Presentaci

1
Presentación Servicio Integral de Protección de
Datos Personales

• Implantación del Servicio en las Oficinas de
  Farmacia.
• 1ª Fase. Inscripción de Ficheros. X
• 2ª Fase. Documento de Seguridad. X
• 3ª Fase. Formación y visita al establecimiento.

2
Presentación Servicio Integral de Protección de
Datos Personales

• Por qué?
• La Constitución, la Ley Orgánica 15/1999 y La
  carta de Derechos Fundamentales de la Unión
  Europea, reconocen el derecho Fundamental a la
  Protección de Datos Personales y obligan a las
  empresas que los tratan a la protección de este
  derecho.
• El incumplimiento es sancionable por la autoridad
  competente, a través de sus inspectores. El
  importe de la sanción oscila entre 100.000 y
  100.000.000 ptas.
• Exigencia para la acreditación en Calidad de las
  Oficinas de Farmacia.
• Beneficios para el funcionamiento interno de la
  empresa, desde el punto de vista organizativo y
  control de las tareas realizadas.

3
Presentación Servicio Integral de Protección de
Datos Personales

• Todos los datos requieren el mismo nivel de
  Protección?
• No, hay distintos niveles. Estos son Básico,
  Medio y Alto. Nos interesa conocer que los datos
  de salud son de nivel alto, por tanto requieren
  la máxima protección establecida
• Que se considera datos de salud?
• Son las informaciones concernientes a la salud
  pasada, presente y futura, física o mental de un
  individuo. Por tanto en la Oficina de Farmacia
  principalmente se tratan datos de salud.

4
Presentación Servicio Integral de Protección de
Datos Personales

• Como responsable de los datos que actuaciones
  debo realizar para cumplir con mis obligaciones?
  I.
• Notificar los ficheros a la AGPD. El Servicio
  Integral de Protección de Datos del Colegio se
  encarga de esta obligación, previa notificación
  de la Farmacia.
• Principio de Calidad. Los datos que se recogen
  serán adecuados y veraces, obtenidos lícita y
  legítimamente y no serán usados para una
  finalidad distinta que para los que se han
  recogido.
• Cumplimiento deberes de seguridad y secreto. La
  ley obliga a los responsables de los datos a
  aplicar unas medidas de seguridad que deben ser
  recogidas en un documento de seguridad. Este
  Documento lo facilita el SIPD. Más adelante lo
  analizaremos.

5
Presentación Servicio Integral de Protección de
Datos Personales

• Como responsable de los datos que actuaciones
  debo realizar para cumplir con mis obligaciones?
  II.
• Informar y obtener el consentimiento del
  interesado. Según la LOPD cuando se traten datos
  de salud es necesario recoger el consentimiento
  expreso del interesado, excepto cuando sean
  necesarios para la prestación de asistencia
  sanitaria y recabados por un profesional
  sanitario sujeta al deber de secreto profesional.
  Tampoco es necesario si existe una relación
  negocial.
• Garantizar los derechos ARCO. Cuando un cliente
  solicite ejercer sus derechos de acceso,
  rectificación, cancelación y oposición de sus
  datos personales hay que seguir las instrucciones
  del Documento de Seguridad y asesorarse a través
  del SIPD.
• Relaciones con terceros que tratan datos
  personales de los que somos responsables.
  Enviarles el anexo contractual de
  confidencialidad de los datos que traten por
  nuestra cuenta.

6
Presentación Servicio Integral de Protección de
Datos Personales

• El documento de seguridad. La ley establece que
  el responsable del fichero deberá elaborar un
  documento de seguridad que recogerá las medidas
  de índole técnico/organizativo y que será de
  obligado cumplimiento para quienes traten los
  datos personales. Este documento deberá
  permanecer actualizado y adecuarse a la
  legislación vigente.
• Quién es el Responsable del Fichero? La
  responsabilidad sobre los datos personales de los
  ciudadanos con quien la empresa tiene relación es
  del Titular de la Farmacia.

7
Presentación Servicio Integral de Protección de
Datos Personales

• Aplicaciones básicas de Seguridad.
• Nivel Básico
• 1. El personal debe conocer las medidas de
  seguridad con relación a sus funciones y al
  tratamiento de los ficheros que tratan.
• 2. En el caso que se produzca alguna incidencia
  que afecte a los datos o a los sistemas que los
  tratan, hay que reflejarla.
• 3. Cumplimentar la relación de usuarios de los
  ficheros y establecer mecanismos para que no
  acceda ninguna persona no autorizada a los mismos.

8
Presentación Servicio Integral de Protección de
Datos Personales

• 2. Auditoría bianual. El SIPD se encargará de
  realizar las mismas.
• 3. Registro de salida y entrada de soportes. Se
  deberá establecer un sistema para la recepción de
  documentación y la salida de los mismos.
• 4. El acceso a los ficheros deben tener un límite
  de intentos de acceso.
• 5. Control de acceso físico. Solo el personal
  autorizado deberá tener acceso a los lugares
  donde se encuentran los ficheros.

