Inici 9 Actualitat 9 L’assessor respon 9 L’Assessor respon: Quines són les obligacions del responsable i l’encarregat del tractament?

L’Assessor respon: Quines són les obligacions del responsable i l’encarregat del tractament?

17 abr., 2018 | L’assessor respon, FEFAC, AFB, AFET, AFELL, AGFE

El 25 de maig serà obligatori complir el Reglament General de Protecció de Dades (RGPD). La nova normativa suposa un gran canvi respecte a l’actual sistema de protecció de dades. Una de les novetats és que parlarem de dues figures: el responsable i l’encarregat del tractament de dades. En aquest article expliquem les obligacions d’aquestes figures.

Registre d’activitats de tractament

A partir del pròxim 25 de maig, no existirà l’obligació de notificar a l’Agència espanyola de protecció de dades els diferents fitxers que contenien dades de caràcter personal, doncs aquest sistema ha estat substituït per l’anomenat Registre d’activitats de tractament (art. 30 RGPD). Aquest Registre és un document que conté les dades de caràcter personal que utilitzem a la farmàcia i que el titular tindrà l’obligació de gestionar.

          Exemples de tractaments que contenen dades personals:

  • Gestió de la recepta privada
  • Gestió de la recepta mèdica
  • Llibre receptari
  • Llibre estupefaents
  • Fórmules magistrals
  • SPD i altres serveis de prevenció i promoció de la salut
  • Pacients: targetes de fidelització…
  • Tecnologies: bàscules per al control de pes, dermoanalitzadors…
  • Recursos Humans (nòmines).
  • Videovigilància.
  • Proveïdors i autònoms
  • Comptabilitat interna de la farmàcia

El contingut d’aquest Registre consisteix en:

  • Nom del responsable del tractament (titular de l’oficina de farmàcia).
  • La finalitat del tractament.
  • Descripció de les categories d’interessats (personal-treballadors de la farmàcia) i de les categories de les dades personals (nom i cognom, DNI, telèfon, la direcció, dades acadèmiques i professionals…).
  • Les categories de destinataris (encarregats del tractament) a qui es comuniquen les dades personals (gestories, organismes de la SS, administracions tributàries, bancs…).
  • El termini de supressió de les dades.
  • Una descripció general de les mesures tècniques i organitzatives de seguretat per protegir les dades.

Anàlisi de riscos i mesures de seguretat

Ja hem vist que el Registre d’activitats ha de contemplar una descripció general de les mesures tècniques i organitzatives de seguretat per protegir les dades.

Cal analitzar els riscos que podrien afectar a les dades que tractem a la farmàcia qüestionant de quina manera és possible un accés als mateixos no autoritzat. Per exemple, caldrà estudiar quines persones utilitzen el programa informàtic de la farmàcia o si el nostre sistema està exposat a virus. També cal plantejar-se qüestions com quin és el lloc on guardem el llibre receptari i quines persones hi tenen accés.

Un cop analitzat els riscos, cal determinar les mesures de seguretat a implementar. Informàticament, s’hauran d’instal·lar un antivirus en els ordinadors, habilitar contrasenyes alfanumèriques per garantir la seva seguretat, fer còpies de seguretat diàries en núvol o través de programes específics de gestió de farmàcies, xifrat o encriptat d’informació… En el cas de la informació en suport paper, s’ha de seguir un protocol de destrucció d’informació confidencial i/o sensible (la instal·lació de màquines de destrucció de paper o contractació d’un servei de destrucció d’informació confidencial).

          Pautes per garantir la seguretat de les dades

  1. Pseudonimització: procés que consisteix en el tractament de dades personals de manera que no es puguin atribuir a un pacient sense utilitzar informació addicional, sempre que aquesta consti per separat i estigui subjecta a mesures tècniques i organitzatives destinades a garantir que les dades personals no s’atribueixen a una persona física identificada o identificable.
  2. Resiliència: capacitat de garantir la recuperació de l’estat original d’aquells sistemes emprats un cop desapareixen. Per exemple, informàticament, preveure com actuar davant un atac informàtic al servidor i garantir una còpia de seguretat. Un altre exemple pel que fa a les dades en suport paper: com garantir la recuperació de dades en cas d’incendi.

