Preguntas frecuentes de Protección de Datos Personales

La Ley Orgánica de Protección de Datos 15/1999, del 13 de diciembre de Protección de Datos de carácter Personal ( en adelante LOPD) entro en vigor el día 14 de enero de 2000 y tienen como objetivo garantizar y proteger, el tratamiento de los datos de carácter personal, las libertades públicas y los derechos fundamentales e intimidad personal y familiar.

En fecha 10 de abril de 2008 entro en vigor la RS 1720/2007, de 21 de diciembre, que aprueba el Reglamento que desarrolla la LOPD (RLOPD).

El consentimiento informado es toda manifestación de voluntad libre, específica, informada e inequívoca para la cual el interesado acepta el tratamiento de sus datos.

La información necesaria que se debe proporcionar es la siguiente:

• Quien es el responsable del tratamiento de los datos y sus datos de contacto, plazos y criterios de conservación.
• Cuál es la finalidad del tratamiento
• Legitimación: en virtud del porque se dispone de dichos datos (de consentimiento del paciente)
• Previsión de cesiones y quien serían los destinatarios
• Derechos de las personas interesadas, e información de donde pueden ejercer. Se tiene que facilitar que los usuarios puedan ejercer los derechos de la forma más sencilla y resolutiva posible

Toda esta información se puede dar en dos niveles: uno básico donde trasladar la información principal y la otra, poniendo a disposición de los interesados la información ampliada a través de la página web o en pequeño formato en los documentos. Hace falta proporcional una copia del documento firmado.

Si los datos personales que disponemos las hemos obtenido correctamente (de forma explícita), simplemente tenemos que comunicar la adaptación de la farmacia a la normativa y sus nuevos derechos y obligaciones.

Dicha comunicación se puede realizar vía correo electrónico o en un cartel informativo a la farmacia o informándole a través de nuestra web.

Si los consentimientos no se han obtenido de manera explícita, sí que haría falta recogerlos de nuevo. Se tiene que informar a los usuarios sobre quien es el responsable del tratamiento, la finalidad, legitimación, etc. Es recomendable hacer la comunicación por fases ya que la finalidad de cada uso y proyecto es distinto.

El nombre, los apellidos, la fecha de nacimiento, la dirección postal o el correo electrónico, el número de teléfono, el NIF, la huella digital, una fotografía, una imagen, el número de la SS.

También son datos de carácter personal aquellos que nos hacen identificables. Por ejemplo: la voz, una muestra de sangre, el ADN, el comportamiento, perfiles profesionales, etc.

Sí, cualquier persona física o jurídica que las recoja, almacene y haga el tratamiento de los datos personales está sometida a las obligaciones de la LOPD y al resto de la normativa aplicable a la materia.

La LOPD tiene pocas excepciones, por ejemplo, no se aplica a los ficheros que tienen las personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.

Los datos de la receta médica, los datos de los usuarios para la atención farmacéutica, los datos de los trabajadores, los datos que se puedan tener a causa de programas en las que pueda colaborar con la administración sanitaria, imágenes grabadas de las personas si están instaladas las cámaras de videovigilancia o los datos que recoge a través de la página web si hay.

La oficina de farmacia trata diferentes ficheros. Unos se corresponden a la administración pública i los otros son propiedad del titular de oficina de farmacia. El titular del fichero, a efectos de la LOPD es el RESPONSABLE.

Los ficheros que son de titularidad (RESPONSABLE) de la administración sanitaria son:

• Receta de la SNS, es decir la receta electrónica y las de papel, tanto la SCS, MUFACE, ISFAS i MUGEJU.

El farmacéutico titular de oficina de farmacia es el titular (RESPONSABLE) de los siguientes ficheros:

• TSI, si almacena el dato del CIP
• SPS, si hace el servicio personalizado de dosificación
• Trabajadores de oficina de farmacia
• Libro recetario
• Libro de estupefacientes
• Fichero de deudores
• Metadona
• Video vigilancia
• Recetas privadas

Como responsable del tratamiento de datos personales, el titular tiene las siguientes obligaciones:

• Tener escrito un registro de todas las actividades que hace del tratamiento de los datos personales.
• Asegurar que los datos son adecuadas, veraces y obtenidas de forma legítima.
• Asegurar que los datos son tratados correctamente y con la finalidad para la que han sido captadas.
• Garantizar el cumplimiento de los deberes de secreto y seguridad.
• Informar a los titulares de los datos de la recogida y obtener el consentimiento para tratarlas, (salvo el archivos de recetas privadas y de seguro libre).
• Facilitar y garantizar el ejercicio de los derechos de los ciudadanos.
• Si hay proveedores de servicios que para prestarles tienen acceso a datos personales, el titular debe garantizar que como Encargados del tratamiento de los datos personales cumplan con las obligaciones previstas y firmar con cada uno de ellos el contrato de Encargado del tratamiento de datos personales, que es diferente al contrato que describe las condiciones de prestación del servicio.
• Aplicar medidas de seguridad adecuadas.
• Cumplir lo dispuesto en la legislación sectorial aplicable sobre conservación por ejemplo de datos personales.

