presentación servicio integral de protección de datos personales implantación del servicio en las...

Presentación Servicio Integral de Protección de Datos Personales

• Implantación del Servicio en las Oficinas de Farmacia.

• 1ª Fase. Inscripción de Ficheros. X

• 2ª Fase. Documento de Seguridad. X

• 3ª Fase. Formación y visita al establecimiento.


• ¿Por qué? • La Constitución, la Ley Orgánica 15/1999 y La carta de Derechos

Fundamentales de la Unión Europea, reconocen el derecho Fundamental a la Protección de Datos Personales y obligan a las empresas que los tratan a la protección de este derecho.

• El incumplimiento es sancionable por la autoridad competente, a través de sus inspectores. El importe de la sanción oscila entre 100.000 y 100.000.000 ptas.

• Exigencia para la acreditación en Calidad de las Oficinas de Farmacia.

• Beneficios para el funcionamiento interno de la empresa, desde el punto de vista organizativo y control de las tareas realizadas.


• ¿Todos los datos requieren el mismo nivel de Protección?

• No, hay distintos niveles. Estos son Básico, Medio y Alto. Nos interesa conocer que los datos de salud son de nivel alto, por tanto requieren la máxima protección establecida

• ¿Que se considera datos de salud?

• Son las informaciones concernientes a la salud pasada, presente y futura, física o mental de un individuo. Por tanto en la Oficina de Farmacia principalmente se tratan datos de salud.


• ¿Como responsable de los datos que actuaciones debo realizar para cumplir con mis obligaciones? I.

• Notificar los ficheros a la AGPD. El Servicio Integral de Protección de Datos del Colegio se encarga de esta obligación, previa notificación de la Farmacia.

• Principio de Calidad. Los datos que se recogen serán adecuados y veraces, obtenidos lícita y legítimamente y no serán usados para una finalidad distinta que para los que se han recogido.

• Cumplimiento deberes de seguridad y secreto. La ley obliga a los responsables de los datos a aplicar unas medidas de seguridad que deben ser recogidas en un documento de seguridad. Este Documento lo facilita el SIPD. Más adelante lo analizaremos.


• ¿Como responsable de los datos que actuaciones debo realizar para cumplir con mis obligaciones? II.

• Informar y obtener el consentimiento del interesado. Según la LOPD cuando se traten datos de salud es necesario recoger el consentimiento expreso del interesado, excepto cuando sean necesarios para la prestación de asistencia sanitaria y recabados por un profesional sanitario sujeta al deber de secreto profesional. Tampoco es necesario si existe una relación negocial.

• Garantizar los derechos ARCO. Cuando un cliente solicite ejercer sus derechos de acceso, rectificación, cancelación y oposición de sus datos personales hay que seguir las instrucciones del Documento de Seguridad y asesorarse a través del SIPD.

• Relaciones con terceros que tratan datos personales de los que somos responsables. Enviarles el anexo contractual de confidencialidad de los datos que traten por nuestra cuenta.


• El documento de seguridad. La ley establece que el responsable del fichero deberá elaborar un documento de seguridad que recogerá las medidas de índole técnico/organizativo y que será de obligado cumplimiento para quienes traten los datos personales. Este documento deberá permanecer actualizado y adecuarse a la legislación vigente.

• ¿Quién es el Responsable del Fichero? La responsabilidad sobre los datos personales de los ciudadanos con quien la empresa tiene relación es del Titular de la Farmacia.


• Aplicaciones básicas de Seguridad.• Nivel Básico• 1. El personal debe conocer las medidas de seguridad con

relación a sus funciones y al tratamiento de los ficheros que tratan.

• 2. En el caso que se produzca alguna incidencia que afecte a

los datos o a los sistemas que los tratan, hay que reflejarla.

• 3. Cumplimentar la relación de usuarios de los ficheros y establecer mecanismos para que no acceda ninguna persona no autorizada a los mismos.


• 2. Auditoría bianual. El SIPD se encargará de realizar las mismas.

• 3. Registro de salida y entrada de soportes. Se deberá establecer un sistema para la recepción de documentación y la salida de los mismos.

• 4. El acceso a los ficheros deben tener un límite de intentos de acceso.

