COVID-19
Regístrese
Farmacia Profesional
Buscar en
Farmacia Profesional
Toda la web
Inicio Farmacia Profesional Consultas
Información de la revista
Artículo anterior | Artículo siguiente
Vol. 23. Núm. 4.
Páginas 29-31 (Julio 2009)
Exportar referencia
Compartir
Compartir
Imprimir
Descargar PDF
Más opciones de artículo
Estadísticas
Vol. 23. Núm. 4.
Páginas 29-31 (Julio 2009)
Acceso a texto completo
Consultas
Visitas
3270
Descargar PDF
René Sollaa
a Abogado. Departamento Jurídico de Aspime, asesoría especializada en oficina de farmacia.
Este artículo ha recibido
3270 Visitas
Información del artículo
Texto completo
Descargar PDF
Estadísticas
Texto completo

Los asesores de Aspime resuelven en este número consultas relacionadas con la protección de datos en la oficina de farmacia, en conformidad con la Ley de protección de Datos de Carácter personal actualmente en vigor. el uso de cámaras de videovigilancia, la inscripción de ficheros y la generación de copias de respaldo son su objeto de análisis.

Jurídica

¿Cuáles son las principales conclusiones de la Memoria 2008 de la AEPD en lo que respecta a la videovigilancia y a la inscripción de ficheros?

Los datos de 2008 que presentó la Agencia Española de Protección de datos (AEPD) apuntan nítidamente a una conclusión: la videovigilancia es un fenómeno imparable, puesto que todos los datos disponibles apuntan a esta conclusión. Así, los ficheros de videovigilancia inscritos en el Registro General de Protección de Datos en 2008 duplicaron los de 2007, alcanzando una cifra total de 15.510, siendo el 98,1% de ellos de titularidad privada y sólo el 1,9% de titularidad pública.

En cuanto a los sectores que declararon ficheros de videovigilancia en el 2008, el comercio ha pasado a ocupar el primer lugar, seguido del turismo, la hostelería y las comunidades de propietarios, que se alzaron a la tercera posición, desplazando a la cuarta los ficheros relacionados con la sanidad (entre los que se encuentran los de las oficinas de farmacia).

También destaca dicho informe que las actuaciones previas de inspección en videovigilancia suponen el 15,5% del total de las realizadas, situándose en el tercer lugar de los sectores inspeccionados, incrementándose además las resoluciones de procedimientos sancionadores en este ámbito un 633,3%.

En 2008 se inscribieron 250.313 nuevos ficheros en el Registro General de protección de Datos (RGpD), alcanzando la cifra de 1.267.579 (85.083 de titularidad pública y 1.182.496 de titularidad privada), con un incremento del 31% sobre el año anterior.

A ello ha contribuido la publicación y entrada en vigor, el 19 de abril de 2008, del Reglamento de Desarrollo de la Ley Orgánica de protección de Datos, que ha proporcionado una mayor visibilidad de las obligaciones de los responsables, tanto en lo relativo a la obligación de notificar e inscribir los ficheros en la AEPD, como a la de mantener actualizada la inscripción.

Sin embargo, el resultado más importante que puede obtenerse de la inscripción de ficheros es que se consolida la tendencia de que son las pymes las que ocupan una parte muy significativa de las nuevas inscripciones. Lo que apunta a una conclusión: que la capilaridad en el conocimiento y cumplimiento de la Ley Orgánica de protección de Datos (LOPD) en nuestro tejido empresarial es irreversible. Los sectores en los que esta tendencia es mayor son: comercio, sanidad, contabilidad, auditoría y asesoría fiscal, actividades inmobiliarias, construcción y educación, y se añaden las comunidades de propietarios.

Jurídica

¿Deben los farmacéuticos eliminar mensualmente toda la información recogida a través de cámaras, incluida la que pudiera encontrarse en las copias de seguridad de las cintas?

El artículo 8 de la mencionada Instrucción 1/2006 dispone que «Los datos serán cancelados en el plazo máximo de un mes desde su captación».

A este respecto debe señalarse que la cancelación de los datos no supone su eliminación automática, sino su bloqueo tal como lo disponen los artículos 16.3 de la LOpD y 5.1.b del Reglamento de Desarrollo de la LOpD, considerando que la cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las administraciones públicas, jueces y tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

En consecuencia, el plazo de un mes que señala la instrucción 1/2006 es un plazo máximo para la cancelación de datos en los términos vistos, no para su eliminación, que estará sujeta al transcurso de los plazos de prescripción de responsabilidades.

En cuanto a los datos contenidos en la copia, siendo la copia de respaldo conforme al artículo 5.2.e del Reglamento de desarrollo de la LOpD, «copia de los datos de un fichero automatizado en un soporte que permita su recuperación», esto es, un mecanismo que posibilita recuperar los datos cuando se produce una incidencia que no permite el acceso a los datos contenidos en el fichero, en el caso de que éstos se encuentren bloqueados con la exclusiva finalidad antes señalada de atención de responsabilidades, estará sometida a los mismos plazos para la supresión de los datos que el original del que éstos proceden.

