ANEXO 7 CRITERIOS PARA LA RECOGIDA Y TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL La recogida y tratamiento de datos de carácter personal que se realicen en la ejecución de la prestación del servicio farmacéutico objeto de este Concierto, deberá adecuarse a la normativa vigente en materia de seguridad y protección de datos personales. 1. DISPENSACIÓN Y FACTURACIÓN DE RECETAS POR EL PROCEDIMIENTO CONVENCIONAL Las oficinas de farmacia garantizarán el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid y su desarrollo reglamentario, en relación con los datos de carácter personal que se contienen en las recetas médicas oficiales que sean dispensadas. Las oficinas de farmacia sólo podrán disponer de estos datos a efectos de la dispensación y posterior facturación de las recetas a la Consejería de Sanidad y Consumo, según lo previsto en este Concierto. En todo este proceso estarán obligadas a guardar secreto profesional respecto de los mismos, por lo que no podrán revelarlos a terceros. La facturación por el Colegio Oficial de Farmacéuticos de Madrid de las recetas médicas oficiales dispensadas mediante el tratamiento informático de las ANEXO 7 1
mismas, se realizará recogiendo exclusivamente los datos necesarios para la facturación: oficina de farmacia, identificador de la receta, medicamento o producto sanitario, número de unidades y precio. El Colegio Oficial de Farmacéuticos solamente podrá disponer y utilizar la información procedente del tratamiento de las recetas oficiales para el cumplimiento de las condiciones de facturación establecidas en el presente Concierto. Una vez cumplida la prestación contractual, cualquier fichero, soporte o documento en que conste algún dato de carácter personal objeto del tratamiento deberá ser destruido o devuelto a la Dirección General de Farmacia y Productos Sanitarios como responsable del fichero o tratamiento de los datos. El traslado de documentos y soportes informáticos conteniendo información de los datos exclusivos de la factura, desde el Colegio Oficial de Farmacéuticos hasta la Consejería de Sanidad y Consumo deberá estar protocolizado e identificados los responsables de cada proceso. En el supuesto de que el Colegio Oficial de Farmacéuticos quiera subcontratar el servicio de facturación mediante convenios con terceros, deberá solicitar autorización de la Dirección General de Farmacia y Productos Sanitarios como responsable del fichero de recetas médicas oficiales, que será a su vez la responsable de la supervisión de dicho convenio para garantizar, en todo el proceso, el cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Es obligación de la Dirección General de Farmacia y Productos Sanitarios acreditar que el contrato firmado a este efecto recoge las garantías precisas sobre el tratamiento de datos de carácter personal, debiendo incluir todas las cláusulas necesarias para su cumplimiento conforme a lo dispuesto en el artículo 12 de la citada Ley Orgánica de Protección de Datos de Carácter Personal, y comunicarlo, ANEXO 7 2
previamente a su firma, a la Agencia de Protección de Datos de la Comunidad de Madrid, como resulta preceptivo en el artículo 9.3 de la Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid. 2. DISPENSACIÓN Y FACTURACIÓN POR PROCEDIMIENTO ELECTRÓNICO El sistema de información en el que se integren la prescripción, dispensación y facturación electrónicas, se ajustará en su totalidad a lo dispuesto en materia de tratamiento de los datos personales y protección de la intimidad en las comunicaciones electrónicas, en la Ley 16/2003, de 28 de mayo, de Cohesión y Calidad del Sistema Nacional de Salud; Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica; Ley 25/1990, de 20 de diciembre, del Medicamento; Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal; Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal; Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid; Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones y Ley 59/2003, de 19 de diciembre, de Firma Electrónica. El Plan de Implantación de la receta electrónica se realizará en su totalidad con los máximos niveles de seguridad que exige la normativa anteriormente citada, incorporando las últimas tecnologías de seguridad disponibles para las comunicaciones electrónicas. Se prestará especial atención a la autorización de perfiles de acceso, los niveles de seguridad para el acceso a datos de carácter personal y al cifrado de la información, garantizando la integridad y autenticidad de la información en las telecomunicaciones a través de sistemas de firma ANEXO 7 3
