El artículo 18.4 de la Constitución española establece que «la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos». El secreto profesional siempre ha sido tutelado por los farmacéuticos de oficina, y venía exigido por la Ley General de Sanidad y por el Código Penal, que en su artículo 199 tipifica como delito «revelar secretos ajenos de los que se tenga conocimiento por razón de oficio». La Ley del Medicamento, en su artículo 108, califica como falta grave «el incumplimiento por parte del personal sanitario del deber de garantizar la confidencialidad y la intimidad de los pacientes en la tramitación de las recetas y órdenes médicas». El artículo 109 de la misma Ley establece las sanciones procedentes a los que cometan infracciones en este ámbito.

El libro de estupefacientes y el recetario oficial exigen niveles de seguridad altos y deben ser dados de alta en la Agencia

de Protección de Datos

El secreto profesional del farmacéutico de oficina, además de por las disposiciones anteriores, también viene condicionado por el deber de garantizar la atención farmacéutica y el seguimiento farmacológico de los pacientes (Ley 16/97 de Regulación de Servicios de las Oficinas de Farmacia), lo que viene recogido para los farmacéuticos madrileños en la Ley Ordenación y Atención Farmacéutica de la Comunidad de Madrid, que en su artículo 17 indica que «con el consentimiento del paciente, el farmacéutico con oficina de farmacia, en función de su criterio técnico, podrá realizar perfiles farmacoterapéuticos que le permitan vigilar y controlar el uso individualizado de los medicamentos, para lo que dispondrá de fichas de paciente que cumplimentará mediante entrevista con el mismo». En las leyes de ordenación farmacéutica de las demás comunidades autónomas, salvo en las de Castilla y León, Canarias y Cantabria, hay formulaciones parecidas.

Antecedentes legislativos

Inicialmente se reguló el mandato constitucional por la Ley Orgánica 5/1992 de regulación del tratamiento automatizado de datos de carácter personal (LORTAD), que en su artículo 9 disponía la obligación del responsable de los ficheros de tal carácter de adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural. En el artículo 43.3h se establecía que mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen, constituye infracción grave en los términos previstos en la propia Ley.

Con posterioridad se promulgó la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales. En consecuencia, se promulgó la nueva Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPDCP), trasponiendo al derecho español lo establecido por la citada directiva.

Esta nueva ley orgánica no ha sido desarrollada aún reglamentariamente, por lo que, hasta que no lo sea, las medidas de seguridad serán las establecidas por el Real Decreto 994/1999 que, desarrollando la Ley Orgánica 5/1992, aprueba el reglamento de medidas de seguridad de los ficheros automatizados de carácter personal. Este decreto desarrolla las previsiones contenidas en los artículos 9 y 43.3h, de la Ley Orgánica de 1992, con carácter básico, pudiendo establecerse medidas especiales de seguridad para aquellos ficheros que exijan un grado de protección mayor.

Es interesante incluir aquí las definiciones dadas por el citado reglamento, y alguna otra dada por la Ley 15/99.

Sistemas de información

Conjunto de ficheros automatizados, programas, soportes y equipos empleados para el almacenamiento y tratamiento de datos de carácter personal.

Usuario

Sujeto o proceso autorizado para acceder a datos o recursos.

Recurso

Cualquier parte componente de un sistema de información.

Accesos autorizados

Autorizaciones concedidas a un usuario para la utilización de los diversos recursos.

Identificación

Procedimiento de reconocimiento de la identidad de un usuario, ya sea por un sistema de contraseñas o por uno de reconocimiento de características personales (biométrico).

Autenticación

Procedimiento de comprobación de la identidad de un usuario.

Control de acceso

Mecanismo que en función de la identificación ya autenticada permite acceder a datos o recursos.

Contraseña

Información confidencial, frecuentemente constituida por una cadena de caracteres, que puede ser usada en la autenticación de un usuario, y permite o deniega la entrada a los ficheros personales.

Incidencia

Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos.

Soporte

Objeto físico susceptible de ser tratado en un sistema de información y sobre el cual se puede grabar o recuperar datos.

Responsable de seguridad

Persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables.

Copia de respaldo

Copia de los datos de un fichero automatizado en un soporte que posibilite su recuperación.

Dato

Cualquier información concerniente a personas físicas identificadas o identificables.

