17 de febrero de 2025

Las farmacias ejercen un papel esencial en la información especialmente sensible que manejan, ya que tratan los datos de salud de sus clientes/pacientes. Esto las convierte en sujetos clave dentro del marco normativo de protección de datos personales.

Examinemos la normativa aplicable

Vamos a revisar las obligaciones jurídicas, derechos y buenas prácticas que tienen que adoptar las farmacias, en base a la legislación vigente. Debido a que la actividad farmacéutica está sujeta a una estricta regulación en materia de protección de datos, hay una variedad de disposiciones que detallamos a continuación:

1. Reglamento General de Protección de Datos (RGPD):

Reglamento (UE) 2016/679, establece los principios generales y requisitos específicos para el tratamiento de datos personales dentro de la Unión Europea.

2.Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD):

Norma nacional que complementa el RGPD, y lo adapta al contexto español, incorporando además derechos digitales.

3.Normativa estatal:

Leyes de aplicación nacional que pueden limitar o ampliar obligaciones, derechos y deberes tanto de las farmacias como de los clientes/pacientes, como el Título II, Capítulo 1º, artículos 40.5 y 40.6, y Título V de la Ley 14/1986, de 25 de abril (BOE nº 102, de 29 de abril), General de Sanidad; Ley 25/1990, de 20 de diciembre (BOE nº 306, de 22 de diciembre), del Medicamento; Ley 16/1997, de 25 de Abril, de Regulación de Servicios de las Oficinas de Farmacia; Ley de 30 de diciembre de 1997 nº 66/1997, de medidas fiscales, administrativas y del orden social.

4.Normativa sectorial y autonómica, códigos de conducta o normas corporativas vinculantes (BCR):

Es importante prestar especial atención a leyes o disposiciones específicas de nuestra comunidad autonómica o región, a los códigos de conducta vigentes a los que estemos obligados por iniciativa propia, entre otros.

Hay que tener en cuenta que en este post vamos a plantear el tratamiento de datos desde una perspectiva general y restrictiva, para que pueda servir de guía orientativa a cualquier farmacia en todo el territorio nacional.

Principales obligaciones en materia de protección de datos en las farmacias

  1. RELACION CON LOS CLIENTES /PACIENTES 
  • Base jurídica para el tratamiento: El tratamiento de datos de salud debe sustentarse en el consentimiento explícito del cliente, salvo que exista una obligación legal o se trate de la prestación de un servicio sanitario. Por ejemplo, en la dispensación de medicamentos bajo prescripción electrónica, la farmacia trata los datos del paciente y del médico que emitió la receta para garantizar la entrega correcta del medicamento. Este tratamiento se fundamenta en la obligación legal y la prestación del servicio sanitario solicitado.
  • Transparencia informativa: Las farmacias están obligadas a informar a los clientes/pacientes sobre el uso de sus datos personales.Esta información debe ser clara, comprensible y accesible, incluyendo:
    • Identidad y datos de contacto del responsable del tratamiento.
    • Finalidades del tratamiento.
    • Plazo de conservación.
    • Derechos de los interesados y mecanismos para ejercerlos.

Por ejemplo, se debería disponer de un texto en el mostrador con la información sobre el tratamiento de datos que realizamos.

  • Gestión de recetas electrónicas: El uso de recetas electrónicas debe cumplir con los principios de seguridad y confidencialidad, garantizando que el acceso a estos datos sea limitado y justificado. Es decir, trataremos de que los dispositivos electrónicos empleados no estén a la vista, que se apaguen tras finalizar la jornada, que existan diferentes usuarios para cada empleado, que estén actualizados y con medidas de seguridad suficientes.
  1. GESTIÓN DE LOS EMPLEADOS
  • Tratamiento de datos laborales: Los datos necesarios para la gestión laboral, como los relacionados con nóminas, horarios y afiliaciones a la Seguridad Social, pueden tratarse sobre la base jurídica del contrato laboral o el cumplimiento de obligaciones legales.
  • Videovigilancia y control: Si se implementan medidas de control como videovigilancia, éstas deben ser proporcionales y previamente comunicadas a los empleados. Las grabaciones solo pueden usarse para los fines especificados. Por ejemplo, una farmacia decide instalar cámaras en la zona de almacén para prevenir robos. Estas cámaras deben estar señalizadas, y los empleados deben ser informados previamente sobre su ubicación y propósito. Las grabaciones solo pueden revisarse en caso de incidencias justificadas y deben eliminarse tras un período máximo establecido por la ley. Lo mismo será de aplicación para los clientes, que deberán ser informados antes de acceder a las instalaciones mediante el cartel correspondiente.

En este apartado de control también se incluye la información que debemos ofrecer a los empleados sobre los sistemas de registro horario, supervisión de correo electrónico, grabación de llamadas o cualquier otra casuística permitida por la normativa.

