Preguntes Freqüents Protecció de Dades Personals

Al maig 2018, va entrar en vigor el Reglament (UE) 2016/679 de 27 d’abril de 2016 (RGPD) relatiu a la protecció de les persones físiques pel que fa a el tractament de dades personals i a la lliure circulació d’aquestes dades i posteriorment es va adoptar la Llei Orgànica (ES) 3/2018 de 5 de desembre (LOPDGDD) que regula la protecció de dades de caràcter personal.

El RGPD i la LOPDGDD contenen obligacions legals per a totes aquelles persones físiques o jurídiques que posseeixin fitxers amb dades de caràcter personal (noms, cognoms, imatges, etc.). Les obligacions que estableix la normativa són diferents depenent del tipus de dades que es tractin, el nombre de dades que s’emmagatzemen i el tractament específic que es faci amb ells.

El consentiment informat és tota manifestació de voluntat lliure, específica, informada e inequívoca per la qual l’interessat accepta el tractament de les seves dades.

La informació que cal proporcionar és la següent:

•  Qui és el responsable del tractament de les dades i les seves dades de contacte, i terminis o criteris de conservació
•  Quina és la finalitat del tractament
•  Legitimació: en virtut de perquè es disposa d’aquestes dades (de consentiment del pacient)
•  Previsió de cessions i qui serien els destinataris
•  Drets de les persones interessades, i informació on els poden exercir. Cal facilitar que els usuaris puguin exercir els drets de la forma més senzilla i resolutiva possible

Tota aquesta informació es pot donar en dos nivells: un de bàsic on traslladar la informació principal i l’altre, posant a disposició dels interessats la informació ampliada a través de la pàgina web o al dors dels documents en petit format. Cal proporcionar una còpia del document signat.

Si les dades personals que disposem les havíem obtingut correctament (de forma explícita), simplement cal comunicar l’adaptació de la farmàcia a la normativa i el seus nous drets i obligacions.

Aquesta comunicació es pot realitzar via e-mail o en un cartell a la farmàcia o informant a la web.

Si els consentiments no s’havien obtingut de forma explícita, sí que caldria recollir-los de nou.

Cal informar als usuaris sobre qui és el responsable del tractament, la finalitat, legimitació, etc. En aquest sentit, el recomanable és fer la comunicació per fases ja que la finalitat de cada ús i projecte és diferent.

El nom, els cognoms, la data de naixement, la direcció postal o la del correu electrònic, el número de telèfon, el NIF, l’empremta digital, una fotografia, una imatge, el número de la SS.

També són dades de caràcter personal aquelles que ens fan identificables. Per exemple: la veu, una mostra de sang, l’ADN, les característiques de la nostra personalitat, hàbits de comportament, perfils professionals, etc.

Sí. Qualsevol persona física o jurídica que reculli, emmagatzemi i faci el tractament de dades personals està sotmesa a les obligacions del RGPD i la LOPDGDD.

Aquesta normativa té molt poques excepcions. Per exemple, no s’aplica als fitxers que tenen persones físiques en l’exercici d’activitats exclusivament personals o domèstiques.

Les dades de la recepta mèdica, les dades dels usuaris per fer atenció farmacèutica, les dades dels treballadors, les dades que pugui tenir, fruit dels programes en els que pugui col·laborar amb l’administració sanitària, imatges gravades de les persones si té instal·lades càmeres de videovigilància o les dades que recull a través de la pàgina web si en té.

L’oficina de farmàcia fa diferents tractaments de dades. Uns corresponen a l’administració pública i altres són propietat del titular de l’oficina de farmàcia. El titular a efectes del RGPD i la LOPDGDD n’és el RESPONSABLE.

Els tractaments que són de titularitat (RESPONSABLE) de l’administració sanitària són:

• Recepta de l’SNS, és a dir la recepta electrònica i les de suport paper, tant de l’SCS, MUFACE, ISFAS i MUGEJU.

El farmacèutic titular d’oficina de farmàcia és titular (RESPONSABLE) dels tractaments següents:

• TSI, si emmagatzema la dada del CIP
• SPD, si fa servei personalitzat de dosificació
• Treballadors de l’oficina de farmàcia
• Llibre receptari
• Llibre d’estupefaents
• Fitxer de deutors
• Metadona
• Videovigilància
• Receptes privades

Com a responsable del tractament de dades personals, el titular té les següents obligacions:

• Tenir escrit un registre de totes les activitats que fa del tractament de les dades personals.
• Assegurar que les dades són adequades, verídiques i obtingudes de forma legítima.
• Assegurar que les dades són tractades correctament i amb la finalitat per a la qual han estat captades.
• Garantir el compliment dels deures de secret i seguretat.
• Informar els titulars de les dades de la recollida i obtenir-ne el consentiment per tractar-les, (llevat del fitxers de receptes privades i d’assegurança lliure).
• Facilitar i garantir l’exercici dels drets dels ciutadans.
• Si hi ha proveïdors de serveis que per prestar-los tenen accés a dades personals, el titular ha de garantir que com a Encarregats del tractament de les dades personals compleixin amb les obligacions previstes i signar amb cadascun d’ells el contracte d’Encarregat del Tractament de dades personals, que es diferent al contracte que descriu les condicions de prestació del servei.
• Aplicar  mesures de seguretat adequades.
• Complir el que disposa la legislació sectorial aplicable sobre conservació per exemple de dades personals.

