La aparición los últimos quince años de servicios vinculados a Internet que antes no existían, como el uso intensivo de smartphones, whatsapp, bigdata, wifi, comercio electrónico, redes sociales, internet de las cosas, almacenamiento en nube, etc., han acelerado la necesidad de aplicar una normativa europea de protección de datos más amplia y global que la que existía a nivel nacional. A partir del 25 de mayo de 2018 todas las empresas que manejen datos de carácter personal deberán adaptarse al Reglamento 2016/679 del Parlamento Europeo de 27 de abril de 2016, relativo a la protección de los datos personales de las personas físicas (RGPD).
Nadie está exento de cumplir con la normativa sobre un tema que preocupa en gran medida a la opinión pública. El propio Mark Zuckerberg tuvo que dar explicaciones en el Senado de Estados Unidos porque una empresa consultora manejó datos de cientos de miles de usuarios de Facebook sin su consentimiento. Grandes empresas como Facebook se enfrentan a multas multimillonarias si no cumplen con la nueva reglamentación de protección de datos.
La propia directora de la Agencia Española de Protección de Datos (AEPD), Mar España, se lo ha dejado bien claro a las grandes corporaciones como Facebook. Con el nuevo reglamento esta empresa, como el resto de proveedores de internet que manejan ingentes cantidades de datos personales, “tendrá que cambiar el modelo de negocio, hacer un análisis de riesgos y evaluación de impactos de los datos tan sensibles que trata, como los ideológicos, de carácter sexual, biométricos…”, explica España en una entrevista a la Agencia EFE.
¿Pero en qué afectan estos cambios a los farmacéuticos?
Las oficinas de farmacia, ortopedias, ópticas, laboratorios y demás empresas del sector, como entidades que manejan datos de carácter personal de sus pacientes también tienen la obligación de cumplir esa normativa.
En el caso de las farmacias valencianas, el MICOF ha facilitado desde 2002 un servicio de protección de datos a sus colegiados que ha permitido que las oficinas de farmacia cumplieran con la legalidad vigente. Pero este nuevo reglamento derogará la legislación actual y la hará más protectora y restrictiva.
Por esta razón, el Colegio ha redoblado sus esfuerzos para adecuar el servicio a la nueva normativa, de forma que las farmacias valencianas se adapten de la manera más rápida y sencilla a la nueva situación.
Entonces, ¿qué novedades aporta esta nueva normativa frente a la anterior?
Estas novedades se pueden dividir en tres grupos: OBLIGACIONES DE SEGURIDAD PARA LA EMPRESA, OBLIGACIONES PARA ASEGURAR LOS DERECHOS DEL CIUDADANO y OBLIGACIONES DE COMUNICACIÓN PARA LA EMPRESA.
En cuanto al primer grupo, las novedades más reseñables empiezan por la creación de un registro de actividades de tratamiento de datos. El nuevo reglamento aborda la seguridad plena de cada actividad de tratamientos de datos personal que realice la empresa. Desaparece el concepto de niveles de seguridad de fichero, así como también desaparece la obligación de inscribir los mismos en la agencia de protección de datos.
También hay obligación de llevar a cabo un análisis de riesgo. Todas las empresas deben analizar las vulnerabilidades informáticas y potenciales brechas de seguridad lógica con el fin de seleccionar e implementar las mejores soluciones informáticas destinadas a impedir, bloquear o neutralizar los ataques.
La Evaluación de Impacto de Protección de Datos (EIPD) será otra de las novedades. En aquellos casos en que sea probable que un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. En particular, se requiere en tratamientos a gran escala de categorías especiales de datos.
También se requiere de la empresa que se cumpla un criterio de Responsabilidad (Accountability). Debemos poder acreditar que están adoptadas las medidas técnicas y organizativas necesarias para tratar los datos personales como exige la normativa. La empresa debe ser proactiva a la hora de tomar estas medidas.
Otra de las novedades es la creación de un Delegado de Protección de Datos (DPO). Se introduce esta figura que asume competencias en materia de coordinación y control del cumplimiento de la normativa de protección de datos.
La nueva normativa también obliga a la protección de datos por defecto y desde el diseño. Es decir, se tienen que cumplir unas medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de datos personales.
También hay cambios en las sanciones. Las cuantías de las sanciones por incumplimiento de la norma pueden llegar a los 20 millones de euros o el 4% de la facturación global anual de la empresa.
En cuanto al grupo de OBLIGACIONES PARA ASEGURAR LOS DERECHOS DE LOS CIUDADANOS, se requiere, en primer lugar, el consentimiento para el tratamiento de datos. Ha de obtenerse inequívocamente, de forma libre y revocable, mediante un acto afirmativo claro, no se admite el consentimiento tácito.
También se prevén nuevos derechos de los interesados: A los ya conocidos derechos de acceso, rectificación, cancelación y oposición (ARCO), aparecen nuevos como el de transparencia de la información, supresión (derecho al olvido), limitación y portabilidad de nuestros datos.
Otra novedad es la ampliación del deber de información. El Reglamento establece la obligación de informar sobre nuevos aspectos como la base legal para el tratamiento, período de conservación de los datos, posibilidad de reclamación a las Autoridades de protección de datos, etc.
Finalmente, en cuanto a las OBLIGACIONES DE COMUNICACIÓN PARA LA EMPRESA, se establece como criterio de cumplimiento la transparencia. O lo que es lo mismo, los avisos legales, políticos de privacidad y mecanismos para ejercer los derechos deben ser simples e inteligibles.
También hay obligaciones en cuanto a los contratos y clausulados. La nueva norma establece que se deben adecuar los contratos con terceros y el clausulado al RGPD.
Por último, en cuanto a brechas de seguridad, la empresa tiene la obligación de identificación y respuesta ante violaciones de seguridad, así como de comunicación a las autoridades de control y afectados.
Soy colegiado de Valencia y estoy hecho un lío… ¿Qué hago?
No te preocupes, precisamente el MICOF ya ha preparado todo para facilitarte esta tarea. Nuestro Servicio de Protección de Datos te ayudará y te guiará en todo momento para que tu farmacia cumpla con la legalidad en este ámbito. Visita nuestra web y solicita el servicio: https://www.micof.es/ver/14462/principales-novedades-rgpd.html
Además, el Colegio va a realizar una serie de jornadas los días 21, 22 y 23 de mayo dirigidas preferentemente al responsable de seguridad de la farmacia o empresa que solicita el servicio. En estas jornadas se presentará la hoja de ruta a seguir para la adaptación, así como la herramienta software en la nube que se utilizará para ejercer y demostrar la responsabilidad proactiva y el registro de tratamiento. Puedes inscribirte a través de nuestra sección de formación: https://www.micof.es/ver/288/formacion.html.