14 de septiembre de 2008

Protección de datos en farmacias

A lo largo de estos años de trabajo comercial en el ámbito de la protección de datos, uno de los sectores más complejos que he encontrado es el de las farmacias. Son varias las provincias donde empresas de distribución de medicamentos han implantado supuestas soluciones en protección de datos a sus clientes, consistentes en altas de ficheros, creación de documentos de seguridad que nunca son revisados e instalación en algunos casos de routers para comuniaciones seguras (cuestión ésta última que atañe tanto a una parte como a la otra, y que estas distribuidoras implantan por su propia seguridad). Obviamente dejan al farmaceútic@ las más de las veces sin la auditoría a la que está obligado por conservar datos de salud, sin formación alguna y sin consultoría de referencia, y más aún sin defensa jurídica ante algún problema, pero al tiempo (ha pagado) convencido de su absoluto cumplimiento con la ley.
Menos mal que algunos medios del sector parecen estar mejor asesorados, y así en Correofarmaceutico.com (Grupo Recoletos) responden en su sección de consultas a dos profesionales inquietos y les explican el asunto de las auditorías y los contratos de tratamiento con terceros.
Cambio de 'software'
Soy titular y me dispongo a sustituir el programa de gestión de mi farmacia. ¿Debo notificar dicho cambio a la Agencia Española de Protección de Datos? ¿Además de esto debería realizar alguna otra acción? J. N. Granada
Actualmente, no se tiene que notificar a la AGPD el cambio de aplicaciones dentro de los sistemas de tratamiento de la información siempre y cuando se mantengan los mismos conjuntos de datos descritos en los ficheros que debe tener registrados en la AGPD. A su vez, el cambio de aplicación de gestión de su farmacia implica la realización de una auditoría extraordinaria. Según el reglamento de la Ley Orgánica de Carácter Personal, se define que "con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas". Entendemos que la aplicación de gestión de su farmacia es la que contiene la base de datos principal y se encuentra en esta la gran mayoría de los datos de interés.
Dicho informe de Auditoría deberá dictaminar sobre la adecuación de las medidas de seguridad aplicadas, identificando sus deficiencias y proponiendo medidas correctoras. Además, se deberá actualizar la información incluida en el Documento de Seguridad referente a los sistemas de información, adecuándolo a la nueva aplicación instalada.
Por último, en el caso de farmacias se está tratando con datos de nivel alto, con lo cual la nueva aplicación deberá cumplir con todas las medidas de seguridad expuestas en el real decreto (registros de accesos o configuración de perfiles, entre otras).

Acceso al hacer fórmulas
Habitualmente cedo datos de nuestros clientes a un laboratorio externo para la preparación de sus respectivas fórmulas. ¿Cómo puede afectarme la LOPD en este supuesto? M. S. Barcelona
En primer lugar, hay que tener en cuenta cuál es el tipo de vínculo existente entre usted y el laboratorio: si existe una cesión de datos a un tercero o bien es un acceso legítimo. En este caso, y por las características del servicio, es evidente que resultará imprescindible el acceso del laboratorio a los datos del fichero para su realización, y ante dicho supuesto, la ley estipula que cuando el acceso a los datos sea necesario para la prestación de un determinado servicio al responsable de tratamiento, éste no será considerado una comunicación de datos sino como un acceso legítimo.
La realización de los tratamientos por cuenta de terceros deberá estar reflejada por medio de un contrato, de tal forma que se permita acreditar su existencia y contenido, estableciéndose de forma expresa que el laboratorio únicamente tratará los datos conforme a las instrucciones del farmacéutico, y que no los utilizará con un fin distinto al que figure especificado en el mencionado contrato. Estos datos tampoco serán comunicados a otras personas.
Asimismo, el contrato deberá establecer las medidas de seguridad de índole técnica y organizativa, que garanticen la seguridad de los datos de carácter personal, las cuales eviten su alteración, pérdida, tratamiento o acceso no autorizado.

14 comentarios:

Nacho dijo...

En mi opinión, la segunda respuesta (la que hace referencia a la cesión de datos) no está bien argumentada en lo que al caso concreto se refiere, cuando dice: " es evidente que resultará imprescindible el acceso del laboratorio a los datos del fichero..." ya que como sabemos, hay laboratorios que trabajan con los datos codificados y no entran en ningún momento en contacto con los datos reales del paciente.

No se si un inspector de la Agencia encontraría tan "evidente" dicha cesión de datos.

Marketing Positivo dijo...

