Muchas Oficinas de Farmacia nos plantean la consulta de si es conforme al Reglamento General de Protección de Datos (en adelante RGPD), remitir las solicitudes de vacunas individualizadas a los laboratorios fabricantes. También nos consultan si es preciso solicitar el consentimiento a los pacientes para comunicar los datos identificativos y de salud al laboratorio.
El procedimiento de gestión de vacunas individualizadas consiste en que el médico, una vez que considera necesario que su paciente deba someterse a un tratamiento concreto, rellena un formulario generalmente proporcionado por el laboratorio. Este formulario, que contiene los datos del paciente y, si procede, muestras de cultivo, es presentado por el afectado en una farmacia que, a su vez, lo envía al laboratorio. El propio formulario “algunas veces” contiene una cláusula en la que se informa al paciente de que esta gestión supone el consentimiento para que el laboratorio los incluya en un fichero con la finalidad de gestionar y dispensar el producto solicitado. La farmacia no elabora la vacuna, sino que se limita a dispensarla al paciente una vez que la recibe del laboratorio.
¿La comunicación de datos personales al laboratorio es considerado una cesión de datos o un encargo de servicios?
La comunicación de datos de pacientes realizada por la farmacia hacia el laboratorio constituye técnicamente una cesión de datos de carácter personal. Al tratarse de datos de salud, esta cesión debe estar sujeta a restricciones específicas, ya que, como sabemos, los datos de salud son considerados categorías especiales por su alta sensibilidad de acuerdo con el RGPD.
¿Cuál es la base de legitimación que aplica a la cesión de datos de paciente a laboratorios?
La base de legitimación para realizar esta cesión es el consentimiento informado del paciente. Hasta el momento no se puede hablar de cumplimiento de obligaciones legales como base de legitimación, ya que no existe una norma con rango de ley que habilite u obligue a la farmacia a realizar esta cesión al laboratorio. No obstante, es cierto que se trata de un procedimiento establecido y que la farmacia no tiene la opción de fabricar sus propias vacunas, pero al no existir una norma con rango de ley que lo obligue tenemos que basar esta comunicación de datos en el consentimiento del paciente.
A su vez, el consentimiento del paciente debe ser expreso, acreditable, realizado mediante una acción afirmativa, y específico para esta finalidad, de lo contrario, podría ser considerado como un consentimiento “no válido”.
¿Y cuál es la mejor forma para solicitar este consentimiento informado al paciente?
Existen tres maneras de plantearlo. Vamos a explicarlas a continuación, desde la menos segura a la que ofrece más garantías y resulta ser la deseable.
- Revisión de la cláusula informativa contenida en el formulario, si la hubiere: Como hemos dicho, en ocasiones, el propio formulario que entrega el paciente a la farmacia posee, además de los datos de laboratorio cesionario, una cláusula de protección de datos en la que se informa al paciente sobre el tratamiento de sus datos personales. Si esta cláusula fuese correcta podríamos entender que el paciente ha sido informado a través de este texto, sobre la cesión de sus datos al laboratorio. Asimismo, entenderíamos que se presta un consentimiento expreso mediante acción afirmativa, comprendido en el acto de entregar el formulario en la farmacia y solicitarle que comunique los datos a laboratorio para recibir su vacuna. Para que ésta sea una práctica segura la farmacia deberá asegurarse de que cada solicitud de vacuna que recibe contiene una cláusula de protección de datos. Además, deberá leer esta cláusula con ojo crítico y cerciorarse de que es ajustada al RGPD. Pero los farmacéuticos habitualmente no son expertos en RGPD ni disponen del tiempo necesario para la revisión de estos textos. En tal sentido esta práctica corre el riesgo de que se comuniquen datos al laboratorio sobre la base de formularios que no contienen cláusulas, o contienen cláusulas desactualizadas, poniendo en riesgo así la responsabilidad de la farmacia.
- Informar mediante cartel informativo visible: Siguiendo la línea de lo anterior, otra forma de recabar el consentimiento expreso sería la de informar mediante un Cartel Informativo al paciente de que, si solicita una vacuna, sus datos serán cedidos al laboratorio indicado en el formulario del prescriptor. De esta forma también se entiende que, habiendo sido informado mediante este cartel sobre esta cesión, el acto afirmativo de entregar el formulario y solicitar la vacuna a la farmacia constituye un consentimiento expreso. Esta postura también implica riesgos. Por un lado, las farmacias a menudo olvidan colocar los carteles informativos de protección de datos que les entregamos. Por otro lado, muchas veces colocan los carteles en lugares que no son suficientemente visibles para el paciente, ya sea porque están alejados o porque la letra del cartel es muy pequeña. En tales casos el cartel de protección de datos no estaría cumpliendo su función informativa, y el consentimiento del cliente no estaría suficientemente informado por lo que faltaría el requisito de transparencia que hace al consentimiento “válido”.
- Solicitar un consentimiento individualizado por paciente: Por último, explicamos la práctica deseable, ya que es la que ofrece mayores garantías de cumplimiento del RGPD a la farmacia. Se trata de la solicitud de consentimiento individualizado a cada paciente para la gestión de su vacuna, ya sea en papel o digital. En el modelo de consentimiento que facilitamos a nuestros clientes viene correctamente explicado el trámite de cesión de datos personales al laboratorio, su finalidad, la legitimación, los derechos del interesado y la forma para ejercitarlo. Cabe destacar que no es necesario que se solicite al paciente un consentimiento para cada vacuna que solicita en la farmacia dado que el consentimiento puede articularse como “un único consentimiento para cada vacuna que solicite en la farmacia”. Esto es clave ya que muchas veces los pacientes solicitan varias vacunas al año o una vacuna cada año, en cuyo caso si ese paciente autorizó una vez a la farmacia, no sería necesario que repitiera esta autorización. Esto es perfectamente posible y no entorpece el trabajo habitual ya que, salvo en farmacias especiales, el volumen de vacunas no es tal como para ralentizar significativamente el ritmo de dispensación, además muchos de nuestros clientes ya funcionan perfectamente de esta manera.
Como se ha dicho, la postura del consentimiento informado por paciente es, en opinión del equipo profesional de Umbra Abogados, es la que realmente garantiza a la farmacia el poder acreditar que ha cumplido con la obligación de solicitar el consentimiento que reúne todos los requisitos exigidos por la normativa de protección de datos. Las posturas anteriores, si bien podrían ser defendibles, no ofrecen las mismas garantías.
Dicho esto, cada farmacia puede decidir el nivel de riesgo que desea asumir en su actividad diaria, pero desde Umbra Abogados siempre le facilitaremos tanto el cartel informativo con la referencia a la solicitud de vacunas, para que se coloque en un lugar visible, como el modelo de consentimiento informado específico para vacunas que puede utilizar para solicitar esta autorización a sus pacientes. Queda en manos de la Farmacia elegir su propio nivel de seguridad jurídica.
Es menester señalar que existen diferentes posturas en el tráfico jurídico, y cada una de ellas tiene sus defensores y detractores, y que este artículo refleja la postura de nuestro equipo de abogados y asesores especializados en farmacia y RGPD.
Lilliam Valenzuela