Presentación Servicio Integral de Protección de
Datos Personales
• Implantación del Servicio en las Oficinas de
Farmacia.
• 1ª Fase. Inscripción de Ficheros. X
• 2ª Fase. Documento de Seguridad. X
• 3ª Fase. Formación y visita al
establecimiento.
Presentación Servicio Integral de Protección de
Datos Personales
• ¿Por qué?
• La Constitución, la Ley Orgánica 15/1999 y La carta de Derechos
Fundamentales de la Unión Europea, reconocen el derecho
Fundamental a la Protección de Datos Personales y obligan a las
empresas que los tratan a la protección de este derecho.
• El incumplimiento es sancionable por la autoridad competente, a
través de sus inspectores. El importe de la sanción oscila entre 100.000
y 100.000.000 ptas.
• Exigencia para la acreditación en Calidad de las Oficinas de Farmacia.
• Beneficios para el funcionamiento interno de la empresa, desde el
punto de vista organizativo y control de las tareas realizadas.
Presentación Servicio Integral de Protección de
Datos Personales
• ¿Todos los datos requieren el mismo nivel
de Protección?
• No, hay distintos niveles. Estos son Básico, Medio y Alto.
Nos interesa conocer que los datos de salud son de nivel
alto, por tanto requieren la máxima protección establecida
• ¿Que se considera datos de salud?
• Son las informaciones concernientes a la salud pasada,
presente y futura, física o mental de un individuo. Por tanto
en la Oficina de Farmacia principalmente se tratan
datos de salud.
Presentación Servicio Integral de Protección de
Datos Personales
• ¿Como responsable de los datos que actuaciones debo realizar
para cumplir con mis obligaciones? I.
• Notificar los ficheros a la AGPD. El Servicio Integral de Protección
de Datos del Colegio se encarga de esta obligación, previa
notificación de la Farmacia.
• Principio de Calidad. Los datos que se recogen serán adecuados y
veraces, obtenidos lícita y legítimamente y no serán usados para
una finalidad distinta que para los que se han recogido.
• Cumplimiento deberes de seguridad y secreto. La ley obliga a los
responsables de los datos a aplicar unas medidas de seguridad que
deben ser recogidas en un documento de seguridad. Este
Documento lo facilita el SIPD. Más adelante lo analizaremos.
Presentación Servicio Integral de Protección de
Datos Personales
• ¿Como responsable de los datos que actuaciones debo realizar
para cumplir con mis obligaciones? II.
•
•
•
Informar y obtener el consentimiento del interesado. Según la LOPD
cuando se traten datos de salud es necesario recoger el consentimiento
expreso del interesado, excepto cuando sean necesarios para la prestación
de asistencia sanitaria y recabados por un profesional sanitario sujeta al
deber de secreto profesional. Tampoco es necesario si existe una relación
negocial.
Garantizar los derechos ARCO. Cuando un cliente solicite ejercer sus
derechos de acceso, rectificación, cancelación y oposición de sus datos
personales hay que seguir las instrucciones del Documento de Seguridad y
asesorarse a través del SIPD.
Relaciones con terceros que tratan datos personales de los que somos
responsables. Enviarles el anexo contractual de confidencialidad de los
datos que traten por nuestra cuenta.
Presentación Servicio Integral de Protección de
Datos Personales
• El documento de seguridad. La ley establece que el
responsable del fichero deberá elaborar un documento de
seguridad que recogerá las medidas de índole
técnico/organizativo y que será de obligado cumplimiento
para quienes traten los datos personales. Este documento
deberá permanecer actualizado y adecuarse a la legislación
vigente.
• ¿Quién es el Responsable del Fichero? La responsabilidad
sobre los datos personales de los ciudadanos con quien la
empresa tiene relación es del Titular de la Farmacia.
Presentación Servicio Integral de Protección de
Datos Personales
• Aplicaciones básicas de Seguridad.
• Nivel Básico
• 1. El personal debe conocer las medidas de seguridad con
relación a sus funciones y al tratamiento de los ficheros
que tratan.
• 2. En el caso que se produzca alguna incidencia que afecte
a los datos o a los sistemas que los tratan, hay que
reflejarla.
• 3. Cumplimentar la relación de usuarios de los ficheros y
establecer mecanismos para que no acceda ninguna
persona no autorizada a los mismos.
Presentación Servicio Integral de Protección de
Datos Personales
• 2. Auditoría bianual. El SIPD se encargará de realizar las
mismas.
• 3. Registro de salida y entrada de soportes. Se deberá
establecer un sistema para la recepción de documentación
y la salida de los mismos.
• 4. El acceso a los ficheros deben tener un límite de intentos
de acceso.
• 5. Control de acceso físico. Solo el personal autorizado
deberá tener acceso a los lugares donde se encuentran los
ficheros.