• 5. Control de acceso físico. Solo el personal autorizado deberá tener acceso a los lugares donde se encuentran los ficheros.


• 4. Los soportes que contengan datos de carácter personal deberán estar inventariados. (ejemplo). Si hay salida de soportes por correo electrónico deberán estar autorizados. Precaución en el traslado y en el desecho.

• 5. Establecer contraseña y claves para los usuarios del fichero.

• 6. Semanalmente se debe realizar una copia de respaldo.

• Nivel Medio (acumulable)

• 1. Nombrar un responsable de seguridad, puede ser el propio Titular.


• Nivel Alto (acumulable).

• 1. Deberán quedar registrados los accesos a los ficheros durante 2 años.

• 2.Cifrado de datos u otro mecanismo alternativo y precaución en el uso de portátiles

• Medidas específicas para los ficheros manuales.

• Criterios de archivo, mecanismo de apertura ( puerta con llave o alternativa), custodia de soportes cuando no está archivada, copias y desecho de las mismas, acceso a través del parte general, traslado de documentación.


• Pasos para implantar las medidas de seguridad.• Colocación del cartel informativo en la zona de

dispensación y en lugar visible para los pacientes. En el caso de videovigilancia, colocación del cartel con los datos del establecimiento en la puerta de acceso o en lugar visible.

• Establecer las contraseñas de usuario para todos aquellos que traten datos personales. Siguiendo las instrucciones del proveedor del Programa de Gestión.


• Usuarios del Programa de Gestión Unycop Win. Para establecer las contraseñas en este programa tenemos que seguir la siguiente ruta.

• En el Servidor de la Farmacia y con el usuario ADMIN habilitado, se pincha en 4 Mantenimiento - Configuración - LOPD. Se nos abre una pantalla como la que vemos a continuación


• En la parte de la derecha de esta pantalla, observamos el Menú de Operaciones, pulsando sobre el icono + al lado de cada opción se abre un desplegable y al lado de cada opción tenemos una casilla la marcamos haciendo doble click. Se recomienda no marcar; Punto de venta (cerrar venta con cliente), en Mantenimiento de Clientes (las tres últimas) y en Receta Electrónica (Impresión Receta Electrónica). Una vez realizada esta operación se pulsa ( en la parte izquierda de la pantalla) el icono Añadir y poner un nombre o código de usuario, que puede coincidir por comodidad con el número de vendedor.


• Una vez puesto el identificador, generamos la clave pulsando en icono clave y el usuario debe establecer una contraseña entre 4 y 8 caracteres, que deben conocer solo el y el Titular de la Farmacia (este deberá tener una lista con los identificadores y las contraseñas de cada usuario en lugar seguro). Una vez puesta la clave se pulsa Intro y se le da de nuevo a Añadir, para repetir la operación con otro nuevo usuario. Cuando se generen todas las identificaciones y claves de usuario se le da a Aceptar. Entre los usuarios no deben conocer las claves y hay que cambiarlas cada año.


• Programa de Gestión Compufarma. En el programa de Rentasoft, hay un video explicativo para generar las claves de usuario y el nivel de acceso a los ficheros, este se encuentra pulsando F1 (ayuda) - vamos al navegador y entramos en videos demostrativos - Usuarios control de acceso. Este programa permite definir el perfil del usuario en varios niveles. Verde (permite acceso completo) - Naranja (no permite modificaciones) - Rojo (no permite el acceso).

• Para el resto de programas hay que ponerse en contacto con el proveedor.


• La importancia del anexo B en el Documento.• Todos los ficheros no son iguales, ni todos

requieren de las mismas medidas de seguridad.• Este anexo será el más dinámico de nuestro

Documento de Seguridad, puesto que en el se detallan las medidas de seguridad específicas y la ubicación propia de cada fichero.


• Generalidades propias de los ficheros más comunes en la Farmacia.

• Clientes. Este fichero se suele encontrar en la Base de Datos del Programa de Gestión de la Oficina de Farmacia. Cuando se vaya a introducir a un nuevo cliente/paciente en la Base de datos tenemos la obligación de informarle. La LOPD no exige una forma determinada, admitiendo la información facilitada mediante un cartel anunciador.


