La Ley Orgánica de Protección de Datos Personales (LOPD) En 20 minutos
INDICE 1.- Introducción...... 1 2.- Qué es un dato personal?... 2 3.- Cuáles son las obligaciones de mi Farmacia?... 3 4.- Conductas negligentes... 4 5.- Conclusiones... 5
Introducción La vigente normativa de protección de datos personales exige a las empresas y profesionales que dispongan de ficheros con datos de carácter personal, manuales o automatizados, la implantación de medidas de seguridad, técnicas y organizativas, que garanticen la confidencialidad, integridad y disponibilidad de la información. En una farmacia, podemos tratar datos personales en ficheros tales como el libro de recetas, libro de estupefacientes, atención fármaco-terapéutica, facturación, cámaras de seguridad, datos de empleados, currículos, actividades de fidelización de clientes, etc. Este nuevo derecho reconoce al ciudadano la facultad de decidir la finalidad con la que pueden ser tratados sus datos personales, salvo en los supuestos excepcionales establecidos en normas con rango de Ley. En consecuencia, el tratamiento de datos personales con fines profesionales, requiere -con carácter general- la obtención del consentimiento informado de los afectados en la forma legalmente establecida. La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, conocida como LOPD, es la normativa de referencia en España en materia de protección de datos personales. En este contexto se crea la Agencia Española de Protección de Datos, como autoridad de control y con capacidad inspectora, que velará por el cumplimiento de esta normativa imponiendo fuertes sanciones en caso de incumplimiento. Si bien es cierto que se trata de una normativa exigente y de difícil aplicación en muchas ocasiones, no debe ser obstáculo para implantar unas mínimas medidas de seguridad, máxime cuando somos responsables del tratamiento profesional de datos especialmente protegidos (datos de salud). 1
Qué es un dato personal? Se entiende por dato de carácter personal, toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier tipo, susceptible de recogida, registro, tratamiento o transmisión concerniente a personas físicas identificadas o identificables (por ejemplo, la dirección postal, un número de teléfono, un correo electrónico, o una fotografía, referente a una persona física son datos personales). Es probable que su farmacia cuente con ficheros, tales como el de nóminas de sus empleados o un fichero de clientes/pacientes. Asimismo son habituales los tratamientos de curriculos, o videovigilancia etc., además de los preceptivos libros recetario y estupefacientes. La LOPD no resulta aplicable a los datos referentes a personas jurídicas (dirección, CIF o una cuenta corriente de una empresa, asociación, federación, etc) Asimismo resulta necesario matizar que la LOPD no resulta de aplicación a los ficheros mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas. El desconocimiento del concepto de dato personal ha llevado a muchas empresas y profesionales a cometer infracciones de la LOPD, al considerarlos públicos o de libre tratamiento. Conviene resaltar que la persona física titular de los datos personales o interesado es el único que puede autorizar, la recogida y tratamiento de sus datos personales. Para que esta autorización o consentimiento otorgado para el tratamiento de datos personales tenga validez, resulta imprescindible informar al interesado, de forma clara, previa y precisa, de la finalidad del tratamiento, así como de la identidad y dirección del responsable del tratamiento. Existen excepciones legales que permiten tratamientos de datos sin consentimiento de los interesados, por ejemplo, cuando se trata de personal sanitario en el ejercicio de sus funciones. 2
Cuáles son las obligaciones de mi farmacia? Las principales obligaciones impuestas por la vigente normativa de protección de datos son las que a continuación se relacionan: Inscripción de los ficheros en el Registro General de la Protección de Datos. Su farmacia debe notificar al RGPD los ficheros manuales y automatizados que contengan datos de carácter personal, entendiéndose por fichero, un conjunto organizado de datos. La inscripción tiene efectos meramente declarativos (ejemplos de ficheros a declarar: libro recetario, libro estupefacientes, recursos humanos, currículos, videovigilancia, etc.) Implantación y mantenimiento de medidas de seguridad técnicas y organizativas. La vigente normativa de protección de datos establece tres niveles de seguridad: básico, medio o alto. En las farmacias resulta necesario aplicar un nivel alto de seguridad (tratamiento