Presentación Servicio Integral de Protección de
Datos Personales
• 4. Los soportes que contengan datos de carácter personal
deberán estar inventariados. (ejemplo). Si hay salida de
soportes por correo electrónico deberán estar autorizados.
Precaución en el traslado y en el desecho.
• 5. Establecer contraseña y claves para los usuarios del
fichero.
• 6. Semanalmente se debe realizar una copia de respaldo.
• Nivel Medio (acumulable)
• 1. Nombrar un responsable de seguridad, puede ser el
propio Titular.
Presentación Servicio Integral de Protección de
Datos Personales
• Nivel Alto (acumulable).
• 1. Deberán quedar registrados los accesos a los ficheros
durante 2 años.
• 2.Cifrado de datos u otro mecanismo alternativo y
precaución en el uso de portátiles
• Medidas específicas para los ficheros manuales.
• Criterios de archivo, mecanismo de apertura ( puerta con
llave o alternativa), custodia de soportes cuando no está
archivada, copias y desecho de las mismas, acceso a través
del parte general, traslado de documentación.
Presentación Servicio Integral de Protección de
Datos Personales
• Pasos para implantar las medidas de seguridad.
• Colocación del cartel informativo en la zona de
dispensación y en lugar visible para los pacientes.
En el caso de videovigilancia, colocación del
cartel con los datos del establecimiento en la
puerta de acceso o en lugar visible.
• Establecer las contraseñas de usuario para todos
aquellos que traten datos personales. Siguiendo las
instrucciones del proveedor del Programa de
Gestión.
Presentación Servicio Integral de Protección de
Datos Personales
• Usuarios del Programa de Gestión Unycop Win. Para
establecer las contraseñas en este programa tenemos que
seguir la siguiente ruta.
• En el Servidor de la Farmacia y con el usuario ADMIN
habilitado, se pincha en 4 Mantenimiento - Configuración LOPD. Se nos abre una pantalla como la que vemos a
continuación
Presentación Servicio Integral de Protección de
Datos Personales
Presentación Servicio Integral de Protección de
Datos Personales
• En la parte de la derecha de esta pantalla, observamos el
Menú de Operaciones, pulsando sobre el icono + al lado de
cada opción se abre un desplegable y al lado de cada
opción tenemos una casilla la marcamos haciendo doble
click. Se recomienda no marcar; Punto de venta (cerrar
venta con cliente), en Mantenimiento de Clientes (las tres
últimas) y en Receta Electrónica (Impresión Receta
Electrónica). Una vez realizada esta operación se pulsa ( en
la parte izquierda de la pantalla) el icono Añadir y poner un
nombre o código de usuario, que puede coincidir por
comodidad con el número de vendedor.
Presentación Servicio Integral de Protección de
Datos Personales
• Una vez puesto el identificador, generamos la clave
pulsando en icono clave y el usuario debe establecer una
contraseña entre 4 y 8 caracteres, que deben conocer solo
el y el Titular de la Farmacia (este deberá tener una lista
con los identificadores y las contraseñas de cada usuario en
lugar seguro). Una vez puesta la clave se pulsa Intro y se le
da de nuevo a Añadir, para repetir la operación con otro
nuevo usuario. Cuando se generen todas las
identificaciones y claves de usuario se le da a Aceptar.
Entre los usuarios no deben conocer las claves y hay que
cambiarlas cada año.
Presentación Servicio Integral de Protección de
Datos Personales
• Programa de Gestión Compufarma. En el programa de
Rentasoft, hay un video explicativo para generar las claves
de usuario y el nivel de acceso a los ficheros, este se
encuentra pulsando F1 (ayuda) - vamos al navegador y
entramos en videos demostrativos - Usuarios control de
acceso. Este programa permite definir el perfil del usuario
en varios niveles. Verde (permite acceso completo) Naranja (no permite modificaciones) - Rojo (no permite el
acceso).
• Para el resto de programas hay que ponerse en contacto
con el proveedor.
Presentación Servicio Integral de Protección de
Datos Personales
• La importancia del anexo B en el Documento.
• Todos los ficheros no son iguales, ni todos
requieren de las mismas medidas de seguridad.
• Este anexo será el más dinámico de nuestro
Documento de Seguridad, puesto que en el se
detallan las medidas de seguridad específicas y la
ubicación propia de cada fichero.
Presentación Servicio Integral de Protección de
Datos Personales
• Generalidades propias de los ficheros más comunes en
la Farmacia.
• Clientes. Este fichero se suele encontrar en la Base de
Datos del Programa de Gestión de la Oficina de Farmacia.
Cuando se vaya a introducir a un nuevo cliente/paciente en
la Base de datos tenemos la obligación de informarle. La
LOPD no exige una forma determinada, admitiendo la
información facilitada mediante un cartel anunciador.
Presentación Servicio Integral de Protección de
Datos Personales
• Curriculum.
