De acuerdo con el Real Decreto 1277/2003, de 10 de octubre, por el que se establecen las bases generales sobre autorización de centros, servicios y establecimientos sanitarios, se considera “establecimiento sanitario” al conjunto organizado de medios técnicos e instalaciones en el que profesionales capacitados, por su titulación oficial o habilitación profesional, realizan básicamente actividades sanitarias de dispensación de medicamentos o de adaptación individual de productos sanitarios. En esta categoría nos encontramos con las Oficias de Farmacias, los Botiquines, las Ortopedias y Centros de Audiología y Audioprótesis.
Se trata por lo general de un sector muy regulado y es preciso conocerlo en profundidad para poder implantar la normativa de protección de datos teniendo en cuentas las particularidades de su actividad. Recurrir a asesores que no conozcan sus características y amplia regulación es muy arriesgado, porque el RGPD no puede implantarse si no es de forma sectorial.
Sus principales riesgos vienen asociados al tratamiento de datos de salud como parte de su actividad habitual, y a las distintas cesiones de datos y encargos de servicios que se producen a terceros.
Por ejemplo, las farmacias ceden datos de pacientes a laboratorios para la elaboración de vacunas personalizadas. Por su parte, las ópticas, y los centros de ortopedia y audiología, suelen ceder datos a fabricantes para encargar productos a medida. Estas cesiones deben venir precedidas del consentimiento del paciente, sin embargo, nos encontramos con que muchos centros no tienen claro cuando deben solicitar consentimiento para el tratamiento y cesión de datos a terceros, o cuando deben firmar contratos con empresas externas que prestan servicios en calidad de encargados de tratamiento. Algunos centros, además, realizan actividades comerciales, como mailing, newsletter y programas de fidelización, sin respetar las normas de protección de datos.
Por razones prácticas, para mayor comodidad y agilidad en las ventas o dispensaciones, es frecuente que se utilice una sola clave de acceso al software de gestión de la base de datos, siendo esto un incumplimiento frecuente que hemos constatado en farmacias, ópticas, centros de ortopedia y audiología, resultando imposible depurar responsabilidades en caso de que se produzcan incidentes de seguridad relacionados con la actuación de los empleados.
Otro riesgo importante lo hemos venido encontrando en las páginas webs que venden productos, ya sea medicamentos no sujetos a prescripción en el caso de las farmacias, o productos de ortopedia y audiología. Muchas páginas web no están legalmente preparadas para garantizar seguridad jurídica en la venta, algunas ni siquiera cuentan con políticas de privacidad o éstas no están actualizadas, y a menudo encontramos los típicos “corta y pega” que nada tienen que ver con la actividad real de la web.
Por último, estos establecimientos por lo general no tienen conciencia de los riesgos en materia de cibeserguridad y protección de datos, creen que nunca van a ser denunciados por un paciente, ni atacados por un hacker, hasta que lo son. Por ello todavía son reacios a invertir tiempo y recursos en estas áreas. Tampoco valoran la importancia de la formación al personal, y cuando tienen una brecha o incidente de seguridad, no saben qué hacer ni a quién llamar, porque no cuentan con un protocolo de gestión de violaciones de seguridad. Esto conlleva que el tiempo en solucionar cualquier incidencia se alargue con el consecuente riesgo de perder la información, sufrir daños económicos y reputacionales graves, y ser sancionados por la Agencia Española de Protección de Datos.
Les parece caro y gravoso el cumplimiento de la protección de datos, básicamente porque desconocen lo que les costará el incumplimiento.
Socia responsable Legal
Fenomenal todo lo comentado Lillian Así de interesante y de real es lo que ocurre a todo el sector de farmacias y ópticas y más teniendo en cuenta que los ciberataques para este año 2019 van en aumento en más del 40% con respecto al 2018. Todo el sector debe de cumplir con el RGPD pero no pueden olvidar la parte técnica. Solo los antivirus no son suficientes. Nosotros desde Vibranium Tecnología Viva con VBShield detectamos cualquier incidente o ciberataque pero antes de que este ocurra de esta forma, cualquier farmacia u óptica puede tener la tranquilidad de tener una solución técnica muy por encima a lo que exige el nuevo reglamento y sobre todo la importancia de salvaguardar cualquier dato de clientes, pacientes, datos médicos etc. La reputación del sector está en juego y la protección hay q tenerla. Invito a que puedan visitar vbshield.com y que puedan enviar cualquier tipo de consulta o duda q les será atendida sin compromiso alguno . En VBShield el coste de estar protegido es insignificante pues la pretensión es la de ayudar con tecnología de inteligencia artificial puntera. Saludos .
Gracias por tu comentario Francisco, nuestro objetivo es ayudar a crear cultura de cumplimiento y visibilizar el riesgo en los sectores mas vulnerables.
un saludo, Lilliam V.
Buenísimo el aporte. Reciba un cordial saludo.
Muchas gracias¡¡
Un Saludo