A nadie le resulta ya indiferente o desconocido que algo está pasando en Europa con la protección de datos. Día tras día, recibimos una interminable lista de emails avisando de actualizaciones, nuevas políticas de privacidad y, ruegos y suplicas para que nos volvamos a suscribir a esa lista de correo.
Pero ¿sabemos realmente algo de qué va todo esto? Seguro que muchos todavía no. Por ese motivo y, dada la complejidad del tema, pero sobre todo, de las sanciones que acarrea su incumplimiento, vamos a resumir el tema para que todo el mundo lo entienda.
¿De qué va eso del RGPD?
Es un hecho de actualidad, como podemos comprobar casi a diario en los medios informativos, que el uso indiscriminado de nuestros datos está a la orden del día. Quizás, la gota que ha colmado el vaso, ha sido el robo de datos de Facebook por parte de la empresa Cambridge Analytics, que ha permitido salir elegido presidente a Donald Trump. Ahí es nada. Eso sí, todo esto no es algo actual, sino que el mal uso de nuestros datos viene de antaño. Esto, cada vez gusta menos entre la sociedad y Europa, más concretamente, la Unión Europea, ha decidido tomar cartas en el asunto y endurecer la legislación para proteger a los usuarios de estas violaciones de privacidad. Para ello, ha desarrollado lo que se conoce como RGPD o Reglamento General de Protección de Datos, que es una reglamentación común para todos los países miembros de la Unión Europea. No obstante, este reglamento no es nuevo, sino que llevar en vigor desde 2016. Sin embargo y, dada su complejidad, este ha tenido 2 años de margen para instaurarse, dando así a las empresas tiempo suficiente para adaptarse a los cambios.
A pesar de ello, como podemos comprobar día tras día, a las empresas, grandes, medianas y pequeñas, les ha cogido el toro. Algunas porque lo desconocían, otras porque lo han dejado para el último momento, y otras tantas porque han apurado hasta el final para ver si podían sacar ventaja de algún cambio de última hora. El caso, es que desde el 25 de mayo de 2018 es de obligado cumplimiento para todos y, aunque muchos son reticentes a cumplir correctamente el reglamento por las pérdidas económicas que les conlleva, las multas por no hacerlo son de largo mucho peores. Hasta 20.000.000 de euros o el 4% de la facturación anual, el valor que sea más alto. Debido a ello, vamos a ver qué tenemos que hacer para adaptarnos.
¿Qué cambia con el reglamento?
Principalmente son 2 aspectos principales, el consentimiento del usuario y el nivel de información.
En lo que respecta al consentimiento del usuario, este es quizás el tema más controvertido y, que más problemas está causando a las empresas por las pérdidas económicas que les ocasiona. ¿Cuál es el problema? Pues que el reglamento dice de forma expresa que para que nosotros podamos manejar los datos de un usuario, este nos ha tenido que dar su consentimiento voluntariamente y, de forma tácita. Es decir, que no vale asumir que quiere que los tengamos, o que los podemos tener si no nos dice lo contrario. En el caso de las páginas web de las farmacias, por ejemplo, para que el usuario se pueda registrar, es necesario que nuestro formulario disponga de una casilla que, SIEMPRE estando desmarcada desde el inicio, el usuario tiene que marcar voluntariamente para dar su consentimiento a que almacenemos los datos. Pero esto no acaba ahí. Para evitar que un tercero pueda usar nuestros datos y registrarnos en sitios que no queremos, una vez hecho el registro, debemos enviar un correo al usuario con un enlace de verificación a la dirección de email que ha registrado, de manera que si realmente se ha dado de alta, pueda confirmarlo otra vez. Este método se conoce como Double Opt in. Es por ese motivo, que recibimos a diario numerosos correos solicitando que nos volvamos a dar de alta otra vez. Hay que destacar, que si un usuario no se da de alta nuevamente según el reglamento antes del 25 de mayo, tenemos que borrar sus datos sin excepción, no podemos conservarlos y esperar eternamente.
