COVID-19
Regístrese
Farmacia Profesional
Buscar en
Farmacia Profesional
Toda la web
Inicio Farmacia Profesional Rendimiento. Consultas
Información de la revista
Artículo anterior | Artículo siguiente
Vol. 22. Núm. 3.
Páginas 33-35 (Marzo 2008)
Exportar referencia
Compartir
Compartir
Imprimir
Descargar PDF
Más opciones de artículo
Estadísticas
Vol. 22. Núm. 3.
Páginas 33-35 (Marzo 2008)
Acceso a texto completo
Rendimiento. Consultas
Visitas
2075
Descargar PDF
René Sollaa
a Abogado especialista en protección de datos. ASPIME. Asesoría especializada en oficina de farmacia.
Este artículo ha recibido
2075 Visitas
Información del artículo
Texto completo
Descargar PDF
Estadísticas
Texto completo

Continuamos en este número con una nueva sección que, articulada en forma de consultas breves, analiza aspectos jurídicos, laborales, fiscales y de diversa índole, siempre relacionados con la gestión empresarial de la oficina de farmacia. En esta ocasión se resuelven cinco consultas de ámbito jurídico sobre la instalación de cámaras de videovigilancia, el alcance de los informes obligatorios de auditoría de ficheros de datos personales y los requisitos legales de las copias de seguridad de ficheros informáticos.

Jurídica

¿Cómo se regula la instalación de videocámaras con fines de seguridad en las oficinas de farmacia y cuál es el tratamiento que se le debe otorgar al ejercicio de los derechos de los afectados en este sentido?

De conformidad con lo dispuesto en la Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos (AEPD), sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras, las imágenes se consideran un dato de carácter personal en virtud de lo establecido en el artículo 3 de la Ley Orgánica 15/1999 y el artículo 1.4 del Real Decreto 1.322/1994 de 20 de junio, que considera como dato de carácter personal la información gráfica o fotográfica, y en virtud de ello, de conformidad con lo dispuesto en el artículo 7.1 de la mencionada Instrucción: «La persona o entidad que prevea la creación de ficheros de videovigilancia deberá notificarlo previamente a la AEPD, para su inscripción en el Registro General de la misma».

El tratamiento de las imágenes por parte del responsable obliga a que se cumpla con el deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la Ley Orgánica de Protección de Datos. En relación al modo en que haya de facilitarse dicha información, debe tenerse en cuenta el artículo 3 de la Instrucción 1/2006 que establece que «Los responsables que cuenten con sistemas de videovigilancia deberán cumplir con el deber de información previsto en el artículo 5 de La Ley Orgánica 15/1999, de 13 de diciembre. A tal fin deberán:

a) Colocar, en las zonas videovigiladas, al menos un distintivo informativo ubicado en lugar suficientemente visible, tanto en espacios abiertos como cerrados.

b) Tener a disposición de los/las interesados/as impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999.

El contenido y el diseño del distintivo informativo se ajustará a lo previsto en el Anexo de esta Instrucción».

Jurídica

¿Cuál es elemento fundamental que se debe tener en cuenta cuando se instalen sistemas de videovigilancia en las oficinas de farmacia?

Tal como lo señala la exposición de motivos de la Instrucción 1/2006, de 8 de noviembre, en lo concerniente a la instalación de sistemas de videovigilancia será necesario ponderar los bienes jurídicos protegidos. Por esta razón, toda instalación deberá respetar el principio de proporcionalidad, que viene a significar que, siempre que resulte posible, se deben adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales de las personas físicas.

Para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los siguientes requisitos o condiciones, a saber: a) Si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); b) si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad), y finalmente, c) Si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

El artículo 4 de la Instrucción 1/2006 recoge los principios de calidad, proporcionalidad y finalidad del tratamiento, estableciendo lo siguiente:

1. De conformidad con el artículo 4 de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal, las imágenes sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras.

2. Sólo se considerará admisible la instalación de cámaras o videocámaras cuando la finalidad de la vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.

3. Las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

Como cabe apreciar, con el establecimiento de estas medidas se persigue evitar la vigilancia omnipresente, con el fin de impedir la vulnerabilidad de la persona

Jurídica

¿Cuál es el alcance del informe de auditoría que exige el artículo 17 del Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal?

Tal como lo dispone el artículo 17.2 del Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal, «el informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al presente Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas».

Este informe debe ser analizado por el responsable de seguridad competente, quien, a su vez, está obligado a elevar las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas.

