BIFAR 146

con ocasión de la contratación un servicio concreto. En ambos casos, el consentimien to debe recabarse previa información al paciente del motivo, alcance y duración del tratamiento de sus datos y de los derechos que le asisten. (Nada que no aparezca en cualquiera de los formularios para recabar datos de los pacientes que se ofrecen por las distintas aplicaciones que se emplean para prestar este tipo de servicios, comenzando por NODOFARMA ASISTENCIAL del Consejo General de Colegios Oficiales de Farmacéu ticos de España). Recabar este consenti miento de una forma correcta y fehaciente, es decir, de manera que se pueda acreditar qué y cómo se recabó, es un requisito sine qua non para tratar los datos de los pacien tes de forma legal. El tratamiento de datos de pacientes sin contar con la legitimación necesaria (bien legal, bien por el consentimiento otorga do) constituye, en primer lugar, una infrac ción administrativa que puede sancionar la Agencia Española de Protección de Datos. Pero, además, y en según qué circunstan cias, puede constituir un delito de descubri miento y/o revelación de secretos en alguna de sus múltiples variantes tipificadas en los artículos 197 y siguientes del Código Pe nal. Es decir, una misma actuación, puede constituir una infracción administrativa y un delito, por existir una concurrencia norma tiva, siendo de aplicación preferente en su reprensión el Derecho Penal, y su sanción como delito. Las infracciones administrativas de la nor mativa de protección de datos pueden co meterse de forma dolosa (queriendo el re sultado de la acción) o de forma culposa o imprudente (cuando no se ha realzado lo que se debía para evitar su comisión, cuan do no se ha actuado con la diligencia debi da). En cambio, los delitos tipificados en el epígrafe de descubrimiento y revelación de secretos del Código Penal son dolosos, es decir, requieren que concurra la intención de cometerlos. Y esta diferenciación tiene una especial relevancia en un tipo de accio nes que se realizan, en muchas ocasiones, mediante el empleo de medios técnicos, no siempre fáciles de utilizar correctamente. La deficiencia en el control y manejo del dis positivo (programa informático, ordenador, etc.) por desconocimiento, falta de forma ción o dejación, puede posibilitar que una acción no sea perseguida como delito, pero no evitará que pueda ser sancionada admi nistrativamente. Por poner ejemplos que ayuden comprender la diferenciación:

deben– conservarse durante los periodos determinados legalmente. Era la época en la que se tenía un conocimiento personal y directo de los pacientes y sus antecedentes se “llevaban en la cabeza”. Esa época ha quedado superada: por el de sarrollo de la informática que ha dotado de potentes programas de gestión a las ofici nas de farmacia; por la implantación de la receta electrónica (pública y privada); y por el desarrollo de los Servicios Profesionales Farmacéuticos Asistenciales, que requieren el tratamiento de una cantidad creciente de datos personales y sanitarios de los pacien tes a quienes se les prestan. Las fuentes que legitiman el tratamiento de datos personales se pueden reconducir a dos: o la ley (en sentido amplio, una norma jurídica) o el consentimiento del paciente. Según el servicio que se preste desde la ofi cina de farmacia, la legitimación debe prove nir de una u otra fuente. Los tratamientos de datos de los pacientes que se realizan para dispensación de recetas del Sistema Nacional de Salud no precisan su consentimiento, por decretarlo así el art. 80.8 del Texto Refundido de la Ley de Garan tías y Uso racional de los Medicamentos y Productos Sanitarios, es decir, se basan en la ley. Sin necesidad de recabar el consen timiento del paciente, la oficina de farmacia puede tratar los datos de los pacientes ne cesarios para la dispensación, facturación y cobro de las recetas del Sistema Nacional de Salud. Una vez realizada la dispensación, salvo que se cuente con un consentimiento expreso del paciente, la oficina de farmacia no puede conservar ni el Código de Identi ficación del Paciente (ni Autonómico ni Na cional) ni el nombre y el DNI, excepto en los supuestos en los que la dispensación deba inscribirse en el libro recetario, para lo que encontraría legitimación, también en la ley. Los tratamientos de datos de pacientes que se llevan a cabo para cumplir con las obli gaciones de farmacovigilancia, cosmetovi gilancia o vigilancia de productos sanitarios a las que están sujetas los profesionales sanitarios, entre los que se encuentran los farmacéuticos, también están exentos del consentimiento del paciente, es decir, se ba san en la ley. Para todos los demás supuestos de tra tamiento de datos de los pacientes que se puedan realizar en la oficina de farmacia, la legitimación hay que buscarla en el consen timiento del paciente, un consentimiento que puede manifestarse de forma independien te a la prestación de un servicio concreto o

Las fuentes que legitiman el tratamiento de datos personales se pueden reconducir a dos: o la ley (en sentido amplio, una norma jurídica) o el consentimiento del paciente

30

BIFAR