Las farmacias nos plantean dudas respecto a si es lícito almacenar en sus sistemas el código de identificación personal del paciente (en adelante CIP), conforme a la normativa de protección de datos y la de farmacias.
Para responder a esta pregunta debemos remitirnos al Real Decreto 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de dispensación (en adelante RD), aclarando que se trata de una norma especial, y de rango estatal, no autonómica, es decir, aplica a todos los establecimientos farmacéuticos con independencia de su localización.
Siempre debe identificarse al paciente mediante su tarjeta sanitaria
Las oficinas de farmacia realizan la dispensación de medicamentos. Cuando se trata de medicamentos que han sido introducidos por el prescriptor en el sistema de receta electrónica, el farmacéutico debe requerir al paciente que entregue su tarjeta sanitaria. Así lo establece el RD:
Art. 9.2 RD: “Tras la identificación inequívoca del paciente, y en su caso de la persona en quien delegue, el farmacéutico sólo podrá acceder desde los equipos instalados en la oficina de farmacia, con los requisitos y condiciones que se establecen en el apartado siguiente, a los datos necesarios para una correcta dispensación informada y seguimiento del tratamiento y dispensará exclusivamente, de entre las prescripciones pendientes de dispensar, las que el paciente solicite”
Además, este RD agrega en su artículo 9.3:
Art. 9.3 RD: Sólo se permitirá el acceso de los farmacéuticos al sistema electrónico mediante la tarjeta sanitaria del paciente debidamente reconocida por el sistema de receta electrónica, debiendo ser devuelta de forma inmediata a su titular y sin que pueda ser retenida en la oficina de farmacia. El acceso del farmacéutico siempre quedará registrado en el mencionado sistema.
De su lectura se entiende que la intención del legislador es proteger la información del paciente, y garantizar los mínimos accesos posibles a esta base de datos que contiene información tan sensible como es la de salud. Los datos de salud son considerados como categorías especiales de acuerdo con el Reglamento (UE) 2016/679 del Parlamento Europeo y Del Consejo de 27 de abril de 2016, en adelante (RGPD).
En una interpretación restrictiva de los mencionados artículos 9.2 y 9.3 del RD, no sería posible almacenar ningún dato del paciente relativo a la dispensación de medicamentos, salvo en aquellos casos en los que existe una ley que nos obligue.
No obstante, al tratarse de un medicamento, esta misma norma obliga al profesional a consignar en los libros oficiales los datos de la dispensación. Es así que, cuando los libros están en papel, el farmacéutico debe escribir manualmente estos datos de dispensación y, cuando los libros están automatizados, tendrá que teclearlo.
En muchos casos los libros oficiales están automatizados y contactados al software de la farmacia. Así lo permite la propia norma:
Art. 15.6 RD: “El libro recetario de la oficina de farmacia podrá emitirse en soporte papel, para cumplimentación manual o informatizada, o en soporte electrónico”.
A continuación, el RD recuerda que deben consignarse en el libro recetario datos como fecha, envases, datos del prescriptor y apunta de forma clara que debe además conservarse:
Art. 15.7 f) RD “Código de identificación del paciente asignado por las Administraciones competentes en las recetas del Sistema Nacional de Salud, número del DNI en las recetas del ámbito privado”
Por lo anterior, queda claro que, cuando se dispensa un medicamento sujeto a prescripción, no solamente es lícito, sino que además es preceptivo conservar el CIP en los libros oficiales.
Algunos softwares de farmacia están configurados para introducir directamente en los libros oficiales la información relativa a la dispensación, permitiendo al titular cumplir con la obligación legal de conservación de estos datos. Este procedimiento entendemos que es completamente lícito, ya que supone la automatización de un proceso que permite a la farmacia cumplir con una obligación legal de conservación de datos, incluido el CIP.
Pero ¿puede el farmacéutico registrar el CIP fuera de los libros correspondientes?
Desde nuestro punto de vista, no, salvo en casos puntuales y muy justificados. Y aquí está el meollo de la cuestión.
Es clave preguntarse con qué finalidad las farmacias desean registrar el CIP fuera de los libros. Los clientes nos comentan que lo guardan por razones como éstas:
- Es más cómodo para el personal de la farmacia acceder tecleando el código en aquellas comunidades autónomas que permiten este acceso manual.
- Es más cómodo para el paciente tener registrado ese dato por si se le olvida llevar la tarjeta que le puedan dispensar el medicamento.
- Ei el sistema falla que pueda introducirse manualmente el código y no haya que copiar dígito a dígito.
- Para ayudar a personas que tiene problemas de salud que les impiden desplazarse a las farmacias.
