Introducción
El pasado 27 de abril de 2016 se aprobó, por parte del Parlamento Europeo y el Consejo, el Reglamento Europeo (2016/679) relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. No obstante, no fue hasta el pasado 25 de mayo de 2018 cuando ha resultado de aplicación de su contenido, tal y como expresamente venía previsto en su artículo 99.
El ámbito de aplicación del presente Reglamento se circunscribe a proteger el tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado -en soporte papel- de datos personales contenidos o destinados a ser incluidos en un fichero. No obstante, el tratamiento de datos llevado a cabo por una persona física en el ejercicio de actividades exclusivamente personales o domésticas constituye una de las excepciones a la obligación de cumplimiento de lo dispuesto por el citado Reglamento Europeo; una excepción que también venía recogida por la conocida Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personales o LOPD, cuya vigencia permanece activa en todos aquellos aspectos no regulados por el nuevo Reglamento Europeo. Dicha vigencia (de la LOPD) se extenderá hasta que su nuevo texto normativo, actualmente pendiente de aprobación parlamentaria, sea aprobado definitivamente.
El cumplimiento de este nuevo marco normativo afecta a todas las entidades y establecimientos sanitarios, no en vano, la principal tipología de datos personales tratados por este tipo de instituciones, como es el dato relativo a la salud de las personas, se califica como dato “de categoría especial”, calificación compartida junto con los datos personales que revelen el origen étnico o racial de las personas, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la vida sexual o la orientación sexual de una persona física.
Justificación
La calificación jurídica como establecimiento sanitario de las oficinas de farmacia viene recogida, entre otras normas, en el propio artículo 1 de la Ley 16/1997, de 25 de abril, de regulación de servicios de las oficinas de farmacia. Conforme al citado artículo, las oficinas de farmacia se definen como “establecimientos sanitarios privados de interés público”. De esta forma, al objeto de conocer qué deberes deben de asumir las oficinas de farmacia a la vista del nuevo Reglamento Europeo, debemos de concentrar la atención, sobre todo, en aquellas responsabilidades dirigidas al tratamiento de datos personales calificados como “de categoría especial”. Las oficinas de farmacia, en el cumplimiento de sus obligaciones legales (entre otras, adquisición, custodia, conservación y dispensación de los medicamentos y productos sanitarios) tratan datos personales relativos a la salud de sus usuarios. Un repaso de tales obligaciones legales evidencia de forma clara y precisa la necesidad de acceder a este tipo de datos de “categoría especial” por parte de los titulares y personal de la propia oficina de farmacia.
En este sentido, la comunicación de efectos adversos o la comprobación y registro de la identidad y DNI de un usuario que retira un medicamento que contenga determinadas sustancias estupefacientes o sustancias psicotrópicas (en los términos y condiciones establecidas legalmente), son evidencias, entre otras, de la especialidad del tipo de información que tratan este tipo de establecimientos sanitarios. No en vano, esta circunstancia, como es el cumplimiento de la normativa tradicional en materia de protección de datos, también se encontraba reflejada de forma expresa en el Real Decreto 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de dispensación. Concretamente, cuando se regula en su artículo 3, los “Formatos y datos comunes de las recetas médicas”, se incluye la obligación de que “En las recetas médicas en soporte papel y en la hoja de información al paciente para el caso de receta electrónica se incluirá una cláusula que informe al paciente en los términos establecidos en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal”. Por ello, estos y otros ejemplos evidencian la obligación de las oficinas de farmacia de dar cumplimiento a las obligaciones legales que el Reglamento Europeo vigente impone, entre otras, a las entidades y establecimientos de naturaleza sanitaria.
Obligaciones
De la lectura del vigente Reglamento Europeo, puede comprobarse un listado de obligaciones que, si bien pueden resultar en ocasiones de dudosa interpretación en cuanto a su obligatoriedad para el ámbito de las oficinas de farmacia, no debe alejarnos de su recomendable cumplimiento.