• Curriculum. Fichero cuya finalidad es selección de personal. El tratamiento se puede realizar por medios automatizados (por ejemplo cuando lo recibimos a través del correo electrónico, para lo cual se aconseja abrir una carpeta en el propio correo electrónico) o bien manual cuando los recibimos en papel en la propia Farmacia. Uno de los problemas que puede surgir con este fichero es cuando la selección de personal lo hace un tercero. También plantea problemas la destrucción de los mismos. Se aconseja que las ofertas de trabajo se realicen a través de la Página Web del Colegio.


• Grupo Dietas, Seguimiento Farmacológico, Unidosis. En estos ficheros cuando se recaben los datos del paciente es imprescindible quedarse con la hoja de consentimiento informado del mismo. Son ficheros con datos de salud, por tanto con el nivel más alto de protección. Las hojas de consentimiento se deberán anexionar a la ficha del paciente, si el fichero no está automatizado.

• Formulas Magistrales y vacunas. El problema con este fichero puede surgir cuando la Formula viene a recogerla un tercero, en este caso se realiza una cesión de datos que puede no estar autorizada. Para salvar este problema hemos confeccionado unos comprobantes para retirar la medicación.


• Libro recetario y de estupefacientes. Se deberán guardar en lugar seguro y el tiempo necesario . 5 años. Las hojas informatizadas no se deberán imprimir cerca del mostrador de dispensación y deberán ser retiradas de la bandeja de salida.

• Nominas. Es muy importante enviar el anexo contractual a la Gestoría. Los datos de los trabajadores deberán estar guardados en lugar seguro y bajo llave. Se recomienda que el acceso esté restringido a los trabajadores.


• Videovigilancia. Hay que colocar el cartel informativo. No deben recoger imágenes de la vía pública. Si existe acceso remoto hay que tener un anexo contractual de confidencialidad. Leer la recomendación que viene en el Documento de Seguridad sobre este asunto.


• Anexo C y D. Salvo el anexo C.1 (registro mensual accesos), se complementará con la visita a la Farmacia.

• Anexo E. El más importante es el E.3 Hay que rellenar el listado de usuarios, este se encuentra dividido entre Facultativos/Auxiliares/Prácticas/Otros.

• En el E.1 hay que poner el nombre del responsable de seguridad que puede ser el propio Titular, e indicar si hay algún tipo de autorización para un usuario en concreto.

• En el E.2 se indica la autorización para que puedan acceder usuarios no recogidos en E.3


• Anexo F. Entregar al personal de la Farmacia la parte que está indicada como Usuarios del Fichero y que firmen el anexo F.1. El personal de la Farmacia que no tenga acceso a los datos personales (ej. limpiadora), deben firmar el anexo F.3

• Anexo G. Se describen los procedimientos que hay que cumplir. Destacamos el procedimiento de desechos, es muy importante que ninguna documentación se encuentre fuera de la Farmacia por persona no autorizada, por tanto hay que tener cuidado al desechar esta documentación.


• Procedimiento de desechos. Hay que elaborar un procedimiento para desechar los documentos que contengan datos personales y los soportes informáticos que vayan a ser desechados. Opciones: Maquina destructora; contenedor/Papelera;/Empresa Reciclaje/Formateo discos duros.

• Control de acceso a ficheros manuales. También debe quedar constancia de los accesos a los ficheros manuales, para ello utilizaremos el Anexo G.1


• Los controles periódicos.• En el apartado 11 del Documento de Seguridad se describen

los mismos. • Al menos cada semana. Copia de Seguridad. Es muy

importante realizar la copia de seguridad semanal/inventariarla y guardarla en lugar protegido y distinto a donde se encuentran los equipos informáticos.

• Al menos al mes. Información de control registrada.• En Unycop: 4 Mantenimiento-Operaciones-Control LOPD• En Compufarma: Sistema-Seguridad del Sistema-Gestión

Auditorías.


• Al menos cada 3 meses. Revisión lista usuarios, entrada y salida de datos, incidencias.

• Al menos cada 6 meses. Revisión existencia copia respaldo, cambios en el software.

• Cada dos años. Auditoría.

presentación servicio integral de protección de datos personales implantación del servicio en las...

Documents