Decàleg Protecció de Dades Personals

Sense cap mena de dubte, l’activitat econòmica que es duu a terme des de l’oficina de farmàcia comporta el tractament de dades de caràcter personal, per la qual cosa és obligat que el farmacèutic titular compleixi amb la normativa que regula el seu tractament, per protegir aquestes dades.

Dades d’usuaris/pacients, de clients, de treballadors, d’aquelles obtingudes amb sistemes de videovigilància, etc…

Cal tenir un protocol d’actuació que reculli el registre d’activitats que es fan amb aquestes dades, mantenir actualitzada la informació, conservar-la, garantir la seva confidencialitat, obtenir el consentiment dels afectats, informar-los adequadament sobre les activitats que es duen a terme amb les seves dades, i sobretot implementar mesures de seguretat de caràcter tècnic i organitzatiu per garantir la seva confidencialitat i conservació.

Els treballadors de l’oficina de farmàcia han de conèixer el tractament que el titular fa de les seves dades i, especialment, en cas d’haver un sistema de videovigilància, de com els pot afectar la gravació de les imatges. També han de rebre informació sobre les seves obligacions i responsabilitats quan participen en el tractament de les dades dels usuaris/de l’oficina de farmàcia. Determinats treballadors, com el personal de neteja o magatzem, en principi no haurien de  tenir accés a les dades personals, però han de rebre la mateixa informació per si en el desenvolupament de la seva feina, encara que sigui de manera ocasional, poden accedir a aquest tipus d’informació.

Es molt important assessorar-se.

Les mesures de seguretat poden ser de caràcter tècnic (afecten als sistemes informàtics) o de caràcter organitzatiu ( afecten a nivells de recollida de les dades, obtenció de consentiment, emmagatzematge, enviament, etc…).

Les mesures de seguretat han de garantir la conservació de les dades (fer còpies de seguretat), impedir accessos de persones no autoritzades, tenir un registre d’aquest accessos, tenir un registre d’incidències del funcionament de les aplicacions informàtiques que suporten les dades, etc… , emmagatzemar el consentiment dels usuaris al seu tractament, garantir la confidencialitat sobre tot en els enviaments  utilitzant sistemes d’encriptació (per exemple les fórmules magistrals per tercers).

Cal que el servidor del “núvol” estigui ubicat a la UE i s’ha de firmar un contracte d’encàrrec de tractament amb l’empresa prestadora del servei.

Ens hem d’informar si l’empresa prestadora del servei del “núvol”, en la que allotgem la nostra informació, proporciona garanties de protecció de les dades que contempla la nostra legislació.

Si l’empresa del núvol té la seu fora de la UE, caldrà aplicar el Protocol de Transmissió Internacional de Dades (necessitareu assessorament legal per fer-ho).

Es convenient llegir detingudament el contracte de prestació dels servei que ens proporcionen per comprovar si compleixen amb els requisits de caràcter tècnic necessaris per garantir la conservació de la informació i la confidencialitat.

Es pot utilitzar l’aplicació per encàrrecs i comunicació amb els usuaris sempre que aquests ho demanin i no faci referència a productes concrets ni es doni resposta a consultes que impliqui un assessorament farmacèutic o la revelació d’informació de caràcter sensible. En general, no es recomana utilitzar-lo.

La publicitat a través d’aquest sistemes ha d’estar prèviament consentida pel destinatari, llevat que aquesta estigui relacionada amb els productes que hagi comprat a l’oficina de farmàcia, sempre i quan li oferim la possibilitat en el mateix missatge de manifestar que no en vol rebre més.

La pàgina web ha de disposar d’un avís legal, informar de la política de privacitat i notificar correctament l’ús de les cookies als usuaris.

S’ha d’aportar informació veraç, ser respectuós amb els usuaris de les xarxes i complir amb les normes de la propietat intel·lectual. A més, s’ha d’informar i demanar el consentiment  si s’utilitza les imatges dels clients i/o dels treballadors.

Si es delega aquesta activitat a un treballador o es contracta a una empresa externa, s’haurà de signar un document que reculli amb detall l’abast de la publicitat, els mitjans i el contingut amb observació de la normativa aplicable i les responsabilitats de les parts.

Per poder fer un enviament és necessari tenir el consentiment dels usuaris. No obstant, es pot fer l’enviament si existeix una relació contractual prèvia, sempre que les comunicacions estiguin relacionades amb els productes que han estat objecte d’adquisició pel destinatari i la informació d’aquest s’hagués obtingut de manera legítima. En tots els casos cal incloure la informació de que es tracte de publicitat i s’ha de proporcionar una clàusula per donar la possibilitat al destinatari de donar-se de baixa.

Les comunicacions a un nombre indeterminat de destinataris s’han de fer en còpia oculta o mitjançant  una llista de difusió.

Els proveïdors amb accés a les dades de caràcter personal de las que son responsables de tractament, només poden fer-ho per complir amb els serveis contractats. S’ha de signar un contracte obligatori d’encarregat de tractament que reculli les seves obligacions d’acord amb la normativa aplicable i caldrà  definir si per subcontractar els serveis, han d’obtenir el nostre consentiment previ, o si només cal que comprovin la seva solvència professional.