Sesión de Videoformación para aplicar las medidas de

Seguridad en materia de Protección de Datos

Personales

Servicio Integral de Protección de Datos del Real e Ilustre Colegio

Oficial de Farmacéuticos de Sevilla

¿A que se aplica la LOPD?

• Es aplicable a todos los datos de carácter personal que se registren en un soporte físico, es decir tanto en papel como informatizado y que los haga susceptiblessusceptibles de tratamiento y uso posterior.

• Si se recogen y tratan el nombre, los apellidos, la dirección postal, la huella digital,.....se están usando datos que identifican a una persona.

• No se incluyen los datos de empresas ni de profesionales cuando actúan en representación de la empresa.

¿Donde se contienen estos datos personales?

• Se contienen en ficheros, que es un conjunto organizado de datos, que permite el acceso con arreglo a criterios determinados. Tres tipos:

• Fichero Manual Fichero Mixto Fichero Automatizado

Principios de la Protección de Datos

• Solo recoger los datos necesarios.• Informar y obtener el consentimiento cuando sea

necesario.• Por un profesional sanitario.• Evitar que un tercero no autorizado pueda

acceder a los datos.• Los datos no se pueden ceder, salvo que lo

disponga una Ley o bien para la prestación de un servicio. (Asesoría Laboral). Precaución en la recogida de datos por tercero.

• Respeto a los derechos ARCO de los ciudadanos.

Medidas de Seguridad más relevantes

• Control de acceso físico. No podrán acceder a las dependencias donde se encuentran los ficheros las personas no autorizadas. Mostrador de dispensación.

• Identificación y autentificación de TODOS los usuarios. Es obligatorio establecer contraseñas de acceso a los ficheros informatizados y debe quedar constancia de los accesos.

Medidas de Seguridad más relevantes

• Copias de seguridad. Solo para ficheros informatizados. Hay que hacer copia semanal de respaldo de los archivos informatizados al menos una vez a la semana en soporte externo. Hay que guardarla en lugar seguro y diferenciado a donde se encuentran los equipos informáticos.

• Instalación de programas sin autorización. Se recomienda no instalar programas peer to peer ( Emule, Ares,....)

Medidas de Seguridad más relevantes

• Procedimiento de desechos Hay que elaborar un procedimiento para desechar los documentos que contengan datos personales y los soportes informáticos que vayan a ser desechados. Opciones: Maquina destructora; contenedor/Papelera;/Empresa Reciclaje/Formateo discos duros.

• NO TIRAR SINO DESTRUIRNO TIRAR SINO DESTRUIR

• Es una de las medidas de seguridad que han dado lugar a mayor número de sanciones.

Medidas de Seguridad más relevantes

• Especial atención a las cámaras de Videovigilancia. Hay que notificar su existencia a la AEPD y colocar en las puertas de acceso el cartel informativo. Es uno de los ficheros de los que el ciudadano solicita más información.

• Cámaras de distinto tipo.• Hay que conservar las imágenes como

máximo un mes.• Tiene que existir copia de respaldo.

Otras medidas de seguridad.

• Datos personales que se reciben a través de correo electrónico. Organizarlos y conservarlos en el propio gestor de correo.

• Las impresoras no deben estar dentro del campo de visión de los clientes, se recomienda no estén cerca del mostrador y que no se dejen documentos en la bandeja de entrada.

• Ficheros no automatizados. Seguir un criterio para su almacenamiento.

• Si se tienen Armarios o cajoneras con llave. Se recomienda se usen para proteger los ficheros manuales.

Tipo de sanciones. La responsabilidad recae sobre el Titular de la

Farmacia.

Tipo de sanción Euros Pesetas

Leve Multa 601,01 a 60,101 De 100.000 a 10.000.000

Grave Multa 60.101 a 300.506 De 10.000.000 a50.000.000

Muy Grave Multa 300.506 a 601.012 De 50.000.000 a100.000.000

DOCUMENTO DE SEGURIDAD

DEFINICIÓN: Recoge las medidas técnicas y organizativas de obligado cumplimiento para el personal con acceso a los datos de carácter personal.ESTRUCTURA: Consta de siete partes.