Esquerdes de seguretat

Les empreses, sobre tot les grans companyies, poden ser víctimes de furoners que s’introdueixen de forma il·legal en els seus sistemes informàtics. Si això arribés a passar a la nostra farmàcia, el nou reglament obliga a:

  1. Notificar que s’ha produït una invasió informàtica il·legal a l’Agència Espanyola de Protecció de Dades en un termini de 72 hores.
  2. Si els drets i llibertats de les persones físiques queden en entredit, comunicar al mateix interessat que aquesta invasió s’ha produït.

Avaluació de l’impacte relatiu a la protecció de dades (AIPD)

Si l’anàlisi de riscos analitzava les vulnerabilitats del sistema, l’avaluació de l’impacte relatiu a la protecció de dades estableix les mesures de seguretat que s’hauran d’implementar per tal de mitigar les conseqüències d’aquests riscos que han estat analitzats. Sembla ser que les oficines de farmàcia no estaran obligades a realitzar aquests protocols d’avaluació de l’impacte dons està previst per les empreses que tractin dades a gran escala (companyies de telefonia).

Delegat de Protecció de Dades (DPO)

Una de les novetats més importants del Reglament es la figura del Delegat de Protecció de Dades (DPO) (arts. 37 a 39 RGPD). El DPO és la persona responsable d’informar i assessorar al responsable del tractament i de supervisar el compliment del Reglament. El seu nomenament és obligatori quan el tractament el dur a terme una autoritat o organisme públic, o quan el tractament afecti a dades especialment protegides (salut, ideologia, sexe…) a gran escala.

Està obligada l’oficina de farmàcia a disposar de la figura del DPO? L’oficina de farmàcia no està obligada, però pot decidir tenir-lo, ja que el DPO ofereix garanties addicionals per complir amb el que diu la normativa, llevat que quan s’acabi de publicar la nova llei orgànica de protecció de dades que es preveu entri en vigor el mateix 25 de maig de 2018, no s’hagi modificat aquest aspecte.

             Qui pot ser el DPO?

El DPO ha d’estar especialitzat en dret i en protecció de dades, per la qual cosa, els advocats serien els professionals més indicats per desenvolupar el rol de DPO. També persones en plantilla, ja que no és obligatori que siguin proveïdors externs, a condició que tinguin els coneixements adequats. És obligatori comunicar a l’Agència Espanyola de Protecció de Dades qui és el DPO.

Què fa el DPO?

El DPO, actuant amb independència i garantint que el reglament es compleixi, actua com a mediador entre els interessats afectats per tal d’evitar procediments sancionadors. Entre les seves tasques destaquen les següents: assessorar en el compliment de les obligacions derivades de la normativa, supervisar el compliment de l’avaluació d’impacte, operar com a autoritat de control, com a punt de contacte pel que fa a qüestions relatives al tractament de dades.

Codis de conducta i certificació

El responsable i l’encarregat del tractament han de vetllar pel compliment dels nomenats codis de conducta (art. 40 RGPD) o ètics existents amb relació al compliment de la normativa de protecció de dades, amb la finalitat de detectar possibles problemes i preveure solucions i així, fer els tràmits corresponents per tal d’obtenir codis de certificació que garanteixin el correcte funcionament de les empreses.

En el pròxim capítol…

Parlarem de com el nou reglament de protecció de dades afectarà les tecnologies aplicades a la farmàcia, és a dir, què passarà si tenim una web, una base de dades, targetes fidelització, fem concursos a Facebook o simplement un client ens envia una recepta per e-mail o WhatsApp

0 Comments