Els treballadors tracten les dades i  la informació dels pacients en nom del titular de la oficina de farmàcia i per tant estan obligats a determinats comportaments, com per exemple, el deure de secret. És obligació del titular de l’oficina de farmàcia informar als treballadors de les seves funcions i obligacions. Hi ha treballadors que poden no tenir accés a dades personals com el personal de neteja o de magatzem.

Els treballadors també són propietaris de les seves dades personals que el titular tracta per gestionar la relació laboral i han de ser informats del tractament de les seves dades personals.

El titular de l’oficina de farmàcia ha de garantir que els interessats puguin exercir aquests drets:

•  Accés: és el dret de  l’interessat conèixer i obtenir informació sobre el tractament de les seves dades personals per part del responsable.
• Rectificació: té per objecte garantir la certesa de la informació tractada. És el dret a corregir i modificar les dades inexactes o incompletes.
• Supressió: permet l’eliminació de les dades que resultin inadequades o excessives sense interferir al deure de bloqueig.
• Oposició: dret per exigir el cessament o que no es dugui a terme el tractament de les dades de l’interessat.
• Limitació: dret a suspendre les operacions del tractament de les dades personals de l’interessat.
• Portabilitat: complement del dret d’accés. Permet obtenir les dades proporcionades a una organització o a transmetre-les de forma directa a una altra entitat.
• Oblit: és la manifestació dels drets de cancel·lació i oposició aplicats als cercadors d’internet. Permet impedir la difusió de dades personals a través d’internet si no es compleixen certs requisits.

L’Agència Espanyola de Protecció de Dades (AEPD) és la autoritat de control estatal en el compliment de la normativa de protecció de dades. La seva principal funció és la de de vetllar pel compliment de la legislació en matèria de protecció de dades, controlar l’aplicació i defensar els drets dels afectats en l’àmbit de la seva competència.

Té potestat inspectora i sancionadora davant del subjectes obligats a complir la normativa.

El RGPD estableix que  cada responsable, i si escau el seu representant, ha de tenir descrit un registre de les activitats de tractament efectuades sota la seva responsabilitat.

Aquest registre ha de contenir tota la informació següent:

•  El nom i les dades de contacte del responsable. Si escau, també del co-rresponsable, del representant del responsable i del delegat de protecció de dades.
• Les finalitats del tractament.
• Una descripció de les categories d’interessats i de les categories de dades personals.
• Les categories de destinataris als quals s’han comunicat o es comunicaran les dades personals, inclosos els destinataris en tercers països o en organitzacions internacionals.
• Si escau, les transferències de dades personals a un tercer país o a una organització internacional, inclosa la identificació d’aquest tercer país o organització internacional.
• Si es pot, els terminis previstos per suprimir les diferents categories de dades.
• Si es pot, una descripció general de les mesures tècniques i organitzatives de seguretat.

Aquest registre ha de constar per escrit, ha d’estar actualitzat de forma permanent i el responsable he de tenir-lo a disposició de l’Autoritat de control que ho sol·liciti.

La normativa de protecció de dades preveu un règim sancionador que s’aplica per denúncia de l’afectat o d’ofici per l’AEPD. Aquest règim preveu un procés administratiu, amb la intervenció dels inspectors que fan la valoració del compliment de la normativa i determinen les possibles infraccions.

Les resolucions dels expedients sancionadors davant la AEPD no contemplen indemnitzacions econòmiques pels afectats, sinó que es tracta de   la imposició de multes econòmiques a satisfer a l’AEPD. La quantia de les multes es determina en funció de variïs factors:  la gravetat de la infracció, les característiques del responsable, etc.

També es una conseqüència important, la imatge negativa del responsable si incompleix la normativa.

No. El crèdit assignat per a la formació està destinat exclusivament a la realització d’accions formatives i permisos individuals de formació dels treballadors.

Tal com diu en el seu comunicat a la web de la Fundació Tripartida www.fundaciontripartita.org, “Las empresas que se bonifiquen por la contratación de servicios de implantación, auditoría y asesoría jurídica en materia de LOPD, deberán devolver los importes correspondientes y atenerse a las actuaciones pertinentes del Servicio Público de Empleo Estatal y la Inspección de Trabajo y Seguridad Social.”

És habitual que els titulars de les oficines de farmàcia tinguin pacients-clients de llars d’avis a qui fan el sistema personalitzat de dosificació de medicaments i altres encàrrecs. Cal tenir en compte que pel que fa al servei de dispensació de medicaments, els pacients de la residència  són clients del titular de la farmàcia mentre que el titular de la residència fa d’intermediari de les peticions de medicaments i de la distribució.

Pel que fa a la dispensació, el pacient de la residència o el seu representant legal ha de donar el consentiment al titular de la oficina de farmàcia per poder tractar les seves dades personals. El consentiment no pot donar-lo el titular de la residència si no té la representació legal del resident.