A pesar de que la auditoría puede ser interna o externa, es recomendable que sea externa o en caso de que sea interna, que, al menos, la realice un departamento de auditoría independiente del departamento auditado.

Este informe de auditoría siempre se debe llevar a cabo en las oficinas de farmacia, ya que en ella se recaban datos relativos a la salud de las personas, es decir, datos de nivel alto de protección que, junto a los de nivel medio, son los que deben ser auditados.

Jurídica

¿Con qué frecuencia se deben realizar copias de seguridad de las informaciones contenidas en los ficheros informáticos de la farmacia y dónde deben almacenarse? ¿Es indiferente que sean internas o externas?

Los procedimientos establecidos para la realización de copias de respaldo y para la recuperación de los datos deberán garantizar su reconstrucción en el estado en que se encontraban en el momento de producirse la pérdida o destrucción. Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos (artículo 14.3 del Reglamento de Medidas de Seguridad)

Hay que señalar que, en la actualidad, cualquier software o sistema operativo proporciona la reconstrucción de los datos almacenados en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción. Otra cosa es que existan datos de carácter personal de los cuales el responsable del fichero no haga copias por considerarlos de importancia limitada. Ello supondría una vulneración del Reglamento de Medidas de Seguridad, ya que esta disposición normativa no hace ningún tipo de distinciones al respecto.

El procedimiento de realización de copias de seguridad debe estar señalado en el documento de seguridad de la farmacia, en el que, además, se establecerá la periodicidad (semanal, por lo menos), el soporte y cualquier otra información al respecto.

En cuanto al almacenamiento de las copias de respaldo y de recuperación, el Reglamento de Medidas de Seguridad no incide en el tipo de soporte en el que deben almacenarse las copias de seguridad (CD, disquetes, o pendrive), pero al tratarse de datos de nivel alto de protección (como, por ejemplo, los de salud), se señala expresamente que «deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, cumpliendo, en todo caso, las medidas de seguridad exigidas en este Reglamento» (artículo 25 del Reglamento). Esta es una medida de seguridad básica, casi de sentido común, pero se ha de advertir que existe un alto grado de incumplimiento. En efecto, muchos responsables de ficheros optan por realizar copias de seguridad en el mismo disco duro, o en soportes que son almacenados en el mismo sistema informático, es decir, sólo realizan copias de seguridad internas, lo que supone una clara vulneración de lo consignado en el Reglamento, además de un riesgo inmediato para la seguridad e integridad de la información tratada.

Jurídica

¿Debe existir una separación entre los datos de carácter personal del paciente y los de atención farmacéutica y por qué?

No, en este caso se debe tener en cuenta el concepto o la definición expuestos en el artículo 3, apartado f de la Ley Orgánica de Protección de Datos (LOPD), que señala que el procedimiento de disociación es «todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable». En consecuencia, cuando los datos personales no permiten la identificación de una persona concreta pierden el carácter de personales, quedando al margen de la normativa sobre protección de datos.

Un ejemplo típico de disociación es el realizado para el desarrollo de funciones de estadística. La utilización de este procedimiento, con carácter previo al acceso y tratamiento de los datos, permite eximir al mismo del cumplimiento de las obligaciones que establece la Ley Orgánica 15/1999 (por ejemplo, la solicitud de consentimiento del interesado para poder utilizar esos datos en el tratamiento previsto).

Los datos de atención farmacéutica contienen la relación de medicamentos dispensados al paciente para el control y seguimiento de su medicación. Con la realización de programas de atención farmacéutica o seguimiento farmacoterapéutico el farmacéutico toma parte activa en la asistencia al paciente, cooperando así con el médico y otros profesionales sanitarios a fin de conseguir que mejoren la salud y la calidad de vida de las personas a las que atiende. Para que el paciente pueda obtener una adecuada asistencia será necesario que en este fichero figuren también sus datos personales (nombre y apellidos, dirección, teléfono, número de la Seguridad Social, etc.), ya que, de no ser así, y tal como se ha señalado anteriormente, la información que se obtenga para llevar a cabo la atención farmacéutica no podrá ser asociada al paciente.

Suscríbase a la newsletter

Contenido especial sobre COVID-19
Opciones de artículo
Herramientas
es en pt

¿Es usted profesional sanitario apto para prescribir o dispensar medicamentos?

Are you a health professional able to prescribe or dispense drugs?

Você é um profissional de saúde habilitado a prescrever ou dispensar medicamentos