de datos de salud). Redacción de un documento de seguridad. El documento de seguridad debe recoger las medidas de seguridad técnicas y organizativas implantadas en la organización. Es obligatorio desde un nivel básico de seguridad. Debe mantenerse actualizado y a disposición de la Agencia Española de Protección de Datos. Auditoría de seguridad. La vigente normativa exige una auditoría interna o externa para los niveles medio y alto de seguridad que verifique las medidas de seguridad adoptadas así como sus carencias. Asimismo deberá recoger las medidas correctoras que se estimen necesarias para reducir los riesgos de seguridad en el tratamiento de datos personales. Debe realizarse cada dos años. Aplicación de políticas de actualización y cancelación de datos. La LOPD exige que los datos personales se mantengan exactos y actualizados. Asimismo exige su cancelación cuando dejan de ser necesarios. Redacción de los contratos, formularios y advertencias legales necesarias para obtener el consentimiento informado de los afectados al tratamiento y cesión de sus datos personales. Asimismo es obligatoria la suscripción de contratos de confidencialidad con aquellos proveedores que, prestando sus servicios, puedan acceder o tratar ficheros de su farmacia (por ejemplo su proveedor informático). Atender a los derechos de acceso, rectificación, cancelación y oposición ejercitados por los interesados. 3
Conductas negligentes A continuación se recogen algunos ejemplos de conductas usuales que pueden suponer una infracción de la LOPD: Instalación de cámaras de videovigilancia en la farmacia sin la colocación de carteles informativos o sin proceder a la inscripción del fichero en el RGPD. Respecto a la instalación de estos dispositivos resulta fundamental su correcta orientación. En ningún caso deben tomarse imágenes de la vía pública. Desechar documentos confidenciales sin proceder a su destrucción física. Desechar equipos informáticos que hayan albergado información confidencial, sin proceder al formateado de sus discos duros. Realizar tratamientos de datos sin el consentimiento expreso o tácito de los interesados, cuando no éste sea exigible. Asimismo la cesión de datos personales del interesado sin su consentimiento o sin el respaldo de una norma con rango de Ley, puede constituir una infracción. Mantener equipos informáticos sin control de accesos por ejemplo mediante una contraseña específica para cada usuario con acceso autorizado a los sistemas de información. No realizar las copias de seguridad en los términos exigidos por la vigente normativa de protección de datos. Permitir el acceso y tratamiento de datos personales por parte de proveedores, sin exigir contractualmente obligaciones de confidencialidad y la aplicación de las medidas de seguridad que correspondan. Creación y publicación de una página web en la que se pidan datos personales (por ejemplo contacte con nosotros ), sin informar al usuarios de la identidad del responsable del fichero, así como del contenido y finalidad del tratamiento. Envío masivo de correos electrónicos publicitarios sin contar con el consentimiento expreso previo de sus destinatarios (SPAM). 4
Conclusiones 1. Un dato de carácter personal es cualquier información relativa a una persona física. El tratamiento de estos datos requiere la observación y cumplimiento de las obligaciones contenidas en la LOPD. 2. La LOPD se aplica, tanto a los ficheros en soporte informático, como a los ficheros en soporte papel. Estos ficheros deben ser inscritos en el RGPD. 3. La LOPD exige la implantación de medidas de seguridad técnicas y organizativas que garanticen la seguridad de los datos personales objeto de tratamiento. Estas medidas de seguridad se dividen en tres niveles: básico, medio y alto. Las farmacias deben aplicar un nivel alto de seguridad por el tratamiento de datos especialmente protegidos (datos de salud). 4. Es obligatorio realizar una auditoría de seguridad, interna o externa, cada dos años. 5. Los ciudadanos tienen derecho a decidir la finalidad con la que pueden ser tratados sus datos personales, en consecuencia es fundamental contar con el consentimiento informado de éstos, para proceder a su tratamiento o cesión (salvo excepción legal). 6. Es necesario firmar contratos de confidencialidad con aquellos proveedores que prestando sus servicios, puedan acceder o tratar ficheros bajo su responsabilidad. 7. El incumplimiento de la LOPD puede acarrear importantes sanciones de la Agencia Española de Protección de Datos (hasta los 600.000 ). La AEPD puede actuar de oficio o por denuncia del interesado. 5