MEDIDAS DE SEGURIDAD

Medidas de seguridad que debe ir aplicando.

DOCUMENTO DE SEGURIDADConsta de siete partes:1.- Guía básica de seguridad: su finalidad es facilitar la interpretación del Documento de Seguridad.2.- Guía de actuación para la implantación de las principales medidas de seguridad.3.- Documento de Seguridad: recoge las medidas a aplicar para proteger los datos de carácter personal.4.- Anexos: refleja las características específicas de su Oficina de Farmacia. Es la parte más dinámica del documento.5.- Documentación complementaria: contiene modelos y formularios que pueden ser útil para cumplir sus obligaciones como responsable de los datos de carácter personal.6.- Legislación y recomendaciones.7.- Libros de documentación: en esta bloque se guarda parte de la documentación que ha de conservarse.

MEDIDAS DE SEGURIDAD

DEBE COLOCAR:

1.- CARTEL INFORMATIVO:Informa a los pacientes del tratamiento de datos.Colocarlo en un lugar visible para los pacientes, en la zona de dispensación. Se encuentra en “Documentación Complementaria”.

2.- CARTEL ZONA VIDEOVIGILANCIA:Siempre que tengan instaladas cámaras, graben o no graben. Colocarlo en lugar visible, preferentemente en la entrada.Un cartel por cada puerta de acceso a su Oficina de Farmacia.Lo recibirá si ha solicitado la inscripción del fichero.

MEDIDAS DE SEGURIDAD

ANEXOS BLos anexos B se cumplimentan según las particularidades de su Farmacia.

1.- Anexo contractual de confidencialidad. Anexo B8.•Enviar a la Gestoría laboral.•Enviar a la Asesoría fiscal, si le facilita datos personales de sus trabajadores.•Finalidad: las gestorías apliquen las medidas de seguridad correspondiente.•Firmar y sellar por la/s gestoría/s.

ANEXO CONTRACTUAL DE CONFIDENCIALIDAD

El presente anexo tiene por objeto fijar los términos relativos al tratamiento de datos de larelación contractual existente, de acuerdo con el artículo 12 de la Ley Orgánica 15/1999de Protección de Datos, entre las siguientes partes:

De una parte, ___________________________________________________, conCIF/NIF __________________, y domicilio social en_______________________________________________________________, localidadCP_________, en adelante Responsable del fichero;Y de otra, _____________________________________________________, con CIF/NIF______________________, y domicilio social en_____________________________________________________, localidadCP________, en adelante Encargado del tratamiento.

Ambas partes, en cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, deProtección de Datos de Carácter Personal, y el Real Decreto 1720/2007, de 21 dediciembre, por el que se aprueba el Reglamento de desarrollo de esta Ley, establecen lassiguientes

ESTIPULACIONES

- Tanto el Encargado del tratamiento como el Responsable del fichero están obligados aguardar secreto profesional y confidencialidad de la información tratada, aún despuésde finalizar sus relaciones, tal como establece el artículo 10 de la referenciada Ley.

- Tal como refleja el artículo 12.2 de la Ley, el Encargado del tratamiento implementarálas mismas medidas de seguridad a los datos personales que el Responsable delfichero, en atención al artículo 9 de la citada Ley Orgánica.

- El Encargado del tratamiento tratará únicamente los datos conforme a lasinstrucciones del Responsable del fichero y a la finalidad de la relación contractual,según el artículo 12.2 de la Ley Orgánica.

- Una vez cumplida la prestación contractual, el Encargado del tratamiento devolverálos datos de carácter personal al Responsable del fichero, así como cualquier soporteo documentos en que conste algún dato de carácter personal objeto del tratamiento.(artículo 12.3 LO 15/1999)

- No es posible subcontratar con un tercero por parte del Encargado del tratamiento, larealización de ningún tratamiento que le hubiera encomendado el Responsable delfichero, salvo que hubiera obtenido autorización. (artículo 21 Reglamento)

En el caso de que el encargado del tratamiento destine los datos a otra finalidad, loscomunique o los utilice incumpliendo las estipulaciones del presente documento, seráconsiderado también responsable del tratamiento, respondiendo de las infracciones enque hubiera incurrido personalmente.