  • Sistemas internos de denuncia: Las farmacias que cuenten con canales de denuncia deben garantizar la confidencialidad del denunciante y el tratamiento adecuado de los datos. Aunque esto es obligatorio para plantillas de 50 o más empleados.
  1. RELACIÓN CON PROVEEDORES 
  • Encargados del tratamiento: Los proveedores que accedan a datos personales deben formalizar contratos donde se detallen sus responsabilidades como encargados del tratamiento. Por ejemplo, una farmacia contrata a un proveedor de software de gestión farmacéutica que almacena datos de clientes en la nube. Es obligatorio firmar un contrato que especifique las responsabilidades del proveedor, incluyendo medidas de seguridad, limitación del acceso y garantía de cumplimiento del RGPD.
  • Transferencias internacionales: En caso de utilizar servicios en la nube o herramientas gestionadas desde países fuera del Espacio Económico Europeo o países considerados seguros, se deben garantizar las medidas adecuadas, como cláusulas contractuales tipo.

Confidencialidad, pilar fundamental en la protección de datos en las farmacias

Las farmacias deben implementar medidas que aseguren la integridad, disponibilidad y seguridad de la información. Por ejemplo, si una farmacia recibe documentación en papel con datos sensibles de clientes, debe asegurarse de almacenarla en un lugar seguro y destruirla adecuadamente una vez cumplida su finalidad. Algunas buenas prácticas incluyen:

  • Políticas de acceso restringido: Garantizar que solo el personal autorizado pueda acceder a los datos sensibles.
  • Capacitación continua: Formar a los empleados en materia de protección de datos y sensibilizarlos sobre su importancia.
  • Tecnologías de seguridad: Aplicar medidas como cifrado, contraseñas robustas y sistemas de registro de accesos.
  • Gestión de documentos en papel: Establecer protocolos para la correcta destrucción de documentos y evitar su abandono en espacios accesibles.
  • Revisiones periódicas: Implementar políticas de privacidad y cumplimiento que garanticen la revisión de medidas técnicas y organizativas (protocolos internos de cumplimiento y sistemas electrónicos)
  • Principio de proactividad: Contemplado y exigido por el RGPD, este principio nos exige cumplir y demostrar que cumplimos con la normativa de protección de datos: protocolos y políticas definidas, por escrito, certificados de la formación realizada, procesos de revisión debidamente documentados y las medidas implementadas, entre otros.

Redes Sociales, reseñas online y nuevas tecnologías

  • Redes sociales: Las farmacias deben evitar divulgar información que permita identificar a clientes o empleados en redes sociales. Por ejemplo, al responder a una consulta en Instagram sobre disponibilidad de medicamentos, se debe proporcionar una respuesta general sin mencionar datos personales del cliente. Además, no es adecuado responder consultas médicas en plataformas públicas.
  • Reseñas en Google: Si se gestionan reseñas, las respuestas deben ser respetuosas con la privacidad del usuario, evitando cualquier referencia a su información personal.
  • Inteligencia artificial: El uso de herramientas de IA en farmacias, como sistemas de gestión de inventarios o recomendación de productos, debe alinearse con los principios de minimización de datos y transparencia. Además, es fundamental realizar evaluaciones de impacto cuando se prevea un alto riesgo para los derechos de los interesados.

Medidas de seguridad y respuesta ante brechas de Seguridad

  1. Auditorías periódicas: Evaluar de manera regular la seguridad de los sistemas y procesos.
  1. Notificación de brechas: Por ejemplo, si una farmacia pierde un dispositivo portátil, un móvil o cualquier documento físico o tecnológico que contiene datos personales de clientes, debe notificar el incidente a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas, previo análisis de la brecha. Además, deberá informar a los afectados si la brecha supone un alto riesgo para sus derechos y libertades, y tomar medidas inmediatas para mitigar los posibles.
  1. Planes de contingencia: Diseñar protocolos para la recuperación de datos en caso de incidentes.

Conclusión

La protección de datos en farmacias no solo es una obligación legal, sino también una responsabilidad ética que refuerza la confianza de clientes, empleados y proveedores. Cumplir con las normativas aplicables, implementar medidas de seguridad y adoptar buenas prácticas son pasos esenciales para garantizar una gestión responsable y segura de los datos personales.

El compromiso con la protección de datos no solo evita sanciones, sino que también contribuye a fortalecer la reputación de las farmacias como agentes de confianza en el sector sanitario.

Este post se ha realizado en colaboración con LegalDPO, consultoría especializada en RGPD

 

 

 

Noticias Relacionadas

DE ASEFARMA

No related photos.

Formulario de contacto

DE ASEFARMA






    Acepto la política de privacidad*
    Acepto recibir información comercial relacionada con los servicios que presta Asefarma