«Facilita RGPD»: la nueva herramienta de la AEPD
Desde julio de 2015, fecha en que entró en vigor la regulación sobre la venta de productos farmacéuticos sin prescripción médica en España (Real Decreto 870/2013, de 8 de noviembre, por la que se regula la venta a distancia al público, a través de sitios web, de medicamentos de uso humano no sujetos a prescripción médica), la oferta de dichos fármacos en línea ha aumentado de forma considerable. Con el auge de esta práctica y la aplicación del Reglamento General de Protección de Datos europeo (RGPD en adelante) a la vuelta de la esquina, parece muy recomendable prestar atención a las principales obligaciones que se imponen a las empresas mediante el RGPD para poder ofrecer servicios, entre otros, de e-commerce. Para conseguir este objetivo, la Agencia Española de Protección de Datos (AEPD en adelante) ha publicado «Facilita RGPD», una herramienta web de apoyo dirigida a los responsables de datos personales. Para el desarrollo de la herramienta ha contado con la colaboración de CEOE y CEPYME, como asociaciones empresariales que muestran una especial sensibilidad en relación con las necesidades de aquellas entidades cuyos tratamientos de datos personales son muy limitados o no entrañan un riesgo relevante («de escaso riesgo») para los derechos fundamentales de los ciudadanos.
El mecanismo es gratuito y fácil de utilizar, pues requiere simplemente cumplimentar una serie de preguntas para lograr una primera aproximación al cumplimiento del contenido jurídico del RGPD y ocupa un máximo de 20 minutos su realización. El cuestionario está dirigido a conocer qué medidas deberá implementar una empresa para adaptarse a las nuevas reglas del juego en materia de protección de datos y el mismo se divide en cuatro bloques en los que se solicita información de la organización del usuario.
Una vez cumplimentado el cuestionario, la herramienta automáticamente genera los documentos recomendados personalizados que, en principio, asegurarían el cumplimiento del RGPD (así como cláusulas informativas, cláusulas contractuales, o medidas de seguridad).
Las preguntas presentadas están diseñadas para validar aquellos modelos de negocio o actividades que, por su naturaleza, aparentemente no requieren de un análisis pormenorizado de flujos de datos personales por parte de un experto legal. De este modo, cuando, según la herramienta, se pueda concluir que los datos personales procesados por las entidades no representan un riesgo relevante, la herramienta permite obtener a la entidad aquellos documentos mínimos indispensables para facilitar el cumplimiento del RGPD.
No obstante, conviene enfatizar que los documentos generados automáticamente por la herramienta «Facilita RGPD» tienen un carácter básico o fundamental y que su objetivo primordial es dotar a las entidades de un punto de partida en el proceso de cumplimiento progresivo del contenido del RGPD dado que no excluyen completamente la necesidad de que la empresa u organización precise generar documentos (o contratos) adicionales o complementarios a los mismos o que las entidades deban también adoptar para el pleno cumplimiento del RGPD otra serie de medidas de carácter tecnológico u organizativo.
Como ya se ha expresado, este instrumento está pensado para empresas que tratan exclusivamente con datos de riesgo escaso. De modo que, dando una lista para nada exhaustiva y a modo de ejemplo, quedan excluidas las organizaciones de las cuales se puedan extraer datos de índole religiosa, que revelen opiniones políticas, origen étnico o social, datos genéticos o biométricos sensibles, salud física o mental, orientación sexual, infracciones penales o administrativas cometidas, o datos de geo-localización.
«Facilita RGPD» representa una herramienta más promovida por la Agencia para facilitar el cumplimiento del nuevo Reglamento, como el Esquema de Certificación de Delegados de Protección de Datos presentado el pasado julio. Así mismo, también supone una novedad destacable en la actuación habitual de las autoridades nacionales de los Estados miembros. La Agencia Española de Protección de Datos ha sido la primera autoridad nacional que ha lanzado una herramienta de estas características.
Una vez presentada la herramienta que ofrece la Agencia Española de Protección de Datos, ¿cuál va a ser el impacto real de esta herramienta en el sector farmacéutico? Para responder a esta pregunta, se deben tener en cuenta los tratamientos de datos que una oficina de farmacia puede potencialmente llegar a realizar en sus actividades diarias. En el caso de que se trate de una oficina de farmacia que emplee el canal en línea para la administración de medicamentos sin prescripción médica, a los tratamientos de datos típicos de este tipo negocios –datos sobre el consumo de medicamentos que en muchas ocasiones pueden revelarnos información sobre la salud o vida sexual del paciente– se añadirían tratamientos de datos de navegación, correo electrónico, o el domicilio para la entrega, o incluso tratamientos que pudieran llegar a ser encuadrados en la elaboración de perfiles sobre los pacientes.
A simple vista, la herramienta misma podría tener un uso potencialmente limitado para el sector sanitario. Si una firma se encuentra englobada en dicho sector, tratará datos sobre salud física o mental que pueden llegar a permitir la identificación de una persona, o realiza actividades de gestión, control sanitario o venta de medicamentos por lo que no cumplirá con los requisitos para seguir el cuestionario, ya que éste exige que los datos tratados por el responsable sean «de escaso riesgo».
Por todo ello, a falta de que la AEPD pueda establecer otro mecanismo para orientar a las organizaciones con un tratamiento de datos de mayor riesgo, de momento el recurso idóneo para dicha finalidad seguiría siendo la realización de un análisis detallado sobre los flujos de datos por parte de un experto legal especializado.
