresión. Sin embargo, no solo es suficiente con tener los protocolos y documentos mencionados anteriormente, sino que para que la farmacia no incurra en el cumplimiento del RGPD, debemos tener actualizada en todo momento la siguiente documentación, la cual iremos comentando en próximos artículos.- Ficheros
- Estructura técnico-organizativa de la farmacia
- Tratamientos en Internet
- Documentación Responsable de Seguridad
- Registro de actividades
- Informes Reglamentarios
- Informe que refleje las Amenazas de Protección de Datos, el Cumplimiento Normativo, la Responsabilidad Proactiva, la Política de Seguridad y la Política de Información que se haya adoptado.