Los trabajadores tratan los datos y la información de los pacientes en nombre del titular de la oficina de farmacia y por lo tanto están obligados a determinados comportamientos, como por ejemplo, el deber de secreto. Es obligación del titular de la oficina de farmacia informar a los trabajadores de sus funciones y obligaciones. Hay trabajadores que pueden no tener acceso a datos personales como el personal de limpieza o de almacén.

Los trabajadores también son propietarios de sus datos personales que el titular trata para gestionar la relación laboral y deben ser informados del tratamiento de sus datos personales.

El titular de la oficina de farmacia debe garantizar que los interesados ​​puedan ejercer estos derechos:

• Acceso: es el derecho del interesado conocer y obtener información sobre el tratamiento de sus datos personales por parte del responsable.
• Rectificación: tiene por objeto garantizar la certeza de la información tratada. Es el derecho a corregir y modificar los datos inexactos o incompletos.
• Supresión: permite la eliminación de los datos que resulten inadecuados o excesivos sin interferir en el deber de bloqueo.
• Oposición: derecho para exigir el cese o que no se lleve a cabo el tratamiento de los datos del interesado.
• Limitación: derecho a suspender las operaciones del tratamiento de los datos personales del interesado.
• Portabilidad: complemento del derecho de acceso. Permite obtener los datos proporcionados a una organización o transmitirlas de forma directa a otra entidad.
• Olvido: es la manifestación de los derechos de cancelación y oposición aplicados a los buscadores de internet. Permite impedir la difusión de datos personales a través de internet si no se cumplen ciertos requisitos.

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control estatal en el cumplimiento de la normativa de protección de datos. Su principal función es la de velar por el cumplimiento de la legislación en materia de protección de datos, controlar la aplicación y defender los derechos de los afectados en el ámbito de su competencia.

Tiene potestad inspectora y sancionadora ante el sujetos obligados a cumplir la normativa.

El RGPD establece que cada responsable, y en su caso su representante, debe tener descrito un registro de las actividades de tratamiento efectuadas bajo su responsabilidad.

Este registro contendrá toda la información siguiente:

• El nombre y los datos de contacto del responsable. En su caso, también del co-rresponsable, del representante del responsable y del delegado de protección de datos.
• Las finalidades del tratamiento.
• Una descripción de las categorías de interesados ​​y de las categorías de datos personales.
• Las categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales, incluidos los destinatarios en terceros países o en organizaciones internacionales.
• En su caso, las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de este tercer país u organización internacional.
• Si se puede, los plazos previstos para suprimir las diferentes categorías de datos.
• Si se puede, una descripción general de las medidas técnicas y organizativas de seguridad.

Este registro debe constar por escrito, debe estar actualizado de forma permanente y el responsable tengo que tener a disposición de la Autoridad de control que lo solicite.

La LOPD prevé un régimen sancionar que se aplica para denuncia del afectado o de oficio para la AEPD. Éste régimen prevé un proceso administrativo, con la intervención de los inspectores que hacen la valoración del cumplimiento de la Ley. Las resoluciones de los expedientes sancionadores nunca contemplan indemnizaciones para los afectados, sino que se reducen a la imposición de multas, la cuantía de las cuales se determinan en función de la gravedad de las infracciones.

La normativa de protección de datos prevé un régimen sancionador que se aplica por denuncia del afectado o de oficio por la AEPD. Este régimen prevé un proceso administrativo, con la intervención de los inspectores que hacen la valoración del cumplimiento de la normativa y determinan las posibles infracciones.

Las resoluciones de los expedientes sancionadores ante la AEPD no contemplan indemnizaciones económicas por los afectados, sino que se trata de la imposición de multas económicas a satisfacer a la AEPD. La cuantía de las multas se determina en función de varíes factores: la gravedad de la infracción, las características del responsable, etc.

También es una consecuencia importante, la imagen negativa del responsable del incumplimiento de la normativa.

No, el crédito asignado para la formación está destinado exclusivamente a la realización de acciones formativas y permisos individuales de formación para los trabajadores.

Tal como dice el comunicado en la web la Fundación Tripartita www.fundacióntripartita.org, “Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.»

Es habitual que las oficinas de farmacia tengan pacientes y clientes en residencias de ancianos a quienes hacen el sistema personalizado de dosificación de medicamentos y otros encargos. Se tiene que tener en cuenta que el servicio de dispensación de medicamentos, los pacientes de la residencia son clientes del titular de farmacia, mientras que el titular de la residencia hace de intermediario de las peticiones de los medicamentos y de la distribución.

En la dispensación, el paciente de la residencia o su representante legal tiene que dar el consentimiento al titular de farmacia para poder tratar sus datos personales. El consentimiento no puede darlo el titular de la residencia si no tiene la representación legal del consumidor.

Es habitual que los titulares de las oficinas de farmacia tengan pacientes-clientes de hogares de ancianos a los que hacen el sistema personalizado de dosificación de medicamentos y otros encargos.

Hay que tener en cuenta que con respecto al servicio de dispensación de medicamentos, los pacientes de la residencia son clientes del titular de la farmacia mientras que el titular de la residencia hace de intermediario de las peticiones de medicamentos y de la distribución.

En cuanto a la dispensación, el paciente de la residencia o su representante legal debe dar el consentimiento al titular de la oficina de farmacia para poder tratar sus datos personales. El consentimiento no puede darlo el titular de la residencia si no tiene la representación legal del residente.