En tal sentido, podemos citar una de las novedades más características del nuevo Reglamento Europeo como sería la designación de un Delegado de Protección de Datos. Esta figura es de obligada designación para, entre otros supuestos, aquellas entidades cuyas principales actividades consistan en el tratamiento a gran escala de categorías especiales de datos personales. Sin embargo, a expensas de lo que la futura Ley Orgánica de Protección de Datos pueda concretar en este sentido, conforme al texto del Reglamento Europeo el concepto de “tratamiento a gran escala”, salvo mejor criterio fundamentado en derecho, constituye un concepto jurídico indeterminado que ni el propio Reglamento Europeo ni la doctrina comunitaria han definido; por tal motivo, su obligada designación por parte de las oficinas de farmacia se ha puesto en entre dicho precisamente por esta indefinición. Así, a título ilustrativo, puede citarse el Documento: “Directrices sobre los delegados de protección de datos” elaborado por el Grupo de Trabajo sobre Protección de Datos del Artículo 29, donde de forma específica se determina que: “De hecho, no es posible dar una cifra exacta, ya sea con relación a la cantidad de datos procesados o al número de personas afectadas, que pudiera aplicarse en todas las situaciones. No obstante, esto no excluye la posibilidad de que, con el tiempo, se desarrolle un método estándar para identificar en términos más específicos o cuantitativos qué constituye «a gran escala»”. Sin embargo, aun no siendo pacífica su interpretación, la recomendación es que sí se designe en todo caso un Delegado de Protección de Datos, toda vez que su participación dotará de seguridad jurídica a la propia oficina de farmacia en el cumplimiento de las obligaciones impuestas por el vigente Reglamento Europeo. En este sentido, también debe destacarse que la designación de un Delegado de Protección de Datos puede ser compartida por más de una oficina de farmacia. Esta designación compartida quedará supeditada a que sea fácilmente accesible (el Delegado de Protección de Datos) por cada una de las oficinas de farmacia que compartan tal designación; algo que guarda relación con los deberes de supervisión y asesoramiento que el Reglamento Europeo confiere a la persona del Delegado de Protección de Datos.
Asimismo, los términos de obligada información que deben recibir los usuarios de las oficinas de farmacia también han sido modificados. El “Principio de Información” en materia de protección de datos ya venía recogido en el artículo 5 de la LOPD, no en vano, el Real Decreto de Receta Médica al que se ha hecho referencia en líneas anteriores ya requería a las oficinas de farmacia dar cumplimiento a esta obligación de información en las recetas médicas en soporte papel y en la hoja de información al paciente para el caso de receta electrónica, obligación esta última que deberá adaptarse a los nuevos términos informativos que se recogen en el nuevo Reglamento Europeo.
Conforme a la nueva normativa, dentro de la información que debe facilitarse a los usuarios debe destacarse, entre otros, la identidad y los datos de contacto de la oficina de farmacia en su condición de responsable del tratamiento de la información personal que recaba de sus usuarios, los datos de contacto del Delegado de Protección de Datos en el caso de haberlo designado, la/s finalidad/es del tratamiento a que se destinarán los datos personales y la base jurídica de su tratamiento, los destinatarios o las categorías de destinatarios de los datos personales a los que se vaya a ceder dicha información en su caso, el plazo durante el cual se conservarán la misma, o la existencia del derecho de los usuarios de la oficina de farmacia a solicitar el acceso a sus datos personales, su rectificación o supresión, la limitación de su tratamiento, su derecho a oponerse al tratamiento informado o su derecho a solicitar la portabilidad de su información personal. Sin embargo, este deber de información no debe confundirse con la obligación de recabar el consentimiento explícito del usuario para tratar la información relativa a su salud, regulado también por el propio Reglamento Europeo.
En efecto, esta obligación general de recabar el consentimiento explícito para el tratamiento de datos personales contempla determinadas excepciones, dentro de las cuales, las oficinas de farmacia por su dinámica de funcionamiento (es el paciente quien acude al establecimiento a adquirir los medicamentos) y el cumplimiento de las obligaciones legales a las cuales se encuentran sometidas por su régimen de actividad (ver en líneas anteriores, la comprobación y registro de la identidad del usuario y su DNI cuando se adquieren medicamentos que contienen sustancias estupefacientes o psicotrópicas), habilita, en términos generales, que las oficinas de farmacia queden exoneradas de la obligación de su cumplimiento (recabar el citado consentimiento explícito). Ello no implica que no se tenga que dar cumplimiento al deber de información descrito anteriormente. El deber de Información y el deber de recabar el consentimiento explícito tienen una naturaleza jurídica distinta e independiente el uno respecto del otro.
La confección de un registro de actividades de tratamiento constituye otras de las novedades introducidas por el Reglamento Europeo. Este registro puede asimilarse en términos de naturaleza jurídica al contenido de los ficheros que conforme a la LOPD eran de obligado registro ante la Agencia Española de Protección de Datos. En su virtud, este registro de actividades deberá recoger información de las distintas finalidades para las cuales se traten los datos personales por parte de la oficina de farmacia, sus plazos de conservación, la existencia o no de cesiones, la existencia de encargados del tratamiento (empresas ajenas que prestan un servicio a la propia oficina de farmacia, para cual necesiten acceder a la información personal responsabilidad de la propia oficina), tipos de datos personales recabados, colectivos a los cuales pertenecen los datos personal que recaban y conservan, etc. Se trataría por tanto de confeccionar una ficha informativa de cada tipo de actividad de tratamiento que se desarrolle en la oficina de farmacia. Este registro debe de mantenerse por la propia oficina de farmacia a disposición de la Agencia Española de Protección de Datos para el caso de que sea solicitado por esta.
