Los laboratorios farmacéuticos son un sector dedicado a la fabricación y comercialización de productos farmacéuticos, así como cosméticos, y que, por razón de su actividad y de sus clientes — entre otros, farmacias, parafarmacias, clínicas y grandes o medianas superficies comerciales, además del uso de distribuidores–, deben prever amenazas internas y externas en materia de Protección de Datos e implantar las medidas oportunas para mitigar los riesgos inherentes al tratamiento de datos personales que realizan.
¿Qué amenazas internas tienen los laboratorios farmacéuticos?
Los empleados pueden representar para este sector una potencial amenaza interna, especialmente cuando no se han desarrollado acciones de formación y concienciación, o no se han invertido recursos suficientes en el desarrollo de una cultura de ética de cumplimiento. Los empleados deben estar sujetos a obligaciones de confidencialidad, mediante la firma de cláusulas y políticas que describan el contenido de dichas obligaciones.
De igual forma, el personal deberá conocer y aceptar la política de uso y gestión de recursos empresariales. En esta política se debe clasificar la información de acuerdo al nivel de criticidad y potencial impacto que tendría su difusión, establecer normas organizativas para su protección, informar sobre las medidas para el control laboral y medidas para la desconexión digital que sean implantadas por el laboratorio, así como establecer normas para el correcto uso de los recursos empresariales tales como el correo electrónico, internet y redes de conexión wifi, uso de dispositivos electrónicos y prohibiciones de extracción y/o divulgación de información sin autorización.
Dentro de su personal, los laboratorios suelen contar con una red de comerciales que actúan de distinta manera, ya que, por un lado, pueden visitar a clientes (por ejemplo, farmacias o clínicas), explicarles el porfolio de productos ofertado y recoger los pedidos que se puedan realizar. Y, por otro lado, los comerciales también pueden estar situados en corners de superficies comerciales donde asesoran a clientes (consumidores finales) que luego adquirirán el producto de venta en ese establecimiento.
En el primer caso, los comerciales deberían tener una ficha de alta de cliente en la que recogerían los datos necesarios, que coincidirán mayormente con los que se necesitan para facturar los pedidos que les realicen. En esas fichas deberán incluir las cláusulas de protección de datos donde se ofrezca, entre otras, la información relativa a finalidad de la recogida, plazos de conservación, legitimación, cesiones y ejercicio de derechos.
En el segundo caso, simplemente asesoran sin recoger datos a los clientes-consumidores finales. Los datos que tendrán serán los de las fichas de alta de cliente-superficie comercial, que es quien les realizará los pedidos de los artículos que necesiten. De nuevo, serán datos que coincidirán con los de facturación y que llevarán las correspondientes cláusulas de protección de datos.
Principales amenazas externas de los laboratorios de farmacia
Las relaciones, generalmente indirectas, con los consumidores finales, pueden representar una amenaza externa, especialmente en los casos en los que se reciben informes de efectos adversos relacionados con farmacovigilancia o cosmetovigilancia. Estas comunicaciones de efectos adversos que pueda producir algún producto al consumidor final, pueden llegar a los laboratorios a través de las farmacias, las clínicas o bien directamente por los particulares que hayan sufrido ese efecto adverso.
El caso que mayor problema presenta es este último, ya que el particular le facilitará datos de salud, que son los que exigen unas mayores cautelas en su tratamiento. Puede darse el caso de que el consumidor afectado aporte incluso imágenes o vídeos donde muestren esos efectos adversos. Por ello, la información que se les facilite por parte de los laboratorios debe ser excepcionalmente clara y transparente, y los consentimientos, cuando procedan, deben ser explícitos y por escrito.
En numerosas ocasiones, los laboratorios deben recurrir a otros laboratorios externos especializados en este tipo de análisis, que pueden incluso estar situados en otros países, por lo que debe ofrecerse información de las cesiones de datos, recogerse los consentimientos precisos y realizar las comunicaciones de transferencias de datos que se produjeran, si fuera el caso, teniéndose en cuenta el nivel de protección de datos que se ofrezca en estos países y si es equivalente al del espacio europeo o no.
La figura del Delegado de Protección de Datos en los laboratorios farmacéuticos
Para gestionar adecuadamente todos estos procesos, es conveniente que los laboratorios farmacéuticos cuenten cuenten con la figura de un Delegado de Protección de Datos, interno o externo, que sea capaz de ofrecer un asesoramiento especializado al laboratorio, de cara a identificar amenazas y mitigar los riesgos de que dichas amenazas se materialicen.
Los laboratorios, además, deberán cumplir con otras obligaciones como parte del plan de protección de datos, tales como confeccionar, cuando proceda, un registro de actividades de tratamiento, realizar un análisis de riesgos, firmar contratos de protección de datos con empresas que presten servicios por cuenta del responsable o crear protocolos y procedimientos para el ejercicio de derechos y la gestión de incidencias y violaciones de seguridad.
Como se propugna en la nueva legislación de protección de datos, hay que realizar tratamientos y tomar medidas desde el diseño y por defecto. En este sentido no sólo hay que tener en cuenta el punto de vista legal con las cláusulas de protección de datos y otros documentos que hemos mencionado, sino que también debe tenerse en cuenta la realización de un plan de implementación de medidas de seguridad técnicas, tales como encriptaciones de información, seudonimización cuando sea posible, política de contraseñas, copias de seguridad, almacenamiento de información, acceso a datos o conexiones remotas.
Susana Sfameli
Abogada en Umbra abogados
Un post muy interesante. Gracias por la información. Saludos.