Sin embargo, muchos habrán notado que también estamos recibiendo algunos correos diferentes, en los que simplemente se nos informa de que se han adaptado las políticas de privacidad de la empresa y un enlace para que las podamos leer. Esto se debe, en parte, a que según el nuevo reglamento, nuestra política de privacidad tiene que ofrecer una mayor información al usuario, como para qué vamos a utilizar sus datos, quién es el responsable de guardar esos datos, si hay terceros que los usan, cuánto tiempo los vamos a tener, etc. Ahora bien, para aquellas empresas que en el pasado hicieron una recolección de datos acorde a lo que dicta el reglamento, este tipo de correos es suficiente. Sin embargo, existen muchas empresas que, para evitar perder suscriptores de su base de datos, que por pereza o por omisión no vuelvan a darse de alta, están adoptando este tipo de prácticas para hacer el apaño. Para el que se lo esté pensando, se trata de una práctica ilegal, con una multa que sólo las grandes multinacionales pueden permitirse.
Por otro lado, el otro aspecto principal que debemos tener en cuenta es el informativo. Además de actualizar nuestra política de privacidad y ponerla en un lugar bien visible, también tenemos que adaptar esa información en nuestra farmacia, colocando carteles que el usuario pueda ver para así, poner en su consentimiento que tiene ciertos derechos que puede reclamar, como es el caso de los derechos ARCO, que comprenden Acceso a los datos que tenemos, Rectificación de los mismos si el usuario lo considera necesario, Cancelación de los mismos si el usuario ya no quiere que los tengamos u, oposición directa a que los almacenemos. Además, hay que destacar que con el nuevo reglamento, Cancelación pasa a ser Supresión y, dentro de este, se engloba el derecho al olvido, que es básicamente y enfocado para empresas como Facebook o Google, que borremos todos sus datos.
Aparecen también derechos nuevos, como el derecho de portabilidad de los datos, por el cual el usuario nos puede exigir sus datos de forma gratuita, simple y legible, para llevárselos a otro sitio, como por ejemplo, otra farmacia, y el derecho de información, por el cual estamos obligados a notificar de forma expresa a nuestros clientes que estamos recogiendo datos, para qué los queremos, etc.
Por último, vamos a destacar la aparición de una nueva figura en escena de la que se está hablando mucho, el Delegado de Protección de Datos o DPO. El Delegado de Protección de datos, no es más que una persona que se encarga de velar porque todo esto se cumpla y evitar que haya brechas de seguridad, ya que ahora los responsables de tratamiento de datos tienen muchas más obligaciones y necesitan un control sobre los datos de los pacientes mucho más exhaustivo, incluyendo cuando se ceden a un tercero en calidad de encargado de tratamiento de datos, como pueda ser por ejemplo un servicio de transporte intermediario. En este último caso, sobre todo si se hace a través de algún colegio, es importante verificar quién firma como encargado de tratamiento de datos cuando se realiza ese transporte de datos, para, si es el caso, poder depurar responsabilidades.
Además, en caso de que haya alguna brecha de seguridad, hay que notificarlo al organismo competente y, dependiendo de los datos a los que se haya tenido acceso, también al propio usuario. Pues bien, dicho Delegado de Protección de Datos se encarga de velar por todas estas cosas. En el caso de la farmacia, de momento no es obligatorio tenerlo, pero si aconsejable, ya que son muchos aspectos a tener en cuenta de forma rutinaria. Si bien es cierto que ya hay muchas empresas y colegios farmacéuticos que ofrecen el servicio, también podemos nombrar como tal a un miembro del personal de nuestra farmacia para que vele por este servicio. En cualquier caso, lo importante es tenerlo todo bajo control.
Estos, son los aspectos más importantes que debemos tener en cuenta en nuestra farmacia para cumplir el nuevo reglamento. ¿Y usted? ¿Ya se ha adaptado?