Ojo al dato. Esta premisa que popularizó un famoso locutor deportivo radiofónico bien podían hacerla suya los titulares de las cerca de 22.000 oficinas de farmacia existentes en España. Cualquier infracción cometida en sus establecimientos en materia de protección de datos puede acarrear sanciones que oscilan entre 900 y 600.000 euros, en función de su gravedad, del derecho violado, los perjuicios causados a terceros, el volumen de los tratamientos efectuados, etc. Asimismo, al igual que el desconocimiento de cualquier ley no exime al boticario de cumplirla—la Ley de Protección de Datos de 1999, en este caso—, la no intencionalidad en los hechos tampoco evitará la sanción.
No cabe duda que, por su carácter sanitario, donde más ‘cómodo’ se encuentra un farmacéutico es en el manejo de los medicamentos. Pero es ese mismo perfil sanitario el que hace que la regulación coloque a la farmacia en otro “máximo nivel” en otro tipo de manejo: el de los datos. Ese nivel máximo en el que se sitúa la farmacia comunitaria también obliga a cumplir con una protección de datos de nivel medio y básico. Ante la presumible, y lógica, inexperiencia del boticario en este campo, es recomendable la ayuda que pueden ofrecer profesionales y entidades especializadas en este campo que velen por el uso correcto de los datos en la farmacia y eviten la comisión de infracciones.
Así coinciden en señalarlo desde COFM Servicios 31—sociedad mercantil del colegio farmacéutico madrileño que presta, entre otros, servicio de asesoría en este sentido—y el bufete De Lorenzo Abogados. Precisamente, dada la importancia de este apoyo especializado, puede resultar clave el apoyo colegial. El aumento de las inspecciones constatado en varias regiones también invita a ello.
Muchos datos, y sensibles
Los datos que maneja una farmacia son numerosos, tanto de pacientes y trabajadores, y en ocasiones de especial sensibilidad. Ello aumenta las posibilidades de cometer un error que ocasione sanción por parte de la Agencia Española de Protección de Datos. Desde no poner en copia oculta a los destinatarios de un correo masivo hasta, si en un futuro se permite el acceso de la botica a más datos clínicos, cualquier ‘descubierto’ del historial farmacoterapéutico de un paciente.
En este sentido, como destacan desde COFM Servicios 31 y el bufete De Lorenzo Abogados, el titular debe atender a una serie de requisitos básicos, como la colocación de un cartel informativo avisando a los clientes del cumplimiento de la LOPD y, cara a los trabajadores de la botica, la entrega de documentos en los que se explique qué se hace con sus datos de carácter personal y qué deben hacer con los datos que se le facilitan. Es fundamental la creación del denominado ‘documento de seguridad’, en el que recoger —y actualizar— las medidas de índole técnica y organizativas acordes a la normativa de seguridad aplicable a datos: recetas, nóminas, currículums, videovigilancia…
Asimismo, en el día a día de la botica, el ritmo frenético de trabajo tampoco debe provocar descuidos en el correcto tratamiento de datos, en especial en el uso de los equipos informáticos del establecimiento. En este sentido, algunas medidas a tener en cuenta pasan por establecer “contraseñas individuales” para cada trabajador, limitar el acceso solo a los datos necesarios para el desarrollo de las respectivas funciones, realizar semanalmente copias de seguridad (cifradas), así como informes de control de acceso (fecha, hora, usuario y motivo del acceso). Por otra parte, toda la documentación en papel —como el libro recetario, formularios de tarjetas de fidelización— conviene “archivarse bajo llave”, sugieren desde COFM Servicios 31 y De Lorenzo Abogados.
Derechos del paciente
Al igual que se debe informar sobre el necesario cumplimiento de la LOPD, también se debe dejar constancia —en un cartel informativo— del derecho del usuario a acceder, rectificar, cancelar y oponerse a determinados usos de la información que disponga la botica.
Sobre este particular, ante una petición al respecto del paciente, los plazos que indica la normativa para que el titular dé cumplimiento a la misma oscilan entre los diez días para cuestiones relacionadas con la modificación, cancelación u oposición, hasta los treinta días si desea ser informado de los datos personales que maneja el establecimiento. Según destacan los expertos, el farmacéutico debe tener muy presente que en este aspecto, nunca mejor dicho, “el cliente siempre tiene la razón”. Por ejemplo, el usuario tiene derecho a seguir formando parte de los ficheros de la botica pero negarse a recibir comunicaciones de promociones comerciales, etc.
Conservación y actualización
¿Sabe durante cuánto tiempo debe conservar información sobre los diferentes tipos de recetas dispensadas? El conocimiento de estos plazos no es, ni mucho menos, baladí. Una falta de registro y conservación que también es objeto de buena parte de las sanciones que reciben las oficinas de farmacia.
Por ejemplo, los plazos van desde los dos años (recetas privadas psicotrópicos) hasta los cinco años (receta veterinaria, estupefacientes de uso humano y el libro recetario de estupefacientes), pasando por los tres años que para las prescripciones privadas.Tan importante es seguir todas estas premisas como el balance periódico de las mismas. Determinados datos originados por los usuarios deben ser revisados por obligación legal cada dos años, lo cual COFM Servicios 31 recuerdan que debe llevarse a cabo mediante auditorías.
Declarar ficheros a la Agencia Española de Protección de Datos (AEPD). También las rectificaciones o modificaciones de los ficheros.
Colocar, bien visibles, carteles informativos. En ellos se informará de lo estipulado en la LPD, así como los derechos del usuario.
Documento de seguridad. En él se recogen medidas acorde a normativa de seguridad: recetas, nóminas, video-vigilancia, etc.
Contraseñas personalizadas. Cada trabajador debe tener su propia clave informática.
Informe de control de acceso. Quién accede al equipo, cuándo y para qué fin.
Restringir accesos. Acceso de los trabajadores únicamente a los datos necesarios para el desarrollo de sus funciones.
Copias de seguridad. Con periodicidad semanal y ‘cifradas’ para evitar acceso a la información contenida por personas ajenas.
Documentos en papel, bajo llave. Archivar de forma segura tarjetas de fideización, libro recetario… Destruir las copias desechadas.
Conservación de datos. Diferentes plazos (de 2 a 5 años) según el tipo de receta.
Auditorías. Analizar cumplimiento de las medidas de seguridad.Cada dos años.