La confección de un Documento de Medidas Técnicas y Organizativas constituye otras de las novedades introducidas por el nuevo Reglamento Europeo, si bien, su naturaleza jurídica puede equipararse a la del Documento de Seguridad regulado por el Real Decreto 1720/2007, que aprobaba el reglamento de desarrollo de la LOPD. Se trata documentar qué medidas de tipo técnico y organizativo se dispondrán por la oficina de farmacia para garantizar un nivel de seguridad adecuado al riesgo que pueda suponer el tipo de tratamiento que se lleve a cabo por parte del establecimiento. Conforme el Reglamento Europeo, tales medidas incluirían en su caso, la seudonimización y el cifrado de datos personales, la garantía de confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, e incluir un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Por último, debemos destacar dos novedades introducidas por el Reglamento Europeo cuya realización va pareja a la posible afectación de los derechos y libertades fundamentales de los ciudadanos. En este sentido, el derecho a la intimidad se constituye como uno de los derechos fundamentales protegidos por esta nueva previsión normativa. Así, debemos referirnos en primer lugar a la obligación de llevar a cabo una Evaluación de Impacto cuando sea probable que un tipo de tratamiento concreto, en particular si se utilizan nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para afectar a los mencionados derechos y libertades de las personas físicas. Sin embargo, el propio articulo menciona que dicha obligación vendría supeditada a que el riesgo a evaluar fuera probable; cuestión esta última que no deja de ser una cuestión interpretable. Sin embargo, dicha connotación probabilística, como hipótesis que supone, se convierte en obligatoria si se tratan datos personales de categoría especial (relativos a la salud de las personas) a gran escala (Artículo 35.3.b): “La evaluación de impacto relativa a la protección de los datos (…) se requerirá en particular en caso de: (…) tratamiento a gran escala de las categorías especiales de datos (…)”. Así, a pesar de que el término “a gran escala” constituye, como se ha apuntado en líneas anteriores, un concepto jurídico indeterminado, la figura del Delegado de Protección de Datos se erige como fundamental al efecto de evaluar la pertinencia o no, de llevar a cabo dicha Evaluación de Impacto. No en vano, el texto normativo, en su artículo 35.2, dispone que el Responsable del tratamiento (véase la oficina de farmacia) recabará el asesoramiento del Delegado de Protección de Datos para tal cometido. Por tal motivo, la recomendación de designar un Delegado de Protección de Datos en todo caso, garantiza un grado de seguridad jurídica para estos establecimientos, toda vez que asesorará en el efectivo cumplimiento de cada una de las obligaciones que recoge a estos efectos el propio Reglamento Europeo de Protección de Datos.
Cuestión similar sería el caso de la obligación recogida por el vigente texto normativo relativa a notificar a la Agencia Española de Protección de datos las violaciones de seguridad que los responsables de la información sufran en sus sistemas de tratamiento de datos. En efecto, hablamos de un caso similar al de la Evaluación de Impacto, toda vez que el propio Reglamento Europeo, al referirse a esta nueva obligación de comunicación o puesta en conocimiento, matiza que lo mismo será obligatorio a menos sea improbable que dicha violación de seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Este último matiz, relativo a que: “a menos que sea improbable”, tiene idéntica interpretación que el supuesto contemplado para notificar dicha violación de seguridad, además de a la propia Agencia Española de Protección de Datos una violación de seguridad, también a los propios usuarios afectados por dicha violación. Esta última obligación, relativa a notificar a los usuarios afectados por la violación de seguridad lo sucedido, se restringe igualmente a aquellos supuestos en los sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas.
El cumplimiento de todas las anteriores obligaciones se subsume a su vez en otra, quizás la más novedosa desde el punto de vista del espíritu perseguido por el presente Reglamento Europeo, como es la obligación de proactividad impuesta a los responsables del tratamiento. Con dicha responsabilidad proactiva, el Reglamento Europeo pretende que exista una implicación mayor por parte de los Responsables del tratamiento en el cumplimiento, control y supervisión periódica de las acciones y medidas adoptadas para la protección de la información personal de los interesados que albergan en sus sistemas de tratamiento de datos. Más aún, que dicha eficacia y conformidad de las medidas implantadas pueda ser demostrable. Con ello, la protección de datos cobrará toda la relevancia que el Reglamento Europeo pretende garantizar, y que de forma absolutamente detallada motiva y justifica a lo largo de sus 173 considerandos previos, incluidos todos ellos a modo de Exposición de Motivos.
1 Este grupo de trabajo se creó en virtud del artículo 29 de la Directiva 95/46/CE. Se trata de un órgano consultivo independiente de la UE en materia de protección de datos y privacidad. Sus funciones se describen en el artículo 30 de la Directiva 95/46/CE y en el artículo 15 de la Directiva 2002/58/CE.