electrónica reconocida, según se establece en la Ley de Ordenación Sanitaria de la Comunidad de Madrid. Todas las personas con posibilidad de acceso a datos de carácter personal deberán ser informadas del deber de secreto respecto de los mismos, en los términos dispuestos en el artículo 10 de la Ley Orgánica de Protección de Datos de Carácter Personal. La subcontratación con empresas de servicios se acogerá a lo establecido en el artículo 12 de la Ley Orgánica de Protección de Datos de Carácter Personal, sobre condiciones de acceso a datos por cuenta de terceros y a lo indicado en el artículo 9 de la legislación autonómica en la materia. 3. PROGRAMAS ESPECÍFICOS DE ATENCIÓN FARMACÉUTICA, SEGUIMIENTO FARMACOTERAPÉUTICO Y FARMACOVIGILANCIA Los datos y documentos recabados por el farmacéutico en el marco de las funciones y servicios previstos en los artículos 17 y 18 de la Ley 19/1998, de Ordenación y Atención Farmacéutica, sobre seguimiento farmacoterapéutico de los pacientes y farmacovigilancia, se archivarán adoptando las medidas técnicas y organizativas necesarias para garantizar el derecho a la intimidad de los pacientes, conforme a la Ley Orgánica 15/1999,de Protección de Datos de Carácter Personal y el Real Decreto 994/1999, por el que se aprueba el Reglamento de Medidas de seguridad en el caso de ficheros informatizados. Sólo se recogerán aquéllos datos efectivamente necesarios para este fin, de acuerdo con el principio de calidad del artículo 4.1 de la Ley Orgánica de Protección de Datos de Carácter Personal, con los protocolos de actuación y con los criterios generales que establezca al respecto la Consejería de Sanidad y ANEXO 7 4
Consumo. Los datos serán cancelados cuando dejen de ser necesarios para la finalidad con que se recabaron. El farmacéutico titular del fichero asumirá la responsabilidad de su custodia, archivando los datos cualquiera que sea su soporte papel o informático, de manera que se garantice su seguridad y correcta conservación, evitando la utilización o el acceso a los mismos por personas no autorizadas. En cumplimiento del deber de secreto profesional no podrá comunicarlos a terceros. El titular del fichero se encargará en cada caso de la notificación e inscripción del mismo en la Agencia Española de Protección de Datos, conforme a lo establecido en el artículo 26 de la Ley Orgánica de Protección de Datos de Carácter Personal. Asimismo informará a los pacientes de forma expresa, precisa e inequívoca, de conformidad con el artículo 5.1.a) de la Ley Orgánica de Protección de Datos de Carácter Personal de la finalidad de la recogida de sus datos y la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición, adoptando las medidas necesarias para garantizar en todos los casos el ejercicio de estos derechos. El derecho de acceso a la información clínica por personas vinculadas al paciente y las limitaciones que pueden oponerse al ejercicio de este derecho se ajustarán a lo dispuesto en el artículo 18 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica. En base a lo establecido en la Ley 19/1998, de Ordenación y Atención Farmacéutica y en la Ley 12/2001, de Ordenación Sanitaria de la Comunidad de Madrid, respecto a la capacidad de la Consejería de Sanidad y Consumo para la realización de actividades de inspección, verificación y control sobre los servicios, ANEXO 7 5
actividades y prestaciones de su competencia, el personal de la Consejería que, debidamente acreditado, tenga asignadas estas funciones, podrá acceder a estos datos exclusivamente para el cumplimiento de las mismas. La Consejería de Sanidad y Consumo también podrá acceder a estos datos con fines epidemiológicos y estadísticos en el marco de la programación de actividades de prevención y mejora de la utilización de medicamentos, conforme a las competencias que tiene atribuidas en la Ley 12/2001, de Ordenación Sanitaria de la Comunidad de Madrid. En estos supuestos sólo podrán cederse los datos de carácter clínico asistencial disociados de los de identificación personal de los pacientes, conforme a lo dispuesto en la Ley 41/2002 Básica Reguladora de la Autonomía del Paciente, y artículos 5 y 12 de la Ley Orgánica de Protección de Datos de carácter personal. ANEXO 7 6