Gestión

La cultura de la protección de datos deberá calar en todo el equipo

La aplicación efectiva del Reglamento europeo obligará a las farmacias a ser proactivas para proteger la privacidad de sus usuarios.

Las oficinas de farmacia deberán empezar a cumplir a partir del próximo 25 de mayo con el Reglamento General de Protección de Datos, UE 2016/679, por lo que previamente a esta fecha tendrán que haber aplicado las medidas necesarias para dar cumplimiento a la nueva norma.

“Los cambios que introduce el Reglamento van en consonancia con el rápido desarrollo tecnológico de la sociedad y evidencian que las normas en materia de protección de datos han quedado obsoletas”, según expresan desde el Departamento de Protección de Datos de COFM Servicios 31 SLU. Más allá de actualizar la legislación, las nuevas exigencias van encaminadas a reforzar el derecho de las personas a que sus datos personales sean protegidos, como derecho fundamental de la Unión Europea. “El objetivo es poder hablar de un nuevo modelo basado en la implantación de una cultura de gobierno responsable de la información”, apuntan desde la Sociedad del COF de Madrid.

El Reglamento apuesta por un cumplimiento real y no meramente formal de la protección de datos de carácter personal. “Cumplir la norma ahora no podrá consistir en recibir una carpeta de doscientas páginas que se archiva sin abrir”, apunta Lilian Valenzuela, abogada de Umbra Consulting, empresa especializada en este campo colaboradora de Asefarma. En su opinión, a partir de ahora, el cumplimiento de la norma deberá ser vivo y formar parte del desempeño habitual de los miembros de la farmacia.

Esta experta ve fundamental que, “por el bien de la farmacia y de la sociedad”, cale la importancia de llevar al día la protección de datos. En este sentido, prevé que el Reglamento reforzará el trabajo preventivo, no solo por las sanciones que contempla, sino por el riesgo con el tratamiento de los datos que se manejan en la oficina de farmacia y por el crecimiento de la actividad online del sector.

Distinta forma de trabajar la protección de datos

Para Valenzuela, la nueva norma no necesariamente acarreará más trabajo para las farmacias, porque “si bien surgen nuevas obligaciones también desaparecen otras, por ejemplo, la obligación de notificar los ficheros a la Agencia de Protección de Datos”.

En cuanto al impacto sobre las farmacias, desde la Sociedad del COFM señalan que deberán introducir cambios en su forma de actuar, adquirir un mayor compromiso y concienciación en los tratamientos de datos que realicen y adoptar medidas eficaces para prevenir algunos riesgos. “Deberán ocuparse sobre todo de adoptar aquellas que les permitan demostrar que están en condiciones de cumplir con lo que el Reglamento establece”, señalan.

Principales novedades

Las novedades “no suponen un cambio drástico en la forma de tratar los datos personales, sino más bien una continuidad, si bien bajo la premisa de reforzar, mediante nuevas obligaciones, un derecho definido como fundamental tanto en la Carta de Derechos Fundamentales de la UE como en el propio Tratado Fundacional”, apuntan desde COFM Servicios 31 SLU.

Entre los principales cambios, Alberto Xicoy, abogado del Departamento de Nuevas Tecnologías, especializado en la Protección de Datos, de Bufete Escura, destaca la necesidad de contar con el consentimiento expreso del usuario para poder obtener sus datos personales, cuando ahora el consentimiento puede darse mediante una manifestación de voluntad o de manera tácita. Esto implica que tendrán que preguntar de manera entendible a todos sus contactos si pueden obtener y tratar sus datos, y los usuarios deberán manifestarlo de manera expresa e inequívoca, de modo que el silencio o la inactividad dejarán de considerarse válidos como consentimiento.

Para el control de los datos, a los cuatro derechos ARCO que recoge la Ley Orgánica 15/1999 de Protección de Datos de carácter personal (acceso, rectificación, cancelación y oposición) se añaden el derecho al olvido y a la portabilidad. El primero permite borrar los datos en los buscadores de internet y redes sociales, mientras que el de portabilidad permite a las personas obtener los datos que han proporcionado en un formato estructurado, de uso común y de lectura mecánica, según explica este especialista de Bufete Escura.