Jurídica

¿Deben los farmacéuticos realizar, de forma semanal, copias de respaldo de las cintas de videovigilancia?

El responsable de la instalación de las cámaras de videovigilancia debe cumplir con la obligación de garantizar la seguridad de las imágenes en los términos previstos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo. Así, la Instrucción 1/2006, de 8 de noviembre, de la AEPD, sobre el tratamiento de datos personales con fines de videovigilancia a través de sistemas de cámaras o videocámaras prevé en su artículo 8 que: «El responsable deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizado».

En este mismo sentido se posiciona el Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por el Real Decreto 1720/2007, al regular las medidas de seguridad aplicables a ficheros y tratamientos automatizados, estableciendo en su artículo 94.2 que «Deberán establecerse procedimientos de actuación para la realización como mínimo semanal de copias de respaldo, salvo que en dicho período no se hubiera producido ninguna actualización de los datos».

En conclusión, en la normativa anteriormente mencionada no se establece ninguna excepción al deber de realizar copias de respaldo, por lo que éste es aplicable a cualquier fichero automatizado, entre los que se encuentran los resultantes de la grabación de imágenes a través cámaras o videocámaras con fines de videovigilancia.

La capilaridad en el conocimiento y cumplimiento de la Ley Orgánica de Protección de Datos (LOPD) en nuestro tejido empresarial es irreversible. Los sectores en los que esta tendencia es mayor son: comercio, sanidad, contabilidad, auditoría y asesoría fiscal, actividades inmobiliarias, construcción y educación, y se añaden las comunidades de propietarios

Jurídica

¿Qué consecuencias tiene y qué medidas debo tomar si un laboratorio externo que prepara las fórmulas magistrales de mi farmacia se niega a firmar el contrato de confidencialidad como encargado de tratamiento?

Según dispone el artículo 12.2 de la LOPD, la realización de tratamientos por cuenta de terceros deberá estar regulada mediante un contrato que deberá «constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas». En él se establecerá que el encargado de tratamiento, en este caso el laboratorio, únicamente tratará los datos que pudiera recibir conforme a las instrucciones del responsable de tratamiento, en este caso la oficina de farmacia, debiendo destruirlos o devolverlos una vez se haya cumplido la prestación contractual.

Por ello, la firma del contrato de confidencialidad es conditio sine qua non para que el laboratorio pueda realizar el servicio como encargado de tratamiento. Así, en él se estipularán las medidas de seguridad a que se refiere el artículo 9 de la LOPD, que el encargado del tratamiento está obligado a implementar.

Por otro lado, tal como indica el artículo 3 de la LOPD «Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento». Por último, su artículo 4 establece que «en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente».

Jurídica

Si un farmacéutico titular de una oficina de farmacia se dispone a sustituir el programa de gestión de ésta ¿debe notificar dicho cambio a la AEPD? ¿Además de esto, debería realizar alguna otra acción?

Actualmente, no se tiene que notificar a la AEPD el cambio de aplicaciones dentro de los sistemas de tratamiento de la información, siempre y cuando se mantengan los mismos conjuntos de datos descritos en los ficheros que el farmacéutico debe tener registrados en la AEPD.

Sin embargo, este cambio implicará la realización de una auditoría extraordinaria. según el reglamento de la LOPD, «con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas». por esta razón, al ser la aplicación de gestión de la oficina farmacia la que contiene la base de datos principal, deberá realizarse esta auditoría extraordinaria.

En tal sentido, dicho informe de auditoría deberá dictaminar sobre la adecuación de las medidas de seguridad aplicadas, identificando sus deficiencias y proponiendo medidas correctoras. Además, se deberá actualizar la información incluida en el documento de seguridad referente a los sistemas de información, adecuándolo a la nueva aplicación instalada. por último, en el caso de oficinas de farmacia, se está tratando con datos de nivel alto de protección, con lo cual la nueva aplicación deberá cumplir con todas las medidas de seguridad expuestas en el Real Decreto 1720/2007 (por ejemplo, registros de accesos o configuración de perfiles, entre otras).

Según dispone el artículo 12.2 de la LOPD, la realización de tratamientos por cuenta de terceros deberá estar regulada mediante un contrato

Suscríbase a la newsletter

Contenido especial sobre COVID-19
Opciones de artículo
Herramientas
es en pt

¿Es usted profesional sanitario apto para prescribir o dispensar medicamentos?

Are you a health professional able to prescribe or dispense drugs?

Você é um profissional de saúde habilitado a prescrever ou dispensar medicamentos