Cómo cumplir la Ley de Protección de Datos en el sector farmacéutico
El sector farmacéutico maneja una gran cantidad de datos en su día a día. Además, estos datos son sobre la salud de los pacientes por lo que deben ser protegidos cumpliendo la legislación vigente amparada en la Constitución Española y regulada por reglamentos europeos y españoles.
A continuación, ahondaremos en la Ley de Protección de Datos y su aplicación en el sector farmacéutico, descubriendo qué normas y leyes rigen la protección de datos y cómo se deben cumplir en este sector.
Qué normativa deben cumplir las farmacias
Las normas reguladoras de la protección de datos en el sector farmacéuticos son la RGPD, la LOPD, el Real Decreto-Ley 5/2018 y la Ley 41//2002, de autonomía del Paciente.
RGPD: Reglamento General de Protección de Datos
El RGPD es un reglamento europeo que se encuentra en vigor en toda la Unión Europea desde el 25 de mayo de 2018. Este reglamento protege los datos personales y la manera en que las empresas y organizaciones hacen uso de ellos (proceso, almacenaje y destrucción). El reglamento incluye las normas relacionadas con el incumplimiento de la normativa, indicando qué sucede en cada caso.
Las normativas europeas son leyes de obligado cumplimiento por todos los estados miembros de la Unión Europea.
LOPD: Ley Orgánica de Protección de Datos
La LOPD es una Ley española que se encarga de garantizar y proteger los datos personales, obligando a todas las personas que intervengan en cualquier fase del tratamiento de datos personales, a garantizar la seguridad de los mismos. La LOPD asegura que los derechos de las personas que ceden sus datos, se encuentran protegidos.
Cumplir con la LOPD implica el cumplimiento de una serie de condiciones. En caso de no cumplir con las mismas se producirán sanciones.
Real Decreto-Ley 5/2018
Este Real Decreto de medidas urgentes se aprobó para adaptar rápidamente el derecho español a la normativa de la Unión Europea en cuanto a protección de datos.
Ley 41//2002, de autonomía del Paciente
Esta ley del 14 de noviembre de 2002 regula la autonomía del paciente y recoge los derechos y obligaciones en materia de información y documentación clínica.
Cómo debe cumplir la ley de Protección de Datos el sector farmacéutico
Las farmacias deben tomar una serie de medidas concretas para poder cumplir con la Ley de Protección de Datos y evitar enfrentarse a posibles sanciones. El régimen sancionador se ha endurecido, pudiendo llegar las sanciones hasta los 20 millones de euros o el 4 % de la facturación anual.
Por el RGPD es necesario que las farmacias dispongan de una documentación de forma inexcusable. Esta documentación incluye:
Registro de tratamientos de datos
Este registro de obligado cumplimiento debe recoger una serie de puntos sobre las actividades del tratamiento de los datos:
- Datos que se recogen y cuál es su fin.
- Qué medidas de seguridad se están aplicando.
- Indicar el nivel de seguridad correspondiente.
- Indicar el tipo de fichero (manual, mixto o automatizado).
- Si los datos van a salir fuera del ámbito europeo.
Análisis de riesgos
El análisis de riesgos debe recoger todos aquellos riesgos a los que puedan someterse los datos, como qué tipo de datos personales se almacenan, comunicación a terceros, indicar los datos especialmente protegidos y cualquier otro riesgo relacionado.
Evaluación de impacto
Esta evaluación de impacto es obligatoria para farmacias al tratar datos de salud (considerados datos sensibles). El objetivo de este informe de evaluación de impacto es minimizar la posibilidad de afectar, tanto los derechos como las libertades de los pacientes.
Tras realizar este análisis de impacto, deben marcarse unas medidas de seguridad acordes al mismo.
Contratos con Terceros y Empleados
- Contratos con encargados de tratamientos de datos. Las farmacias deben firmar un contrato de encargados de tratamientos con terceros, que son aquellas empresas a las que se ceden datos como, por ejemplo, asesorías, proveedor TI o laboratorios farmacéuticos. Con este contrato se asegura que los datos cedidos cumplen con la Ley de Protección de Datos.
- Acuerdos de confidencialidad con los empleados. Los empleados de una farmacia tienen contacto directo con datos muy sensibles, por lo que es importante firmar un contrato de confidencialidad donde se recoja el compromiso de confidencialidad y las consecuencias que acarrea no cumplirlo. Hay que tener en cuenta que las personas que se encuentran en prácticas (algo habitual en las farmacias) también deben firmar el acuerdo de confidencialidad.
Consentimientos de usuarios
Los datos personales de los clientes no pueden ser tratados sin su consentimiento. Para ello es necesario disponer de un documento donde se recoja el consentimiento expreso del cliente para el tratamiento de sus datos por parte de la empresa.
En el documento de consentimiento del cliente se deben recoger de forma clara la finalidad del uso de los datos, los destinatarios, si van a ser cedidos a otros países y los medios para acceder o rectificar los datos.
Documento de seguridad
Se trata de un documento interno de la empresa donde se recogen las medidas que se van a tomar para garantizar la seguridad que debe cumplirse, incluyendo los sistemas informáticos, las oficinas, el personal y los equipos con los que cuente la farmacia.
Otras medidas
Aquellas farmacias que dispongan de página web deben incluir los textos obligatorios para cumplir con la Ley de Protección de Datos (política de privacidad, cookies y aviso legal).
Cualquier incidente de seguridad debe ser notificado antes de 72 horas a las autoridades, según el nuevo reglamento europeo de protección de datos.
Dependiendo del volumen de datos que maneje una farmacia puede ser necesario la asignación de una persona responsable de la protección de datos. Este Delegado de Protección de Datos puede ser un empleado de la empresa o un profesional externo contratado. Sus datos de contacto deben hacerse públicos, siendo comunicados a la autoridad correspondiente.
Es habitual que las farmacias dispongan de cámaras de seguridad, en esos casos hay que seguir las medidas habituales como: indicar, colocando carteles, que se trata de una zona vídeo vigilada, no captar imágenes de la vía pública y no instalar cámaras en zonas como baños o vestuarios.
Ni la LOPD ni la RGPD hacen mención específica al sector farmacéutico en cuanto a medidas especiales en la protección de datos. Por lo tanto, las medidas de seguridad a aplicar seguirán las indicadas al tipo de datos que se manejan y su volumen, en este caso al tratarse de datos relacionados con la salud, son considerados datos sensibles.
Las farmacias deben cumplir como cualquier otra empresa con el reglamento europeo y con la ley española en cuanto a protección de datos, teniendo en cuenta las medidas especiales al tratarse de datos sensibles (como la obligación de realizar una evaluación de impacto).
AMBIT BST
En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.
Sabemos que te preocupas por la confidencialidad y la seguridad de los datos. Por eso te invitamos a que conozcas el software cloud que obedezca específicamente al cumplimiento regulatorio de entornos GxP. Estamos especializados en liderar la transformación digital del sector salud, farmacéutico y de productos sanitarios. ¡Descárgate esta guía gratuita sobre la transformación digital en la nube orientado exclusivamente al sector salud!
Cuéntanos tu opinión