Principio de proactividad

La filosofía de la norma es promover la proactividad de las empresas en esta materia, lo que se denomina accountability. Este principio implicará que los responsables y encargados de los datos, además de implantar medidas de seguridad para proteger la información personal tratada con un enfoque basado en el riesgo, deberán ser capaces de demostrar ese cumplimiento. En palabras de la abogada de Umbra Consulting, “las medidas de seguridad se deberán diseñar e implantar previa valoración del riesgo que el tipo de tratamiento de datos implique, y de acuerdo a la naturaleza de la información tratada”. Ante una incidencia, el responsable o encargado deberá demostrar que ha cumplido con la obligación e incluso que ha establecido medidas preventivas.

En el ejercicio de la responsabilidad proactiva, se obligará a las empresas a realizar el denominado Registro Interno de Actividades, que deberá incluir los datos de la empresa, el encargado del tratamiento de los datos, las finalidades para las que se recogen, el tipo de datos y los destinatarios. En la misma línea, habrá que gestionar las “brechas” de seguridad, de modo que, si ponen en riesgo los derechos de los usuarios, habrá que informar a la Agencia Española de Protección de Datos sobre dicha brecha y de las medidas de prevención adoptadas, así como a los afectados.

Otra de las nuevas obligaciones dentro de este principio de proactividad es la elaboración de la Evaluación de Impacto, con el objetivo de implantar medidas de seguridad para reducir los riesgos en relación a la protección de datos de la empresa.

Delegado de Protección de Datos

El Delegado de Protección de Datos es uno de los puntos más destacados de la norma, y será una figura que va más allá del actual responsable de seguridad. Podrá designarse internamente nombrando a un miembro de la organización o bien externamente, con un contrato de prestación de servicios. Deberá informar y asesorar al responsable o encargado del tratamiento y a los empleados en todo lo relativo a protección de datos, y también tendrá que supervisar el cumplimiento de las normas.

“Actuará fundamentalmente como interlocutor entre las empresas y la Agencia Española de Protección de Datos, debiendo promover una cultura interna de cumplimiento mediante acciones concienciación y formación del personal que gestione datos personales como parte de sus funciones”, afirma Valenzuela. “En definitiva, sobre esta figura recae una gran carga de funciones, que solo podrán cumplirse eficazmente si cuenta con experiencia, formación y conocimiento profundo del sector en el que desarrolla su papel”.

Del Reglamento europeo a la Ley española

La Ley Orgánica de Protección de Datos deberá desarrollar y especificar puntos que no quedan claros en el Reglamento, según Xicoy. Uno de ellos es sobre el Delegado de Protección de Datos, de manera que se determine con más precisión cuándo será obligatorio designar esta figura. También para Valenzuela la futura Ley tendrá que concretar y clarificar aspectos que quedan confusos en el Reglamento, como por ejemplo la cualificación profesional requerida y la posición del Delegado en las empresas.

Desde la perspectiva del Departamento de Protección de Datos de COFM Servicios 31 SLU, el margen de maniobra para que la nueva Ley pueda clarificar aspectos del Reglamento, en principio será escaso, aunque la norma europea habilita a los Estamos Miembro para especificar su articulado, con carácter restrictivo. Así ha sucedido en España, donde el proyecto de la norma ha optado por esta vía restrictiva en cuestiones como la edad mínima para considerar un consentimiento como válido (13 años), la delimitación de supuestos en los que existe obligación de designar un Delegado de Protección de Datos o la fijación de plazos para la prescripción de infracciones, cuestión que el Reglamento ha omitido.

En todo caso, estos asesores indican que la Comisión Europea y las administraciones nacionales de protección de datos han llevado a cabo actuaciones para garantizar que se comprendan bien las novedades. “En general el texto del Reglamento no será reproducido en la nueva Ley  a menos que sea estrictamente necesario a efectos de su comprensión o por coherencia y no puede utilizarse para añadir condiciones o interpretaciones, ya que estas solo le corresponden a los tribunales europeos”, aseveran.