9
Presentación Servicio Integral de Protección de
Datos Personales

• 4. Los soportes que contengan datos de carácter
  personal deberán estar inventariados. (ejemplo).
  Si hay salida de soportes por correo electrónico
  deberán estar autorizados. Precaución en el
  traslado y en el desecho.
• 5. Establecer contraseña y claves para los
  usuarios del fichero.
• 6. Semanalmente se debe realizar una copia de
  respaldo.
• Nivel Medio (acumulable)
• 1. Nombrar un responsable de seguridad, puede ser
  el propio Titular.

10
Presentación Servicio Integral de Protección de
Datos Personales

• Nivel Alto (acumulable).
• 1. Deberán quedar registrados los accesos a los
  ficheros durante 2 años.
• 2.Cifrado de datos u otro mecanismo alternativo y
  precaución en el uso de portátiles
• Medidas específicas para los ficheros manuales.
• Criterios de archivo, mecanismo de apertura (
  puerta con llave o alternativa), custodia de
  soportes cuando no está archivada, copias y
  desecho de las mismas, acceso a través del parte
  general, traslado de documentación.

11
Presentación Servicio Integral de Protección de
Datos Personales

• Pasos para implantar las medidas de seguridad.
• Colocación del cartel informativo en la zona de
  dispensación y en lugar visible para los
  pacientes. En el caso de videovigilancia,
  colocación del cartel con los datos del
  establecimiento en la puerta de acceso o en lugar
  visible.
• Establecer las contraseñas de usuario para todos
  aquellos que traten datos personales. Siguiendo
  las instrucciones del proveedor del Programa de
  Gestión.

12
Presentación Servicio Integral de Protección de
Datos Personales

• Usuarios del Programa de Gestión Unycop Win. Para
  establecer las contraseñas en este programa
  tenemos que seguir la siguiente ruta.
• En el Servidor de la Farmacia y con el usuario
  ADMIN habilitado, se pincha en 4 Mantenimiento -
  Configuración - LOPD. Se nos abre una pantalla
  como la que vemos a continuación

13
Presentación Servicio Integral de Protección de
Datos Personales
14
Presentación Servicio Integral de Protección de
Datos Personales

• En la parte de la derecha de esta pantalla,
  observamos el Menú de Operaciones, pulsando sobre
  el icono al lado de cada opción se abre un
  desplegable y al lado de cada opción tenemos una
  casilla la marcamos haciendo doble click. Se
  recomienda no marcar Punto de venta (cerrar
  venta con cliente), en Mantenimiento de Clientes
  (las tres últimas) y en Receta Electrónica
  (Impresión Receta Electrónica). Una vez realizada
  esta operación se pulsa ( en la parte izquierda
  de la pantalla) el icono Añadir y poner un nombre
  o código de usuario, que puede coincidir por
  comodidad con el número de vendedor.

15
Presentación Servicio Integral de Protección de
Datos Personales

• Una vez puesto el identificador, generamos la
  clave pulsando en icono clave y el usuario debe
  establecer una contraseña entre 4 y 8 caracteres,
  que deben conocer solo el y el Titular de la
  Farmacia (este deberá tener una lista con los
  identificadores y las contraseñas de cada usuario
  en lugar seguro). Una vez puesta la clave se
  pulsa Intro y se le da de nuevo a Añadir, para
  repetir la operación con otro nuevo usuario.
  Cuando se generen todas las identificaciones y
  claves de usuario se le da a Aceptar. Entre los
  usuarios no deben conocer las claves y hay que
  cambiarlas cada año.

16
Presentación Servicio Integral de Protección de
Datos Personales

• Programa de Gestión Compufarma. En el programa de
  Rentasoft, hay un video explicativo para generar
  las claves de usuario y el nivel de acceso a los
  ficheros, este se encuentra pulsando F1 (ayuda) -
  vamos al navegador y entramos en videos
  demostrativos - Usuarios control de acceso. Este
  programa permite definir el perfil del usuario en
  varios niveles. Verde (permite acceso completo) -
  Naranja (no permite modificaciones) - Rojo (no
  permite el acceso).
• Para el resto de programas hay que ponerse en
  contacto con el proveedor.

17
Presentación Servicio Integral de Protección de
Datos Personales

• La importancia del anexo B en el Documento.
• Todos los ficheros no son iguales, ni todos
  requieren de las mismas medidas de seguridad.
• Este anexo será el más dinámico de nuestro
  Documento de Seguridad, puesto que en el se
  detallan las medidas de seguridad específicas y
  la ubicación propia de cada fichero.

18
Presentación Servicio Integral de Protección de
Datos Personales

• Generalidades propias de los ficheros más comunes
  en la Farmacia.
• Clientes. Este fichero se suele encontrar en la
  Base de Datos del Programa de Gestión de la
  Oficina de Farmacia. Cuando se vaya a introducir
  a un nuevo cliente/paciente en la Base de datos
  tenemos la obligación de informarle. La LOPD no
  exige una forma determinada, admitiendo la
  información facilitada mediante un cartel
  anunciador.

