Protección de datos en farmacias

A lo largo de estos años de trabajo comercial en el ámbito de la protección de datos, uno de los sectores más complejos que he encontrado es el de las farmacias. Son varias las provincias donde empresas de distribución de medicamentos han implantado supuestas soluciones en protección de datos a sus clientes, consistentes en altas de ficheros, creación de documentos de seguridad que nunca son revisados e instalación en algunos casos de routers para comuniaciones seguras (cuestión ésta última que atañe tanto a una parte como a la otra, y que estas distribuidoras implantan por su propia seguridad). Obviamente dejan al farmaceútic@ las más de las veces sin la auditoría a la que está obligado por conservar datos de salud, sin formación alguna y sin consultoría de referencia, y más aún sin defensa jurídica ante algún problema, pero al tiempo (ha pagado) convencido de su absoluto cumplimiento con la ley.
Menos mal que algunos medios del sector parecen estar mejor asesorados, y así en Correofarmaceutico.com (Grupo Recoletos) responden en su sección de consultas a dos profesionales inquietos y les explican el asunto de las auditorías y los contratos de tratamiento con terceros.
Cambio de 'software'
Soy titular y me dispongo a sustituir el programa de gestión de mi farmacia. ¿Debo notificar dicho cambio a la Agencia Española de Protección de Datos? ¿Además de esto debería realizar alguna otra acción? J. N. Granada
Actualmente, no se tiene que notificar a la AGPD el cambio de aplicaciones dentro de los sistemas de tratamiento de la información siempre y cuando se mantengan los mismos conjuntos de datos descritos en los ficheros que debe tener registrados en la AGPD. A su vez, el cambio de aplicación de gestión de su farmacia implica la realización de una auditoría extraordinaria. Según el reglamento de la Ley Orgánica de Carácter Personal, se define que "con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas". Entendemos que la aplicación de gestión de su farmacia es la que contiene la base de datos principal y se encuentra en esta la gran mayoría de los datos de interés.
Dicho informe de Auditoría deberá dictaminar sobre la adecuación de las medidas de seguridad aplicadas, identificando sus deficiencias y proponiendo medidas correctoras. Además, se deberá actualizar la información incluida en el Documento de Seguridad referente a los sistemas de información, adecuándolo a la nueva aplicación instalada.
Por último, en el caso de farmacias se está tratando con datos de nivel alto, con lo cual la nueva aplicación deberá cumplir con todas las medidas de seguridad expuestas en el real decreto (registros de accesos o configuración de perfiles, entre otras).

Acceso al hacer fórmulas
Habitualmente cedo datos de nuestros clientes a un laboratorio externo para la preparación de sus respectivas fórmulas. ¿Cómo puede afectarme la LOPD en este supuesto? M. S. Barcelona
En primer lugar, hay que tener en cuenta cuál es el tipo de vínculo existente entre usted y el laboratorio: si existe una cesión de datos a un tercero o bien es un acceso legítimo. En este caso, y por las características del servicio, es evidente que resultará imprescindible el acceso del laboratorio a los datos del fichero para su realización, y ante dicho supuesto, la ley estipula que cuando el acceso a los datos sea necesario para la prestación de un determinado servicio al responsable de tratamiento, éste no será considerado una comunicación de datos sino como un acceso legítimo.
La realización de los tratamientos por cuenta de terceros deberá estar reflejada por medio de un contrato, de tal forma que se permita acreditar su existencia y contenido, estableciéndose de forma expresa que el laboratorio únicamente tratará los datos conforme a las instrucciones del farmacéutico, y que no los utilizará con un fin distinto al que figure especificado en el mencionado contrato. Estos datos tampoco serán comunicados a otras personas.
Asimismo, el contrato deberá establecer las medidas de seguridad de índole técnica y organizativa, que garanticen la seguridad de los datos de carácter personal, las cuales eviten su alteración, pérdida, tratamiento o acceso no autorizado.