Responsable del Fichero Encargado del tratamientoFirma y fecha Firma y fecha

MEDIDAS DE SEGURIDAD

ANEXO D2Autorización para los Administradores del Sistema.•Enviar a la empresa de mantenimiento de su Programa de Gestión. •Finalidad: autorizarla a acceder a los recursos necesarios contenidos en los Programas de Gestión.•Firmar y sellar por la empresa.

Anexo D.2 para Administradores del Sistema. (Enviar a la Empresa deMantenimiento que gestiona y mantiene el Programa de Gestión de Farmacias).

En virtud del contrato de mantenimiento establecido entre la Oficina deFarmacia y la Empresa firmante se establece:

Que, mediante autorización previa y puntual del Titular de la Farmacia o delResponsable de Seguridad de la misma, la Empresa firmante estaráautorizada para acceder a los Recursos necesarios contenidos en el Programade Gestión o en el Sistema Operativo con la finalidad de dar cumplimiento alContrato establecido entre ambos.

La empresa firmante se compromete a tratar dicha informaciónexclusivamente para los fines necesarios y a aplicar las medidas de seguridadnecesarias, dentro de sus potestades, para salvaguardar la confidencialidadde los datos personales que se tratan en la Oficina de Farmacia.Expresamente, se prohibe la incorporación de los datos en sistemas osoportes distintos de los del Responsable del Fichero.

Esta autorización tendrá vigencia desde la fecha de la firma del contrato deMantenimiento y hasta la expiración del mismo.

Sevilla, de de 20

Firmado por parte de la Oficina deFarmacia.

Firmado y sellado por parte de laEmpresa encargada del

Mantenimiento de los sistemasinformáticos.

MEDIDAS DE SEGURIDAD

ANEXO D3 Listado de usuarios•Relaciona al personal que tiene acceso a su Oficina de Farmacia.•Identificación: nombre y apellidos, cargo, perfil (según programa de gestión) fechas de alta y baja del personal.•Clasificación del personal: Facultativo, Auxiliar...

 

PERSONAL FACULTATIVO

Nombre y apellidos Cargo Perfil deacceso

Fecha alta Fechabaja

MEDIDAS DE SEGURIDAD

ANEXO E •Documento: recoge las funciones y obligaciones de su personal en materia de protección de datos. •El titular debe facilitar dicho documento a sus empleados para que estén informados de sus obligaciones. •El personal debe firmar la recepción del documento a través:Anexo E1Trabajadores con acceso autorizado a datos personales.Anexo E2Otras personas con acceso a la Oficina de Farmacia pero no autorizados. (Personal limpieza)

ANEXO E.1

Nombre del Trabajador o Usuario:

Comunico que he recibido la información oportuna sobre mis funciones y

obligaciones como usuario de los ficheros que tratan datos personales de la

Oficina de Farmacia de ____________________________________________.

Me comprometo a tratar dicha información exclusivamente para los fines

necesarios y a aplicar las medidas necesarias para salvaguardar la

confidencialidad de los datos personales que se traten en la Oficina de

Farmacia.

Asimismo, manifiesto que he sido informado de las posibles repercusiones que

tendrá el incumplimiento de mis obligaciones como usuario de los ficheros con

datos de carácter Personal.

Firma y fecha.

MEDIDAS DE SEGURIDADANEXO F1.

Procedimiento identificación y autentificación de todos los usuarios. •Es obligatorio establecer contraseñas de acceso a los ficheros informatizados. •Si tiene algún problema, consulte con la empresa del Programa de Gestión. •El personal debe identificarse a través de: nombre usuario + Contraseña.•La contraseña de cada usuario sólo puede conocerla: él mismo y el titular.•El titular debe elaborar y proteger un Listado con las contraseñas de todos los usuarios. (Modelo en “Documentación complementaria”)

!Muchas gracias por su atención!

Servicio Integral de Protección de Datos. Colegio Oficial de Farmacéuticos de Sevilla

954 97 96 00