Cifrado de datos

Herramienta criptográfica que cifra los contenidos de los ficheros y garantiza su confidencialidad.

Fichero

Conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Firma digital

Firma electrónica que garantiza la integridad de un documento e impide que los participantes renieguen de él.

Niveles de seguridad

La Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal, que ha renovado y actualizado la Ley de 1992, ha establecido tres niveles de seguridad dependiendo del carácter de la información a proteger:

­ Nivel de seguridad básico. Aplicable a todas las empresas con ficheros personales.

­ Nivel de seguridad medio. Obligatorio para la empresas que contengan datos que posibiliten una evaluación de la personalidad del individuo.

­ Nivel de seguridad alto. Necesario para las empresas con datos relativos a la ideología, religión, salud o vida sexual de las personas.

Cabe señalar que la LOPDCP no exige el consentimiento inequívoco del afectado cuando el tratamiento de los datos tenga como finalidad proteger un interés vital del interesado, si resulta necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos lo realice un profesional sujeto al secreto profesional u otra persona sujeta, asimismo, a una obligación equivalente de secreto. La comunicación de datos a un tercero se podrá hacer también cuando la cesión tenga por objeto datos relativos a la salud y sea necesaria para solucionar una urgencia.

Recientemente, el Consejo de Europa, en su Resolución ResAP 2001/2 de 11/05/01 del Consejo de Ministros denominada Concerning the pharmacist's role in the framework of health security, insta a los gobiernos de los Estados miembros a reconocer el papel del farmacéutico en relación con la seguridad sanitaria, y que, como expertos en medicamentos que son, ayuden a prevenir riesgos iatrogénicos evitables, es decir, todos aquellos derivados de la alteración del estado del paciente producida por el medicamento. El propio Consejo de Europa, en dicha resolución, sugiere el uso de fichas farmacéuticas que registren el historial del paciente, consumo de medicamentos, información clínica, resultados terapéuticos y biológicos disponibles, así como las recomendaciones dadas a los pacientes. Lo anterior exige un nivel de protección alto, y así ha sido establecido por la Ley Orgánica 15/1999, que ha clasificado los datos relativos a la salud en el nivel de seguridad alto.

De los cuatro tipos de ficheros que actualmente puede manejar el farmacéutico y que exigen medidas de seguridad, el de proveedores y trabajadores exige niveles de seguridad básicos. El libro de estupefacientes y el recetario oficial exigen niveles de seguridad altos y deben ser dados de alta en la Agencia de Protección de Datos. Es discutible que el recetario oficial deba incluirse en el nivel de seguridad alto, dado que no contiene datos de los enfermos, aunque sí de los médicos prescriptores.

Las empresas que tengan ficheros informatizados de carácter personal, como en el caso de las oficinas de farmacia, deben inscribirse y contar con la autorización previa de la Agencia de Protección de Datos, que dará una autorización tras la comprobación de que disponen de un nivel de seguridad alto. El modelo de notificación (fig. 1) ha sido regulado por Resolución de Agencia de Protección de Datos de 30 de mayo de 2000 (BOE de 27 de junio), por la que se aprueban los modelos normalizados en soporte papel, magnético y telemático a través de los cuales deberán efectuarse las solicitudes de inscripción en el Registro General de Protección de Datos. En la citada notificación hay que hacer constar quién es el responsable del fichero, su finalidad, tipo de datos que va a contener y si existe consentimiento expreso y escrito del paciente, siempre y cuando los datos que se registren no lo sean por mandato de la ley, en cuyo caso no será necesario. Igualmente, habrá que detallar las medidas de seguridad previstas con su correspondiente reglamento de seguridad. Hay que garantizar a los pacientes los derechos de acceso, rectificación, cancelación y oposición a sus propios datos, los cuales serán conservados únicamente mientras sean necesarios.

Fig. 1. Modelo de notificación de tratamiento de datos de carácter personal.

Sólo el 10% de las oficinas de farmacia está preparado para garantizar la protección de datos personales

En la misma página web de la Agencia de Protección de Datos (www.agenciaprotecciondatos.org) puede consultarse la legislación correspondiente; bajarse los programas de inscripción de ficheros de titularidad privada; consultarse las instrucciones para rellenar los formularios de acceso, rectificación, cancelación denuncia y reclamación, así como consultar las posibles infracciones y sanciones a ellas correspondientes, e incluso proceder a la inscripción telemática de los ficheros. Existe un programa de ayuda cuya última versión es del 19 de julio de 2001. Las oficinas de farmacia van incluidas en el código 851.