- Para contestar consultas telefónicas de pacientes del tipo ¿puedes decirme si ya me han cargado la pastilla de la tensión?
Si los artículos del RD mencionados anteriormente parecen ser restrictivos y prohibir este tratamiento de datos, lo es aún más el art. 11 del RD, que regula especialmente la protección de datos personales en el ámbito de la dispensación por receta electrónica.
Art. 11 RD: “El sistema de receta médica electrónica garantizará la seguridad en el acceso y transmisión de la información, así como la protección de la confidencialidad de los datos, de conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Se implantarán las medidas de seguridad de nivel alto, previstas en la referida normativa de protección de datos de carácter personal. Para garantizar dichos niveles de seguridad, esta información sólo será accesible desde la oficina de farmacia a efectos de dispensación, residirá de forma permanente en los sistemas de receta electrónica gestionados por las Administraciones sanitarias y no podrá ser almacenada en los repositorios o servidores ajenos a éstas, establecidos para efectuar la facturación, una vez esta se haya producido.
Aunque estos artículos no digan taxativamente “no puedes guardar el CIP en tus sistemas”, dicen: “solo se permite el acceso mediante la tarjeta que debe ser devuelta al paciente sin que pueda ser retenida” o “la información no podrá ser almacenada en repositorios o servidores ajenos al sistema”. El legislador no quiere que las farmacias guarden el CIP, por este motivo impone la obligación de devolver la tarjeta inmediatamente y no retenerla, por lo que tampoco deben retenerse los datos personales del paciente salvo cuando lo obligue una ley.
Los argumentos de “comodidad de la farmacia o del paciente”, no suelen sustentar con éxito la defensa jurídica ante denuncias o procedimientos sancionadores. Si el sistema falla, puede perfectamente introducirse manualmente el código CIP en el momento.
¿Si el paciente autoriza el registro de su CIP, sería lícito guardarlo?
Desde nuestro punto de vista, no. Ciertamente el consentimiento es una base de legitimación para tratamiento de datos, incluidos los de salud. Pero este consentimiento sería contrario a una prohibición legalmente establecida, por lo que podría tambalearse su validez. Además, el RGPD es una norma general, pero el Real Decreto de Receta Electrónica es una norma especial, por lo que, de haber alguna contradicción, en este aspecto prevalecería la norma especial (principio de especialidad). Este es el motivo por el que nuestro equipo no recomienda registrar el CIP ni siquiera con el consentimiento del paciente. No obstante, si se va a guardar, es mejor con el consentimiento que sin él.
En los casos de pacientes con problemas graves de salud o situaciones especiales que le impidan desplazarse a la farmacia, podríamos defender ante una denuncia, sin garantizar el éxito, que no se trata de una práctica habitual, sino de casos puntuales y justificados, y que ha primado el interés por la salud del paciente y la colaboración con el tratamiento.
Conclusión, ante la pregunta de si se puede registrar el CIP de pacientes en las farmacias debemos decir que:
1. Sí, si se almacena en los libros oficiales de conformidad con las obligaciones legales establecidas
2. No, si se almacena fuera de los libros oficiales, en los registros propios de la farmacia.
Lo que estaría fuera de la legalidad es que el software de la farmacia guarde automáticamente en la ficha del cliente el número del CIP, (fuera del libro recetario) de cara a que el farmacéutico pueda utilizarlo para acceder al sistema sin pasar la tarjeta sanitaria o con cualquier otro fin como la comodidad. El farmacéutico siempre debe acceder al sistema de receta electrónica pasando la tarjeta por el lector (art. 9.3 RD), de hecho, algunas CCAA ya prohíben otra forma de acceso.
Extremar la precaución dadas las posibles sanciones
Cabe recordar que toda actuación realizada en el sistema de receta electrónica queda registrada y es constantemente auditada, por lo que conviene que los titulares y el personal de farmacia extreme la precaución en este sentido para evitar sanciones. Otro día hablaremos sobre las elevadas sanciones que pueden interponerse por tratamientos de datos de salud sin base legítima o contraviniendo prohibiciones específicas, que son especialmente elevadas según el RGPD.
Es menester señalar que pueden existir regulaciones autonómicas que regulen de manera distinta este aspecto en su ámbito de aplicación, por lo que cada farmacia debe revisar su propia Ley de Ordenación Farmacéutica, y cualquier otra norma aplicable.
Por último, sabemos que existen diferentes posturas en el tráfico jurídico, y cada una de ellas tiene sus defensores y detractores, por lo que aclaramos que este artículo refleja la postura de nuestro equipo de abogados y asesores especializados en farmacias y RGPD.