19
Presentación Servicio Integral de Protección de
Datos Personales

• Curriculum. Fichero cuya finalidad es selección
  de personal. El tratamiento se puede realizar por
  medios automatizados (por ejemplo cuando lo
  recibimos a través del correo electrónico, para
  lo cual se aconseja abrir una carpeta en el
  propio correo electrónico) o bien manual cuando
  los recibimos en papel en la propia Farmacia. Uno
  de los problemas que puede surgir con este
  fichero es cuando la selección de personal lo
  hace un tercero. También plantea problemas la
  destrucción de los mismos. Se aconseja que las
  ofertas de trabajo se realicen a través de la
  Página Web del Colegio.

20
Presentación Servicio Integral de Protección de
Datos Personales

• Grupo Dietas, Seguimiento Farmacológico,
  Unidosis. En estos ficheros cuando se recaben los
  datos del paciente es imprescindible quedarse con
  la hoja de consentimiento informado del mismo.
  Son ficheros con datos de salud, por tanto con el
  nivel más alto de protección. Las hojas de
  consentimiento se deberán anexionar a la ficha
  del paciente, si el fichero no está automatizado.
• Formulas Magistrales y vacunas. El problema con
  este fichero puede surgir cuando la Formula viene
  a recogerla un tercero, en este caso se realiza
  una cesión de datos que puede no estar
  autorizada. Para salvar este problema hemos
  confeccionado unos comprobantes para retirar la
  medicación.

21
Presentación Servicio Integral de Protección de
Datos Personales

• Libro recetario y de estupefacientes. Se deberán
  guardar en lugar seguro y el tiempo necesario . 5
  años. Las hojas informatizadas no se deberán
  imprimir cerca del mostrador de dispensación y
  deberán ser retiradas de la bandeja de salida.
• Nominas. Es muy importante enviar el anexo
  contractual a la Gestoría. Los datos de los
  trabajadores deberán estar guardados en lugar
  seguro y bajo llave. Se recomienda que el acceso
  esté restringido a los trabajadores.

22
Presentación Servicio Integral de Protección de
Datos Personales

• Videovigilancia. Hay que colocar el cartel
  informativo. No deben recoger imágenes de la vía
  pública. Si existe acceso remoto hay que tener un
  anexo contractual de confidencialidad. Leer la
  recomendación que viene en el Documento de
  Seguridad sobre este asunto.

23
Presentación Servicio Integral de Protección de
Datos Personales

• Anexo C y D. Salvo el anexo C.1 (registro mensual
  accesos), se complementará con la visita a la
  Farmacia.
• Anexo E. El más importante es el E.3 Hay que
  rellenar el listado de usuarios, este se
  encuentra dividido entre Facultativos/Auxiliares/P
  rácticas/Otros.
• En el E.1 hay que poner el nombre del responsable
  de seguridad que puede ser el propio Titular, e
  indicar si hay algún tipo de autorización para un
  usuario en concreto.
• En el E.2 se indica la autorización para que
  puedan acceder usuarios no recogidos en E.3

24
Presentación Servicio Integral de Protección de
Datos Personales

• Anexo F. Entregar al personal de la Farmacia la
  parte que está indicada como Usuarios del Fichero
  y que firmen el anexo F.1. El personal de la
  Farmacia que no tenga acceso a los datos
  personales (ej. limpiadora), deben firmar el
  anexo F.3
• Anexo G. Se describen los procedimientos que hay
  que cumplir. Destacamos el procedimiento de
  desechos, es muy importante que ninguna
  documentación se encuentre fuera de la Farmacia
  por persona no autorizada, por tanto hay que
  tener cuidado al desechar esta documentación.

25
Presentación Servicio Integral de Protección de
Datos Personales

• Procedimiento de desechos. Hay que elaborar un
  procedimiento para desechar los documentos que
  contengan datos personales y los soportes
  informáticos que vayan a ser desechados.
  Opciones Maquina destructora contenedor/Papelera
  /Empresa Reciclaje/Formateo discos duros.
• Control de acceso a ficheros manuales. También
  debe quedar constancia de los accesos a los
  ficheros manuales, para ello utilizaremos el
  Anexo G.1

26
Presentación Servicio Integral de Protección de
Datos Personales

• Los controles periódicos.
• En el apartado 11 del Documento de Seguridad se
  describen los mismos.
• Al menos cada semana. Copia de Seguridad. Es muy
  importante realizar la copia de seguridad
  semanal/inventariarla y guardarla en lugar
  protegido y distinto a donde se encuentran los
  equipos informáticos.
• Al menos al mes. Información de control
  registrada.
• En Unycop 4 Mantenimiento-Operaciones-Control
  LOPD
• En Compufarma Sistema-Seguridad del
  Sistema-Gestión Auditorías.

27
Presentación Servicio Integral de Protección de
Datos Personales

• Al menos cada 3 meses. Revisión lista usuarios,
  entrada y salida de datos, incidencias.
• Al menos cada 6 meses. Revisión existencia copia
  respaldo, cambios en el software.
• Cada dos años. Auditoría.

28
(No Transcript)