BIFAR 146

deben– conservarse durante los periodos determinados legalmente. Era la época en la que se tenía un conocimiento personal y directo de los pacientes y sus antecedentes se “llevaban en la cabeza”. Esa época ha quedado superada: por el desarrollo de la informática que ha dotado de potentes programas de gestión a las oficinas de farmacia; por la implantación de la receta electrónica (pública y privada); y por el desarrollo de los Servicios Profesionales Farmacéuticos Asistenciales, que requieren el tratamiento de una cantidad creciente de datos personales y sanitarios de los pacientes a quienes se les prestan. Las fuentes que legitiman el tratamiento de datos personales se pueden reconducir a dos: o la ley (en sentido amplio, una norma jurídica) o el consentimiento del paciente. Según el servicio que se preste desde la oficina de farmacia, la legitimación debe provenir de una u otra fuente. Los tratamientos de datos de los pacientes que se realizan para dispensación de recetas del Sistema Nacional de Salud no precisan su consentimiento, por decretarlo así el art. 80.8 del Texto Refundido de la Ley de Garantías y Uso racional de los Medicamentos y Productos Sanitarios, es decir, se basan en la ley. Sin necesidad de recabar el consentimiento del paciente, la oficina de farmacia puede tratar los datos de los pacientes necesarios para la dispensación, facturación y cobro de las recetas del Sistema Nacional de Salud. Una vez realizada la dispensación, salvo que se cuente con un consentimiento expreso del paciente, la oficina de farmacia no puede conservar ni el Código de Identificación del Paciente (ni Autonómico ni Nacional) ni el nombre y el DNI, excepto en los supuestos en los que la dispensación deba inscribirse en el libro recetario, para lo que encontraría legitimación, también en la ley. Los tratamientos de datos de pacientes que se llevan a cabo para cumplir con las obligaciones de farmacovigilancia, cosmetovigilancia o vigilancia de productos sanitarios a las que están sujetas los profesionales sanitarios, entre los que se encuentran los farmacéuticos, también están exentos del consentimiento del paciente, es decir, se basan en la ley. Para todos los demás supuestos de tratamiento de datos de los pacientes que se puedan realizar en la oficina de farmacia, la legitimación hay que buscarla en el consentimiento del paciente, un consentimiento que puede manifestarse de forma independiente a la prestación de un servicio concreto o con ocasión de la contratación un servicio concreto. En ambos casos, el consentimiento debe recabarse previa información al paciente del motivo, alcance y duración del tratamiento de sus datos y de los derechos que le asisten. (Nada que no aparezca en cualquiera de los formularios para recabar datos de los pacientes que se ofrecen por las distintas aplicaciones que se emplean para prestar este tipo de servicios, comenzando por NODOFARMA ASISTENCIAL del Consejo General de Colegios Oficiales de Farmacéuticos de España). Recabar este consentimiento de una forma correcta y fehaciente, es decir, de manera que se pueda acreditar qué y cómo se recabó, es un requisito sine qua non para tratar los datos de los pacientes de forma legal. El tratamiento de datos de pacientes sin contar con la legitimación necesaria (bien legal, bien por el consentimiento otorgado) constituye, en primer lugar, una infracción administrativa que puede sancionar la Agencia Española de Protección de Datos. Pero, además, y en según qué circunstancias, puede constituir un delito de descubrimiento y/o revelación de secretos en alguna de sus múltiples variantes tipificadas en los artículos 197 y siguientes del Código Penal. Es decir, una misma actuación, puede constituir una infracción administrativa y un delito, por existir una concurrencia normativa, siendo de aplicación preferente en su reprensión el Derecho Penal, y su sanción como delito. Las infracciones administrativas de la normativa de protección de datos pueden cometerse de forma dolosa (queriendo el resultado de la acción) o de forma culposa o imprudente (cuando no se ha realzado lo que se debía para evitar su comisión, cuando no se ha actuado con la diligencia debida). En cambio, los delitos tipificados en el epígrafe de descubrimiento y revelación de secretos del Código Penal son dolosos, es decir, requieren que concurra la intención de cometerlos. Y esta diferenciación tiene una especial relevancia en un tipo de acciones que se realizan, en muchas ocasiones, mediante el empleo de medios técnicos, no siempre fáciles de utilizar correctamente. La deficiencia en el control y manejo del dispositivo (programa informático, ordenador, etc.) por desconocimiento, falta de formación o dejación, puede posibilitar que una acción no sea perseguida como delito, pero no evitará que pueda ser sancionada administrativamente. Por poner ejemplos que ayuden comprender la diferenciación: Las fuentes que legitiman el tratamiento de datos personales se pueden reconducir a dos: o la ley (en sentido amplio, una norma jurídica) o el consentimiento del paciente 30 BIFAR

RkJQdWJsaXNoZXIy OTMyNTQ=