Fichero cuya finalidad es selección de
personal. El tratamiento se puede realizar por medios
automatizados (por ejemplo cuando lo recibimos a través
del correo electrónico, para lo cual se aconseja abrir una
carpeta en el propio correo electrónico) o bien manual
cuando los recibimos en papel en la propia Farmacia. Uno
de los problemas que puede surgir con este fichero es
cuando la selección de personal lo hace un tercero.
También plantea problemas la destrucción de los mismos.
Se aconseja que las ofertas de trabajo se realicen a través
de la Página Web del Colegio.
Presentación Servicio Integral de Protección de
Datos Personales
• Grupo Dietas, Seguimiento Farmacológico, Unidosis. En
estos ficheros cuando se recaben los datos del paciente es
imprescindible quedarse con la hoja de consentimiento informado del
mismo. Son ficheros con datos de salud, por tanto con el nivel más alto
de protección. Las hojas de consentimiento se deberán anexionar a la
ficha del paciente, si el fichero no está automatizado.
• Formulas Magistrales y vacunas. El problema con este fichero
puede surgir cuando la Formula viene a recogerla un tercero, en este
caso se realiza una cesión de datos que puede no estar autorizada. Para
salvar este problema hemos confeccionado unos comprobantes para
retirar la medicación.
Presentación Servicio Integral de Protección de
Datos Personales
• Libro recetario y de estupefacientes.
Se
deberán guardar en lugar seguro y el tiempo necesario . 5
años. Las hojas informatizadas no se deberán imprimir
cerca del mostrador de dispensación y deberán ser retiradas
de la bandeja de salida.
• Nominas.
Es muy importante enviar el anexo
contractual a la Gestoría. Los datos de los trabajadores
deberán estar guardados en lugar seguro y bajo llave. Se
recomienda que el acceso esté restringido a los
trabajadores.
Presentación Servicio Integral de Protección de
Datos Personales
• Videovigilancia.
Hay que colocar el cartel
informativo. No deben recoger imágenes de la vía pública.
Si existe acceso remoto hay que tener un anexo contractual
de confidencialidad. Leer la recomendación que viene en el
Documento de Seguridad sobre este asunto.
Presentación Servicio Integral de Protección de
Datos Personales
• Anexo C y D. Salvo el anexo C.1 (registro mensual
accesos), se complementará con la visita a la Farmacia.
• Anexo E. El más importante es el E.3 Hay que rellenar el
listado de usuarios, este se encuentra dividido entre
Facultativos/Auxiliares/Prácticas/Otros.
• En el E.1 hay que poner el nombre del responsable de
seguridad que puede ser el propio Titular, e indicar si hay
algún tipo de autorización para un usuario en concreto.
• En el E.2 se indica la autorización para que puedan acceder
usuarios no recogidos en E.3
Presentación Servicio Integral de Protección de
Datos Personales
• Anexo F. Entregar al personal de la Farmacia la parte que
está indicada como Usuarios del Fichero y que firmen el
anexo F.1. El personal de la Farmacia que no tenga acceso
a los datos personales (ej. limpiadora), deben firmar el
anexo F.3
• Anexo G. Se describen los procedimientos que hay que
cumplir. Destacamos el procedimiento de desechos, es
muy importante que ninguna documentación se encuentre
fuera de la Farmacia por persona no autorizada, por tanto
hay que tener cuidado al desechar esta documentación.
Presentación Servicio Integral de
Protección de Datos Personales
• Procedimiento de desechos.
Hay que elaborar un
procedimiento para desechar los documentos que
contengan datos personales y los soportes informáticos que
vayan a ser desechados. Opciones: Maquina destructora;
contenedor/Papelera;/Empresa Reciclaje/Formateo discos
duros.
• Control de acceso a ficheros manuales. También debe
quedar constancia de los accesos a los ficheros manuales,
para ello utilizaremos el Anexo G.1
Presentación Servicio Integral de Protección de
Datos Personales
• Los controles periódicos.
• En el apartado 11 del Documento de Seguridad se
describen los mismos.
• Al menos cada semana. Copia de Seguridad. Es muy
importante
realizar
la
copia
de
seguridad
semanal/inventariarla y guardarla en lugar protegido y
distinto a donde se encuentran los equipos informáticos.
• Al menos al mes. Información de control registrada.
• En Unycop: 4 Mantenimiento-Operaciones-Control LOPD
• En Compufarma: Sistema-Seguridad del Sistema-Gestión
Auditorías.
Presentación Servicio Integral de Protección de
Datos Personales
• Al menos cada 3 meses. Revisión lista usuarios, entrada y
salida de datos, incidencias.
• Al menos cada 6 meses. Revisión existencia copia
respaldo, cambios en el software.
• Cada dos años. Auditoría.
Descargar

Presentación Servicio Integral de Protección de Datos Personales