Inspecciones

Xicoy ve previsible un aumento del número de inspecciones por parte de la Agencia tras la aplicación efectiva del Reglamento, mientras que, para Valenzuela, sería una posibilidad, dado que la sociedad está cada vez más informada sobre su derecho a la privacidad y es más reacia a la falta de intimidad, por lo que podrían incrementarse las denuncias. Además, después del esfuerzo realizado por la Agencia en cuanto a difusión y concienciación de los cambios normativos, entiende que “también serán exigentes con el cumplimiento del Reglamento”.

Para la Sociedad del COFM, sería “aventurado” concluir que la aplicación de Reglamento llevará consigo un aumento de las inspecciones por parte de la Agencia; sin embargo, no hay que olvidar que el sector sanitario es per se prioritario a efectos de control del cumplimiento. En cualquier caso, la Comisión Europea ha insistido en que las autoridades nacionales de control son “las más indicadas para explicar los cambios introducidos por el Reglamento a las empresas y al sector público y para familiarizar a los cuidadnos con sus derechos”, y ha anunciado que tras el 25 de mayo de 2018 supervisará la aplicación de las normas estando incluso dispuesta a tomar medidas en caso de que surjan “problemas importantes”, aclaran.

Sanciones

Las sanciones que establece la nueva norma son muy elevadas, con multas del 4% del volumen de negocio anual de las empresas; no obstante, Xicoy no prevé la imposición de cantidades tan elevadas a las oficinas de farmacia. Con él coinciden en COFM Servicios 31 SLU: “Los artículos 83.1 y 9 del Reglamento señalan que las multas deberán ser efectivas, proporcionadas y disuasorias de potenciales incumplimientos, por lo que entendemos que las mismas se impondrán, en su caso, en base a estas premisas y no para ‘cerrar’ las farmacias ni ningún otro tipo de establecimiento”. Además, consideran que, al menos en un primer momento, se fomentarán las medidas adicionales o sustitutivas a dichas multas, con advertencias o apercibimientos para la rectificación. Aquí, el Delegado de Protección de Datos, en su desempeño de cooperar con la Autoridad de Control, tendrá una labor fundamental.

También Valenzuela cree que las sanciones se interpondrán teniendo en cuenta la naturaleza, gravedad y duración de la infracción, el número de interesados afectados, el nivel de los daños y perjuicios que hayan sufrido, la intencionalidad o negligencia en la infracción, así como las medidas tomadas por el infractor para paliar los daños y perjuicios ocasionados. Asimismo, se evaluarán las medidas técnicas y organizativas previamente establecidas y los antecedentes de la empresa que haya incumplido, e incluso se valorará positivamente que el propio infractor ponga los hechos en conocimiento de la Agencia.

Implicar a todo el equipo

Todo el personal de la farmacia debe estar formado sobre sus obligaciones en torno a la protección de datos y los riesgos de incumplimiento. “Son los empleados los que manipulan y gestionan toda la información, por lo que deben estar debidamente informados y concienciados sobre las medidas de seguridad que deben aplicar para proteger dicha información”, subraya Valenzuela, para añadir que “hay que crear una cultura de cumplimento, de forma que se trabaje en equipo no solo para evitar sanciones sino para generar confianza en los clientes”.

En la Sociedad del COFM comparten esta opinión: “Sería imposible actuar de forma responsable si quedara personal al margen del cumplimiento. La información y formación a los empleados que traten datos personales es básica, así como la adopción de mecanismos capaces de resolver de forma rápida y segura las consultas que pudieran suscitarse”, señalan. Insisten además en que las farmacias cuenten con el apoyo y asesoramiento necesario, como el que ofrece esta Sociedad, dado que algunas de las obligaciones puede ser complejas de ejecutar y un servicio especializado e integral garantizará una correcta adaptación a la normativa.

Comentarios

guest
0 Comments
Inline Feedbacks
View all comments

Noticias relacionadas

Actividades destacadas

Síguenos en