Nacho: ¡premio! estaba esperando a ver quién lo comentaba. La respuesta es correcta desde la teoría jurídica, ya que la pregunta empieza: "Habitualmente cedo datos de nuestros clientes a un laboratorio externo", pero tal y como dices un buen consultor debería explicar al cliente cómo evitar las complicaciones legales que eso le puede generar, ya que para hacer un análisis no es necesario conocer el nombre y DNI de la persona, basta con adjudicarle un código a la muestra.

Anónimo dijo...

De incognito.

Por lo que tengo entendido, está regulado todo el tema de la preparación de formulas magistrales y se ha de indicar el farmaceutico elaborador y el farmaceutico que lo vende, por lo tanto no se si seria posible la disociación de datos.

Estoy abierto a opiniones en contra.

un saludo,

de incognito
Por otro lado no está claro que estemos ante un supuesto de acceso a datos por cuenta de terceros, dado que el farmaceutico que realiza la formula magistral no lo hace por cuenta de quien se lo vende al cliente sino por su propia cuenta.

Marketing Positivo dijo...

Este no es un blog de consultoría (eso lo hago aparte, cobrando) y además es muy complejo comentar situaciones "en teoría" porque luego cada cliente tiene sus particularidades, pero te lo explico con un ejemplo muy genérico.

Alberto acude a su farmacia y solicita la preparación de una fórmula magistral. El farmaceútico (F1) deberá aplicar a esa información medidas de seguridad de nivel alto al tratarse un dato de salud.
Si necesita subcontratar la preparación de la fórmula magistral con otro farmaceútico (F2) le dirá: "hazme esto para X325T". Cuando F2 le envíe el preparado, F1 sabrá que X325T es Alberto, que recibirá el producto con etiqueta donde se identifique tanto a F1 como a F2.
De esta forma F1 se evitaría no sólo el contrato de tratamiento que se cita en el artículo, que es lo de menos, sino el riego que siempre supone que datos de nivel alto "viajen" ya sea por mail (donde deberían ir disociados), fax (peligro máximo, no permite ninguna protección) y ni te digo si es en papel, que casi deberían transportarse en maletín con llave y encadenado a la muñeca. Y además la responsabilidad "in vigilando" que le puede repercutir por una mala actuación de F2.
Otro caso: el mismo procedimiento cuando se encarga un análisis de sangre, orina, etc a un laboratorio.

Por cierto, lo de "de incógnito", impagable. De verdad que no muerdo :)

Pau A. Monserrat dijo...

he llegado a este blog buscando información sobre la LOPD. Lo agrego a mi blogroll, dado mi interés profesional por el tema.

Marketing Positivo dijo...

Hola Pau, gracias por la visita y el enlace :)

Anónimo dijo...

Lo siento, pero no me queda claro. Por ejemplo, en el caso de las Farmacias que a través de formularios envían datos personales a los laboratorios para que realicen vacunas individualizadas. Habría cesión de datos, o acceso a datos por cuenta de terceros??? Se debe o no se debe formalizar un contrato entre la Farmacia y el laboratorio?

Marketing Positivo dijo...

Anónimo: tendría que ver el formato de ese formulario para dar una opinión fundamentada.
Si hay datos personales, entonces el contrato debe existir entre las partes, pero si se codifica podría no ser necesario.

Anónimo dijo...

Hola, tengo una duda: si un dentista necesita que una farmacia le haga formulas magistrales, por ley le tiene que dar a la farmacia el nombre de los pacientes que necesitan esa formula. ¿esto es una cesion de datos? gracias

Marketing Positivo dijo...

Anónimo: siempre que haya una ley que lo justifique no hay problema.

Anónimo dijo...

si recibo curriculum debo notificar el fichero a la aepd?

Marketing Positivo dijo...

Anónimo: un curriculum contiene gran cantidad de datos personales y su tratamiento ha de cumplir la LOPD, empezando por la notificación del fichero.

Anónimo dijo...

y si tengo una camara de video vigilancia en mi empresa debo comunicarlo tambien

Marketing Positivo dijo...

Anónimo: en caso de videovigilancia sólo existe fichero si se graban las imágenes. En el caso de que únicamente se visualicen pero no se graben, no hay que declarar ningún fichero, aunque sí cumplir el resto de la reglamentación.
En el blog Ayuda Ley Protección Datos hay una sección dedicada a videovigilancia, a la que puede acceder pinchando este enlace.

Publicar un comentario en la entrada

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.