Este jueves se ha celebrado en la sede del Grupo PSN en Madrid la Jornada informativa sobre la aplicación práctica de la nueva Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales y el Reglamento Europeo de Protección de Datos

La bienvenida corrió a cargo de D. Miguel Carrero López, presidente del Grupo PSN que destacó la necesidad de una legislación en materia de protección de datos que pueda mantener el ritmo del avance vertiginoso de las nuevas tecnologías. Carrero destacó la creciente dificultad de asegurar la confidencialidad y la privacidad en un mundo en el que todos los aparatos que nos rodean están diseñados para recabar datos. El presidente del Grupo PSN se mostró satisfecho porque la nueva ley no se está demorando y está abordando ya los grandes retos que plantea la protección de datos en una sociedad hiperconectada.

La bienvenida la completó D. Cristóbal López de la Manzanara Cano, presidente de ADEFARMA, que definió la actual situación de la protección de datos en plena revolución tecnológica como una entropía social, un desorden, que los legisladores buscan revertir mediante las nuevas regulaciones; siempre con el fin último de proteger al ciudadano. López de la Manzanara Cano destacó la voluntad del colectivo farmacéutico de cumplir con las regulaciones, una labor en la que, según el presidente de ADEFARMA, destacan especialmente.

¿DPO o no DPO en la farmacia, esa es la cuestión? Rubí Navarrete, AEPD

Y llegó el turno de D. Jesús Rubí Navarrete Adjunto a la Dirección de la Agencia Española de Protección de Datos que, en una intervención muy esperada, arrojó luz sobre la figura del Delegado de Protección de Datos y la necesidad, o no, de su nombramiento por parte de las oficinas de farmacia.

Rubí comenzó su ponencia puntualizando que, en lo que se refiere a la aplicación del RGPD, no hay todavía respuestas concluyentes en muchos aspectos. «En todo lo relacionado con este ordenamiento, nada es ni blanco ni negro, normalmente está entre el gris perla y el gris marengo», declaró el adjunto a la dirección de la AEPD.

«En la farmacia el Delegado de Protección de Datos ¿Sí o no? Depende»


D. Jesús Rubí Navarrete

Depende de una serie de factores y de toda una metodología previa que se debe seguir. Rubí se refirió en repetidas ocasiones a la hoja de ruta que los responsables de tratamiento tienen que seguir y que será la que les ayude a dictaminar si realmente necesitan nombrar a un DPO.

Es especialmente importante elaborar un registro de actividades de tratamiento que permita saber las tipologías de tratamientos de datos que se hace en cada oficina de farmacia porque algunos serán comunes y otros no, dependiendo tanto de la categoría como del volumen de datos y las finalidades para las que se traten.

Esta debe ser el primer paso porque este análisis, que cada responsable debe llevar a cabo, será la base sobre la que se fundamente la decisión de nombrar o no un DPO.

Rubí mencionó la figura del DPO compartido como una de las posibilidades para el sector farmacéutico. «Una opción, que es siempre una opción, es que los colegios profesionales, si quieren, pueden tomar la iniciativa de que, ya que tienen que tener un DPO, que ese DPO colabore o ayude al cumplimiento de esa hoja de ruta con los colegiados».

A la hora de valorar el nombramiento de un DPO, las oficinas de farmacia tienen que analizar estas dos condiciones que se deben cumplir para que sea obligatorio:

  • Cuando las actividades principales del responsable del tratamiento o del procesador consisten en operaciones de tratamiento que exigen un control periódico y sistemático de los datos a gran escala;
  • Cuando las actividades principales del responsable del tratamiento o del procesador consisten en procesar a gran escala categorías especiales de datos o datos personales relativos a condenas y delitos penales.

Para Rubí, la clave de la ley está en lo que se entiende por «gran escala». Para empezar, hay que tener en cuenta el número de interesados afectados, tanto en número total como en porcentaje de una población ya que, aunque la cifra no sea muy alta puede representar una mayoría de un colectivo determinado. En segundo lugar, hay que tener en cuenta el volumen y la variedad de datos que dependerá de las actividades que lleve a cabo cada oficina de farmacia.

