Con carácter general, todas las Oficinas de Farmacia tratan datos de carácter personal, tanto en soporte papel como informatizado. Datos de clientes, proveedores, contactos o empleados suelen ser los datos que habitualmente recaban las Oficinas de Farmacia, desencadenado con su tratamiento una serie de obligaciones de carácter administrativo, técnico y jurídico.
Tales obligaciones figuran detalladas en la L.O 15/1999, de 13 de diciembre, de Protección de Datos de Carácter...
Con carácter general, todas las Oficinas de Farmacia tratan datos de carácter personal, tanto en soporte papel como informatizado. Datos de clientes, proveedores, contactos o empleados suelen ser los datos que habitualmente recaban las Oficinas de Farmacia, desencadenado con su tratamiento una serie de obligaciones de carácter administrativo, técnico y jurídico.
Tales obligaciones figuran detalladas en la L.O 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (comúnmente conocida como LOPD) y el R.D.1720/2007, de 21 de Diciembre, que aprueba su Reglamento de Desarrollo (también denominado RLOPD). Su falta de observancia puede llevar aparejada la imposición de multas entre 900 y 600.000 euros, por lo que es importante asegurarnos que cumplimos con la citada normativa.
Pese a no ser una norma excesivamente compleja, su aplicación en Farmacias- según mi experiencia- puede plantearnos ciertas dudas, las cuales intentaremos resolver.
¿Tengo que cumplir con esta normativa si soy autónomo?
Sí, todas las personas, tanto físicas como jurídicas que - fuera de su ámbito doméstico - traten datos de carácter personal de terceros, están sujetos al cumplimiento de la normativa en materia de protección de datos. En consecuencia, independientemente de la forma jurídica de nuestra Oficina de Farmacia, deberemos cumplir con esta norma.
¿Qué obligaciones tengo?
Bien como personas físicas (Titular de la Oficina) o como personas jurídicas (la Oficina de Farmacia) seremos Responsables de los ficheros que tengamos que contengan datos de carácter personal (entendiendo por "Fichero" cualquier conjunto organizado de datos). Y como responsables de los mismos, la normativa nos impone una serie de obligaciones, principalmente en materia de información, consentimiento y seguridad.
¿De qué tengo que informar?
En primer lugar, deberemos informar a la Agencia Española de Protección de Datos (AEPD) de que tenemos ficheros conteniendo datos de carácter personal. Para ello, deberemos inscribirlos en el Registro General de Protección de Datos, a través del formulario interactivo, de carácter gratuito, que la propia AEPD pone a disposición del público en su sitio Web (Formulario NOTA).
En segundo lugar, deberemos informar a los titulares de los datos que hemos recabado (e.g. clientes, trabajadores, proveedores o contactos), independientemente de la forma en la que los hayamos recabado (personalmente o a través de nuestra web), de que vamos a incluir sus datos en ficheros titularidad de nuestra Oficina de Farmacia. También deberemos informar de las finalidades de dicha inclusión (gestión de la relación comercial y/o laboral, en su caso) así como lugar y forma donde podrán ejercitar sus derechos de acceso, rectificación, cancelación y oposición (generalmente, en la propia Farmacia).
En ciertas ocasiones no será suficiente con informar al usuario, sino que también deberemos solicitar su consentimiento para poder tratar sus datos de carácter personal (e.g. en caso de utilizar determinado tipo de cookies, ceder sus datos a terceros, recabar datos de carácter sensible o en determinados supuestos, para enviar comunicaciones comerciales electrónicas).
¿Cómo tengo que tratar esos datos?
Todos los datos que tratemos deberán ser adecuados, pertinentes y no excesivos para las finalidades para las que los hayamos recabado, y deberemos mantenerlos actualizados y cancelarlos una vez dejen de ser necesarios para las finalidades para las que en su día fueron recabados. Es el principio de calidad de los datos.
¿Cómo tengo que protegerlos?
Para protegerlos, será necesario elaborar, implementar y mantener debidamente actualizado un Documento de Seguridad que detalle las concretas medidas de seguridad de tipo físico y lógico que hayamos implementado en la Oficina de Farmacia, tanto para ficheros en soporte informático como para ficheros en soporte papel. Tales medidas serán de tipo básico, medio o alto, en función de la tipología de datos que tengamos en nuestros ficheros (e.g. los datos de contacto requerirían la implementación de medidas de tipo básico; los datos de salud exigirían la implementación de medidas de nivel alto y los datos de nuestros empleados podrían exigir medidas de nivel medio). Todas ellas figuran detalladas en el RLOPD.
¿Son confidenciales?
Sí; en consecuencia, hemos de garantizar que todo el personal de la Oficina de Farmacia que acceda a cualquier dato de carácter personal cumpla con los deberes de secreto, confidencialidad y seguridad. Para ello, deberemos informar debidamente a nuestros empleados y colaboradores y suscribir con ellos las oportunas cláusulas de confidencialidad, las cuales además, deberán especificar el carácter indefinido de tales obligaciones.
¿Y con mis proveedores? ¿Habré de firmar algo específico?
Sí; cuando subcontratemos determinados servicios con terceras empresas que impliquen un acceso a nuestros Ficheros (e.g. para la gestión de nóminas, servicios informáticos, hosting o servicios en la nube, servicios promocionales, tarjetas de fidelización, etc...), deberemos suscribir los oportunos contratos de tratamiento de datos, con los contenidos y exigencias establecidas en el artículo 12 de la LOPD y 82 y siguientes del RLOPD.
¿Tengo que pasar auditorías?
En principio las auditorías bianuales son obligatorias para todas las empresas que traten datos de nivel medio y alto. Con carácter general, las Oficinas de Farmacia disponen de tales datos, al tratar datos de salud, los cuales son considerados de nivel alto. En consecuencia, dicha obligación es exigible. La auditoría podrá ser interna o externa, y deberá cumplir los requisitos exigidos por el RLOPD.
Si queréis profundizar en la normativa en materia de protección de datos, el sitio Web de la AEPD dispone de numerosa información de gran utilidad (guías, informes jurídicos, recomendaciones, FAQs, etc). Os recomiendo que la visitéis.