De acuerdo con lo establecido, las oficinas de farmacia deberán contar con la tecnología necesaria para garantizar una correcta custodia de los datos, evitar la posible fuga de información, así como la intromisión por parte de terceros. La medida afecta tanto a la información estática, localizada en una terminal concreta, como a la dinámica o que se transmite.

El 26 de junio de 2001 terminó el plazo para que las oficinas de farmacia, hospitales y compañías farmacéuticas adoptasen las medidas de seguridad necesarias para garantizar una correcta protección de los datos de los usuarios de los ficheros automatizados ya existentes con anterioridad al 26 de junio de 1999, fecha en que entró en vigor el Decreto 994/1999. El 25 de junio, el BOE publicó una resolución por la cual, dadas las dificultades de orden tecnológico encontradas para la implantación de medidas de seguridad de nivel alto, se ampliaba el plazo para éstas, en aquellos sistemas de información que se hallaban en funcionamiento con anterioridad a la entrada en vigor del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal, hasta el 26 de junio del 2002. Dicha ampliación de plazo no afecta a los nuevos ficheros creados con posterioridad al 26 de junio de 1999, ya que para crearlos es necesaria la autorización previa de la Agencia de Protección de Datos.

Según los expertos,la información sanitaria electrónica debería tener como mínimo dos requisitos: firma digital y cifrado

o encriptación de la información suministrada

En cuanto a los ficheros no automatizados, no es necesario registrarlos, aunque naturalmente el farmacéutico sí está obligado respecto a ellos, desde siempre, al secreto profesional

La Agencia de Protección de Datos ha manifestado que sólo abrirá expediente por denuncias o por detectar incumplimientos en el curso de una inspección. La Agencia ha indicado que tiene previsto poner en marcha con preferencia un Plan de Inspección en el ámbito hospitalario1.

Según la consultora PriceWaterhouseCoopers1, los médicos y farmacéuticos están mostrando hasta ahora cierta falta de sensibilización hacia este tema. Sólo el 10% de las oficinas de farmacia está preparado para garantizar la protección de datos personales. También señala que la implantación de las medidas obligadas puede suponer unos gastos de entre 1.202,02 y 12.020,24 euros por oficina de farmacia, según la situación en que ésta se encuentre.

Garantías y seguridad

Una de las medidas exigidas por la Ley 15/1999 es la de garantizar que sólo tendrá acceso al fichero su responsable, por lo que el farmacéutico deberá autobloquear la terminal, cuando no esté bajo su control. Según PriceWaterhouseCoopers «la situación ideal es cuando el ordenador con los datos personales no esté en el mostrador, sino en un lugar apartado».

Hay que hacer notar que la seguridad alcanza también a la transmisión electrónica de datos, por lo que éstos deben ser encriptados mediante un software específico. Incluso en la sustitución de un disco duro por otro, aunque sea por avería, debe estar garantizado que la empresa informática que lo repare o sustituya no pueda obtener del mismo datos confidenciales que deben estar protegidos.

Estas exigencias de protección de datos --y más en la perspectiva de la atención farmacéutica, de la receta electrónica y del comercio electrónico-- van a exigir de los farmacéuticos un particular esfuerzo para cumplirlas, formarse y adaptarse, por lo que van a precisar de la colaboración de técnicos informáticos capacitados, cuyo asesoramiento no va a ser precisamente barato.

Infracciones y multas

Las infracciones a la LOPDCP se sancionan con multas muy elevadas, ya que van de 601,1 a 60.101,21 euros si son faltas leves. De 60.101,21 a 300.506,05 euros si son graves y de 300.506,05 a 601.012,1 euros si son muy graves.

Receta electrónica

La atención farmacéutica, así como la simple dispensación de una especialidad farmacéutica con o sin receta electrónica, puede encontrar en Internet una ayuda muy importante. Pero si se quiere abordar el comercio electrónico, Internet se convierte en absolutamente imprescindible, si bien esto lleva aparejado quedar sometido a la obligación de proteger los datos obtenidos, lo cual será muy complejo y costoso.

