El próximo 25 de mayo entre en vigor el Nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea con el objetivo de que los ciudadanos tengan un mejor control de sus datos personales.
Por tanto, todas las oficinas de farmacia tendrán que haber puesto en marcha las medidas necesarias para el cumplimiento de la nueva normativa comunitaria. Ésta tiene un especial impacto sobre el sector farmacéutico, dado que la información que maneja es especialmente sensible al tratarse de temas de salud.
Previsiblemente, para la misma fecha estará aprobada la futura Ley Orgánica de Protección de Datos de Carácter Personal, cuyo proyecto obtuvo luz verde el pasado mes de noviembre. Dicha norma ayudará a clarificar y detallará aspectos que el Reglamento no precisa o que puedan dar lugar a confusión, como la obligación de que haya un delegado de protección de datos, según explica Alberto Xicoy, abogado del Departamento de Nuevas Tecnologías, especializado en la Protección de Datos, de Bufete Escura.
CONSENTIMIENTO EXPRESO DEL CIUDADANO
Entre las principales novedades se encuentra que el ciudadano tendrá que dar su consentimiento expresopara que la farmacia pueda obtener sus datos personales, mientras que, con la normativa actual, este consentimiento puede darse a través de una manifestación de voluntad o bien de manera tácita. Esto significa que los pacientes deberán manifestar de manera expresa e inequívoca la voluntad de ceder sus datos, considerándose el “silencio” como la no aceptación de que la farmacia disponga de ellos.
Esto va a implicar que las farmacias tengan que preguntar de forma entendible a todos sus contactos si están de acuerdo con que se traten sus datos, es decir, que en los formularios de recogida de esta información habrá que poner de manifiesto que el paciente da su consentimiento a la farmacia, y la respuesta únicamente será positiva si lo comunica de manera expresa.
Con esta novedad, si las oficinas de farmacia consiguen obtener el consentimiento expreso deberán guardarlo para que puedan demostrar que efectivamente el paciente se lo dio y así cubrirse de posibles quejas o reclamaciones.
DERECHO AL OLVIDO
Otra de las modificaciones importantes que introduce el Reglamento es la incorporación de dos derechos más, que se añaden a los tradicionales “derechos ARCO”. Así, a los
de acceso, rectificación, cancelación y oposición, se suman el de derecho al olvido y a la portabilidad. El del olvido permite que se borren los datos del ciudadano en los buscadores o redes sociales, mientras que el de portabilidad permite a las personas obtener los datos que han proporcionado en un formato estructurado, de uso común y de lectura mecánica.
Por tanto, las webs y las tiendas online de las farmacias deberán adaptarse a las nuevas exigencias, que afectan al aviso legal, la política de cookies, las condiciones generales de contratación y el derecho a la información. Este último, que supone una de las grandes novedades del Reglamento, consta de dos capas: una a nivel general, donde se explicitan los datos del responsable del tratamiento, las finalidades por las que se recoge la información y los nuevos derechos que tiene el usuario, y una segunda capa, en la que habrá que detallar más estas cuestiones. Tal y como explica Xicoy, la norma busca que el ciudadano le preste más importancia al control de sus datos.
REGISTRO INTERNO DE ACTIVIDADES
Otro de los cambios importantes es que, hasta ahora, era obligatoria la inscripción pública de ficheros en la Agencia Española de Protección de Datos (AEPD), es decir, la recopilación de los datos en un documento. Con el Reglamento no habrá que dar de alta estos ficheros, sino que se registrarán internamente en la empresa a través del Principio de Responsabilidad Proactiva, de modo que habrá que hacer un Registro Interno de Actividades. Éste deberá incluir el nombre y datos de la empresa, del encargado del tratamiento, las finalidades para las que se recogen los datos, el tipo de datos, el motivo por el que se dispone de ellos y los destinatarios.
