Por Ana Baeza, Account Executive en Greater Than One Europe.

Al sector farmacéutico también le influirá el nuevo Reglamento Europeo de Protección de Datos (RGPD), que se convierte en reglamento de obligado cumplimiento a partir del 25 de mayo de 2018.

En particular, afectará a los datos tratados de ciudadanos europeos, con independencia del lugar en el que esté establecida la empresa que trate dichos datos.

Las novedades más relacionadas con el sector farma son las siguientes:

• La figura del DPO (Data Protection Officer) será obligatoria en empresas con más de 250 empleados y especialmente en empresas que traten datos personales especialmente protegidos, como son los relacionados con la salud de los pacientes. Estos datos son especiales por poder afectar a los derechos fundamentales y de libertad del paciente y exigen un nivel de protección mayor (art. 7 LOPD)
• El DPO garantizará el cumplimiento del Reglamento, notificará sobre las violaciones de seguridad de la propia empresa y tramitará las autorizaciones requeridas.
• En el caso de datos de salud, por ser de tipo sensible, se exigirá una evaluación de impacto antes de empezar a tratar dichos datos.
• Se amplía la obligación del deber de informar. Se requiere consentimiento expreso o explícito por parte del paciente, al cual se informará de: la identidad del DPO, su derecho a reclamar ante la autoridad de control y el plazo en el que sus datos serán conservados.
• Regulación del derecho al olvido: rectificación o eliminación de sus datos personales.
• Se amplía la definición de “datos de salud” incluyéndose los datos biométricos y la genética de datos.
• Solo se permitirá tratar datos de salud para fines médicos de tipo preventivo, diagnóstico médico, prestación de asistencia sanitaria o cuestiones relacionadas con la salud pública.

Hasta ahora, los ficheros se inscribían en la AEPD (Agencia Española de Protección de Datos), donde eran revisados para después pedir una autorización que permitiese la transferencia internacional de datos. La nueva normativa establece el Principio de Responsabilidad o “Accountability”, que consiste en la presunción de que la responsabilidad de tomar las medidas que garanticen el cumplimiento de la normativa correspondiente recae en la entidad que recoge los datos personales. Es decir, recaería en la empresa farmacéutica.

Además de mantenerse los derechos de Acceso, Rectificación, Cancelación y Oposición (Derechos ARCO), el RGPD concede libertad a las empresas para que implanten las medidas que consideren necesarias para garantizar un alto nivel de seguridad.

La adaptación de las farmacéuticas a esta nueva normativa, con el apoyo de consultorías de protección de datos y expertos en LOPD, será necesaria para evitar las posibles sanciones derivadas del incumplimiento de la regulación. Estas sanciones pueden afectar a los responsables de las empresas y a los DPOs y su valor puede llegar a los 20 millones de € o al 4% de la facturación del ejercicio financiero anterior.

A nivel europeo, el reglamento busca integrar las legislaciones de cada país y dejará libertad en la regulación de algunos temas. De esta forma, los organismos legisladores de los diferentes países podrán extender las normas según consideren que sea oportuno con variaciones en cada actividad económica que se encuentre bajo su jurisdicción.

Sin duda, nos encontramos ante un reto para adaptarnos a la nueva norma, pero también ante la oportunidad de aumentar el grado de confianza con clientes y colaboradores, y de reducir la burocracia de nuestra empresa, pues deja de ser obligatorio que cada compañía inscriba sus ficheros, al desaparecer la Subdirección general de registro de ficheros.