El problema de la seguridad y confidencialidad de los datos se agrava y se complica entonces de manera extraordinaria, pues a las medidas de seguridad anteriormente indicadas se unen las que hay que adoptar en un medio que no se caracteriza precisamente por garantizar la confidencialidad y la seguridad. Además, a la seguridad de los datos personales habrá que agregar la de las transacciones económicas a que el comercio electrónico dé lugar.

Perspectivas de futuro

Hoy día todavía la mayoría de los farmacéuticos no están preocupados por la protección de los datos informáticos debido a que son muy pocos los que los tienen informatizados, pero esta situación está llamada a cambiar rápidamente --aun sin hacer atención farmacéutica-- en cuanto se implante con carácter general la receta electrónica, con su correspondiente historia farmacoterapéutica única para cada paciente. En ese momento, cualquier farmacéutico que quiera dispensar recetas de la Seguridad Social se verá abocado a la protección de datos y al control de accesos a la base de datos de la Seguridad Social, que incluso puede llegar a la exigencia por parte de este organismo (ya prevista por las disposiciones legales en la materia) de la utilización de procedimientos biométricos de acceso a dicha base, como reconocimiento de la cara, del iris, de la huella dactilar o de la forma y características de la mano, todo lo cual es hoy ya posible. Estos sistemas también podrían servir para que la Administración comprobase la presencia del farmacéutico titular en su oficina de farmacia, tal como es preceptivo legalmente.

Hay que señalar que la obligación de la protección de datos también afecta a las Administraciones públicas, aunque es de temer que éstas no cumplan totalmente sus propias leyes. A este respecto podemos decir que Juan Manuel Fernández López, presidente de la Agencia de Protección de Datos, en el curso de la presentación de la Memoria de la Agencia del año 2000, el 27 de julio de 2001, manifestó que dicho organismo había abierto expediente a 31 unidades de las Administraciones públicas por incumplimientos en esta materia. Conociendo la importancia económica y veces política de estos datos, es de temer que, a pesar de todos los mecanismos de protección de datos de la Administración, los registrados por ellas lleguen a conocimiento público (piénsese, por ejemplo, en la importancia que puede tener para una empresa de seguros conocer el estado de salud de un candidato a asegurarse).

El registro informático y la utilización de la información --no sólo sanitaria-- que se obtenga de los clientes en el día a día, y que puede tener un indudable interés para la gestión de stocks, programas de fidelización, marketing, etc., es muy dudoso que fuera autorizado por la Agencia de Protección de Datos.

Según los expertos, la información sanitaria electrónica debería tener como mínimo dos requisitos: firma digital y cifrado o encriptación de la información suministrada. El acceso al ordenador es la primera barrera de seguridad que se puede establecer. A juicio de Aniceto Pérez y Madrid2, la mejor fórmula es optar por la tarjeta con chip. Existen dos tipos: la de memoria y la criptográfica. La primera actúa como un disquete, es decir, almacena la información y, una vez introducida en el ordenador, la vuelca sobre el disco duro. Esto tiene el problema de que la memoria virtual del ordenador puede retener la clave pública de la firma digital y, aunque es un proceso complicado, la clave podría estar a disposición de alguien que buceara en el ordenador o de algún virus informático. La segunda tiene memoria y un procesador que, explicado en pocas palabras, se incorpora al hardware del ordenador, es decir, no deja salir la clave, con lo que se asegura aún más la confidencialidad de las transacciones.

La Comunidad Autónoma de Madrid ha elaborado un documento de seguridad para ficheros automatizados de datos de carácter personal con nivel de seguridad alto, que incluye instrucciones sobre la materia, detallando el objeto, ámbito de aplicación, recursos protegidos, funciones y obligaciones del personal, normas y procedimientos de seguridad, gestión de incidencias, gestión de soportes, entrada/salida de datos por red y telecomunicaciones, procedimientos de respaldo y recuperación, controles periódicos de verificación del cumplimiento, y una serie de anexos con documentos de notificación y de procedimiento.

Existe un sistema denominado Privatfarm (www.faus-moliner.com) que está diseñado especialmente para que el colectivo farmacéutico pueda cumplir sus obligaciones en esta materia, aunque en todo caso se recomienda consultar por Internet la página de la Agencia de Protección de Datos.