Una vez hecho el registro de actividades y de analizar su volumen y tipología, la oficina de farmacia deberá evaluar si es necesario el nombramiento de un DPO. A este respecto Rubí declaró que «aunque haya más de un farmacéutico, aunque haya varios colaboradores, se puede llegar a la conclusión de que no es obligatorio un Delegado de Protección de Datos».

Rubí aclaró que en lo que se refiere al DPO, existe «una enorme flexibilidad» pero hay que ser diligente y no caer en manos de consultorías de dudosa reputación que se ofrecen como DPO sin tener la capacidad para desempeñar esa función. «Si se opta por un consultor, se debe evaluar la calidad o el nivel de ese consultor», subrayó el adjunto a la dirección de la AEPD.

¿Han cambiado las categorías especiales de datos? Troncoso Reigada, Universidad de Cádiz

D. Antonio Troncoso Reigada, Catedrático de Derecho Constitucional de la Universidad de Cádiz y director de la Agencia de Protección de Datos de la Comunidad de Madrid de 2001 a 2010 fue el siguiente ponente de las jornadas.

La presentación de Troncoso tuvo como tema principal las categorías especiales de datos o lo que en la antigua LOPD se definía como datos especialmente protegidos. Estos datos que ya eran considerados de especial protección siguen siéndolo con el RGPD, explicó el catedrático. Sería el caso de la ideología, la religión, la raza, la salud, la vida sexual que se mantienen, pero con una definición un poco más amplia.

Pero el RGPD introduce novedades en cuanto a categorías especiales de datos. Estas novedades son los datos genéticos, los datos biométricos (que anteriormente era un dato simplemente personal). Troncoso puntualizó que lo que se entiende como datos de salud comprende también información sobre adicciones o discapacidades.

Troncoso habló del tratamiento de datos a menores que requiere de una mayor transparencia y de unas condiciones más exigentes para el consentimiento y también para lo que se puede considerar interés legítimo en el tratamiento de datos.

El RGPD establece que el tratamiento de estas tipologías de datos protegidos queda prohibido, algo que ya contemplaba la LOPD, salvo que se den varios supuestos.

Un supuesto sería el consentimiento por parte del interesado. El consentimiento tiene que ser explícito para manejar datos de especial protección.

Un segundo supuesto sería que ese tratamiento se dé en el marco del derecho laboral y de la seguridad social.

Y el tercer supuesto sería cuando se dé un interés vital de la persona ya que, en este caso, prima el interés vital de la persona.

Troncoso se refirió también específicamente a los supuestos de licitud en el tratamiento de datos que afectan más directamente al sector farmacéutico. Sería el caso del tratamiento de datos por razones de interés público, por razones de atención médico, salud pública e investigación sanitaria. En estos supuestos, recordó Troncoso, se pueden tratar datos incluso sin consentimiento porque «prevalece el derecho a la vida de la persona».

Diez puntos para el cumplimiento del RGPD; Serrano Fernández, PSN SERCON

La ponencia de D. Salvador Serrano Fernández, Responsable Área de Protección de Datos de PSN SERCON (GRUPO PSN) tuvo como objetivo servir de guía general para el cumplimiento del RGPD mediante la explicación de sus puntos clave, 10 en total.

Serrano Fernández recordó, respecto al DPO, que se deben clarificar las condiciones que se deben dar para su nombramiento y que deben ser las autoridades las que «marquen el camino».

El Responsable Área de Protección de Datos de PSN SERCON destacó a la proactividad como la filosofía que subyace del texto del nuevo reglamento europeo y que se da un cambio de un modelo reactivo a un modelo proactivo. «Europa quiere que pensemos qué problemas podemos tener de modo que podamos ser reactivos en nuestros tratamientos.» El análisis de riesgo y la evaluación de impacto son claves para este nuevo modelo, según Serrano Fernández.

Otro aspecto en el que hizo hincapié el tercer ponente fue en el fin de la inscripción de ficheros y su sustitución por el registro de actividad de los distintos tratamientos que se lleven a cabo que quedará a disposición de la Agencia Española de Protección de Datos en caso de que lo requiera, pero no hay que declararlo. La ampliación de los Derechos ARCO con el añadido de los derechos de Portabilidad, Olvido y Limitación de tratamiento también ocuparon un lugar destacado en la ponencia que cerró esta jornada.