Para Xicoy, esta novedad es muy relevante y forma parte del principio de proactividad que rige el Reglamento. Y es que la filosofía de la nueva normativa es que las empresas sean proac tivas en el desarrollo de medidas que garanticen la protección de los datos, puesto que uno de los factores que han motivado el Reglamento es que hasta ahora no se ha llevado a cabo una política de protección con la suficiente deter- mi nación.
DELEGADO DE PROTECCIÓN DE DATOS
La norma también establece que todas las empresas que cumplan con los requisitos que establece la normativa deberán nombrar a un Delegado de Protección de Datos, que tendrá que analizar los riesgos que el tratamiento pueda generar en los derechos de los afectados y establecer medidas técnicas y organizativas que garanticen que el tratamiento es conforme a la normativa. Esta persona debe tener ciertos conocimientos jurídicos en materia de Protección de Datos e informáticos, para poder implantar adecuadamente las medidas de seguridad.
También en la voluntad de que la empresa sea más activa en este campo, habrá que gestionar las brechas de seguridad. Si se produce alguna que ponga en riesgo los derechos y libertades de las personas, habrá que informar a la AEPD en un plazo máximo de 72 horas y explicarle a través de un formulario dicha brecha, acompañada de las medidas de seguridad que han adoptado para que no vuelva a suceder. Además de enviar ese formulario a la AEPD, la empresa deberá enviar un comunicado a cada uno de los afectados por la misma.
Otra de las nuevas obligaciones es que los responsables del tratamiento que traten datos de salud, ideología, sexo, orientación sexual, datos biológicos y genéticos, tengan la obligación de realizar un enfoque de aproximación al riesgo, es decir, un análisis de los posibles riesgos a nivel de protección de datos que pueda tener la empresa.
A partir de esto, deberá llevarse a cabo una Evaluación de Impacto, que busca la implantación de medidas de seguridad para mitigar dichos riesgos. Todo ello deberá englobarse y ser incorporado en un nuevo documento de seguridad, denominado Normativa Interna de Protección de Datos.
Xicoy ve previsible un aumento del número de inspecciones por parte de la Agencia a raíz de la aplicación de la nueva normativa. Cabe recordar que este organismo actúa de forma espontánea o a través de denuncia.
SANCIONES
La actual LOPD establece sanciones leves, graves y muy graves, con multas desde 900 a los 600.000 euros. Estas cantidades se ven muy sobrepasadas con el RGPD, que prevé multas de 10 y 20 millones de euros como máximo o, en caso de las empresas, del 2% o el 4% como máximo del volumen de negocio total anual. Según Xicoy, la cuantía es muy importante, si bien no prevé que se impongan a las farmacias sanciones tan elevadas; no obstante, hasta el 25 de mayo de 2018 no se verá exactamente el impacto de las nuevas sanciones.
En opinión de este experto, el cumplimiento del Reglamento conllevará un aumento de la dedicación a la protección de datos, tanto por parte del farmacéutico como de su asesor en esta materia, puesto que antes el proceso era más automático pero ahora se busca la proac-tividad. A pesar de que la nueva norma complica la vida a las empresas, Xicoy considera muy importante que los farmacéuticos se conciencien sobre la importancia de llevar al día esta materia, algo que hasta ahora no se ha venido haciendo de manera generalizada. Además, ve fundamental que todo el equipo de la farmacia reciba formación sobre cómo cumplir con el nuevo Reglamento.
Lecturas recomendadas
La oficina de farmacia debe saber competir en un mundo digital
La irrupción de plataformas digitales de venta online de productos relacionados con la salud, como Amazon, supone cada …
La información contable en la oficina de farmacia: el balance de situación
Cualquier actividad empresarial genera una serie de transacciones que conviene registrarlas de forma adecuada para po…
Organización del punto de venta en la farmacia. ¿Cómo hacerlo?
La organización del punto de venta y la presentación del producto son los elementos más importantes para conseguir au…
Comparte esta entrada: