Blog

Cuestionario para Aspime sobre el nuevo reglamento sobre protección de datos

¿Cuál es el principal objetivo del nuevo reglamento?

Su principal objetivo es la responsabilidad activa, es decir, la prevención y que las organizaciones adopten una mayor implicación y grado de compromiso para la protección de datos. Se pretender materializar este objetivo haciendo que las empresas (en este caso, las farmacias) adopten las medidas oportunas para que puedan asegurar de forma razonable que están en condiciones de cumplir el reglamento cuando traten los datos de los ciudadanos.

¿Qué  novedades  más  destacadas  incorpora  que  afecten  a  las  oficinas  de farmacia?

Como novedades importantes podemos destacar, entre otras, las siguientes:

Sobre los derechos de los interesados:

  • Se refuerza el consentimiento informado, de modo que ya no valdrá el consentimiento tácito. Lo que se pretende es que el ciudadano sea consciente y entienda de qué forma y para qué la oficina de farmacia le pide sus datos personales. Para ello se exigirá que dicha información se ofrezca de un modo conciso y con un lenguaje claro y sencillo. Además, en dicha información se deberá indicar los datos de contacto del DPO (delegado de protección de datos que la farmacia haya designado); el plazo durante el cual se conservaran estos datos; así como la posibilidad de que el interesado pueda presentar una reclamación ante una autoridad de control, entre otros. En definitiva, las oficinas de farmacia deberán revisar la forma en la que obtienen y registran el consentimiento de sus clientes.
  • Se reformulan los conocidos como derechos ARCO, y se prevén otros como el derecho del interesado a que se limite el tratamiento de sus datos; el derecho de supresión (derecho al olvido) de los mismos en virtud del cual el afectado podrá solicitar que se ponga fin a dicho tratamiento; así como la portabilidad de los datos que significa que el cliente podrá recibir sus datos en un formato que permita trasladarlos a otra farmacia de su confianza.

Se deberá mantener y llevar un registro de tratamiento de datos personales en el que se haga constar toda la información relativa al contexto de la gestión de los datos.

Medidas que se deberán adoptar:

  • La privacidad habrá que estar presente desde el diseño y por defecto (este aspecto será importante especialmente para las farmacias que dispongan de página web –sea informativa y más aún si también vende productos a través de Internet-)
  • Medidas de seguridad para evitar y/o minimizar el riesgo de incidencias y en caso de que se produzca alguna brecha de seguridad que afecte a datos personales, se deberá notificar a la autoridad de control (la AEPD) en un plazo máximo de 72h, e incluso se prevé la posibilidad de que en determinados casos se deba notificar a los afectados.
  • Se deberá designar un  delegado de protección de datos, es decir, una persona con conocimientos jurídicos y técnicos en materia de protección de  datos  que  se  encargará de  supervisar y  garantizar que  la  farmacia cumple con el reglamento.

Por la categoría especial de los datos que se tratan en una farmacia (los de salud) se deberá ser muy cuidadoso, y especial atención deberán tener las farmacias con página web y con presencia en la red. Pues, habrá que revisar y adecuar dichas páginas que ya estén en activo y las que se vayan a crear.

En cuanto al uso generalizado de las nuevas tecnologías, redes sociales, etc. ¿qué medidas fundamentales se van a implantar que tengan que tener en cuenta las oficinas de farmacia?

Nos reiteramos en la pregunta anterior. Deberán prestar atención a todo lo relativo al consentimiento informado (especialmente, si se trata de un menor de 16 años); a la privacidad desde el diseño y por defecto (especialmente en sus páginas web); y a las transferencias internacionales de datos (p.ej. si una oficina de farmacia realiza campañas de email marketing a sus clientes y utiliza un proveedor de correo electrónico, deberá cerciorarse de que dicho proveedor almacena los datos en un país que garantice un nivel adecuado de protección), entre otras.

El cumplimiento del  nuevo reglamento, ¿va  a suponer una carga de  trabajo importante para las farmacias?

Consideramos que el cumplimiento del RGPD no debe entenderse como una mayor carga de trabajo, sino que se trata de gestionar la protección de datos de una forma distinta a cómo venían haciéndolo hasta ahora. Este cambio en la gestión (no olvidemos que se ha concebido en beneficio del ciudadano) implicará que puedan dar mayores garantías a sus clientes. Dado que el RGPD no se aplicará hasta el 25/05/2018, las oficinas de farmacia disponen de este lapsus de tiempo para ir adaptándose de forma progresiva.

Sí es cierto que en cuanto a la obligación y modo de implementar las medidas que se prevén, se tendrán en cuenta factores como los costes de implantación, el tipo de tratamiento o los riesgos que implique para el ciudadano.

¿Qué tipo de controles hay para comprobar el cumplimiento de la legislación en torno a protección de datos en farmacias y qué sanciones se contemplan?

La primera y principal herramienta de control es el propio auditor (o futuro delegado de protección de datos), que es quien se encarga de supervisar regularmente si la farmacia cumple o no con la normativa. Su función es analizar los tratamientos de datos que realiza la farmacia y su personal, las medidas de seguridad que ha implementado así como inspecciona personalmente sus instalaciones. Seguidamente elabora el informe de auditoría en el que indica las deficiencias que ha observado en relación al cumplimiento de la normativa y propone las medidas correctoras que considera así como sus recomendaciones

A  partir  de  ahí,  las  farmacias  deben  seguir  las  recomendaciones  del  DPO.  En  caso contrario, cualquier interesado podrá presentar una reclamación ante una autoridad de control (la AEPD) y de verificarse que se ha incumplido dicha normativa, se prevé la posibilidad de que se impongan sanciones administrativas y económicas que se elevan sustancialmente llegando a un máximo de 20.000.000€ o al 4% de su volumen de facturación en el año anterior. Y mientras no se aplica el RGPD, la Ley de Protección de Datos establece un régimen sancionador con multas que van de los 900€ a 600.000€.