Utilizamos cookies propias y de terceros para mejorar nuestros servicios, analizando sus preferencias y hábitos de navegación podemos ofrecerle una mejor experiencia online. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información sobre la política de cookies pulsando aquí
Cancelar
Aceptar
audifarma
iso9001
jueves, 27 abril 2017
LinkedIn
Zona Clientes Soporte remoto
Inicio
audifarma.es
¿Es suficiente con estar adaptados a la LOPD?

En quince años de consultora especializada en LOPD puedo decir que he realizado, en colaboración con todo el equipo que formamos el departamento de LOPD de Audifarma, la adaptación a esta Ley y el tratamiento de datos de más de mil quinientas farmacias y otras entidades, analizando las particularidades de cada una de ellas, para que la adaptación sea la adecuada y personalizada para cada caso.

No obstante, inmediatamente nos dimos cuenta que lo más importante es que ese trabajo de adaptación no caiga en saco roto y se convierta al cabo de unos años, meses, e incluso semanas, en un montón de papeles obsoletos archivados en una carpeta, aunque es cierto que resulta fundamental redactar una adecuada documentación que cubra todas las exigencias de la Ley, así como una correcta y completa inscripción de ficheros ante el Registro de la Agencia de Protección de Datos.

En cada una de las conversaciones con nuestros clientes, ponemos énfasis en la importancia de mantener actualizados en todo momento la documentación y los ficheros inscritos ante la Agencia de Protección de Datos, no sólo porque así lo exige el Reglamento de Medidas de Seguridad, sino porque ante una inspección de nada nos sirve que hace años contratáramos un servicio de adaptación a la LOPD si no reflejamos en ella los cambios acontecidos en nuestra empresa durante estos años, ni los cambios legislativos que se puedan haber dado en la seguridad en el tratamiento de datos personales, dependiendo del sector al que pertenezcamos.

Además, debemos tener toda la documentación preparada a disposición de la inspección, como por ejemplo las auditorias bienales correspondientes, los acuerdos de confidencialidad firmados con todos los empleados, o los contratos de seguridad de acceso a datos por cuenta de terceros, los consentimientos informados firmados por los afectados, etc.

En el caso de tratar datos considerados de nivel alto de protección, como son los datos de salud y pacientes, se debe restringir el acceso no autorizado a los mismos mediante contraseñas, en el caso de que el tratamiento se realice informatizadamente, o conservando la documentación en papel en algún lugar restringido mediante algún sistema de cierre de seguridad, cerrado bajo llave o similar.

Pongamos un ejemplo práctico, ¿en qué situación estaría una farmacia a la que le realizamos una adaptación inicial LOPD en el año 2002 y no ha “vuelto a abrir la carpeta”? Pues bien, después de doce años esa adaptación no sirve para nada. Se debían haber realizado auditorías cada dos años, haber modificado la documentación y los ficheros conforme al nuevo Reglamento que entró en vigor en el año 2008. Se debía haber actualizado conforme a las novedades que afectan a la oficina de farmacia, como el copago sanitario, la receta electrónica, etc. Y también se debía haber reflejado cambios ocurridos en la farmacia como altas y bajas de empleados, sustitución de equipos informáticos, soportes de copias de seguridad, instalación de cámaras de seguridad, incidencias de equipos informáticos, entre otros muchos que con toda probabilidad se han producido a lo largo de los años. Por tanto, si nos pillasen en una inspección estaríamos expuestos a sanciones de hasta 600.000€.

En definitiva, no vale sólo con haber adaptado a la LOPD nuestras documentaciones. Resulta imprescindible el mantenimiento y actualización de la adaptación a la LOPD de todas aquellas empresas, entidades o profesionales que traten datos de carácter personal, y más cuando los datos tratados corresponden a un nivel alto de protección, como las farmacias, con un protocolo personalizado y en el que se reflejen todas las medidas de seguridad que debemos adoptar, así como el mantenimiento de los documentos necesarios a disposición de una posible inspección.


Verónica García Doytalaguerra
Responsable del Servicio LOPD de Audifarma
 
 
El encargado de tratamiento en el Nuevo Reglamento de Protección de Datos

encargado-tratameinto-nuevo-reglamento


Entre las novedades que introduce el Nuevo Reglamento Europeo de Protección de Datos, cabe destacar que se establecen expresamente obligaciones al encargado de tratamiento, cuando la LOPD únicamente hacía una breve mención a esta figura.

La AEPD ha publicado una serie de Guías de Trabajo para ayudar a comprender y aplicar el RGPD, entre ellas una en la que se recogen las Directrices para la Elaboración de Contratos entre Responsables y Encargados de Tratamiento.  Este documento identifica los puntos clave a tener en cuenta en el momento de establecer la relación entre el responsable y el encargado de tratamiento, las cuestiones que afectan a la relación entre ambos, y orienta en la redacción del documento que regule dicha relación.

A continuación resumimos los puntos clave de esta cuestión, con la información con que contamos actualmente, ya que está previsto que se publiquen otras guías de trabajo, así como un primer borrador de anteproyecto de modificación de la LOPD, que previsiblemente debe estar listo en este mismo mes de marzo, con el objetivo de que el Parlamento haya aprobado la modificación de la Ley en mayo de 2018, fecha en que el reglamento europeo será ya de aplicación directa.

En primer lugar, es fundamental definir que el encargado de tratamiento es aquél que presta un servicio al responsable, y que conlleva el tratamiento de datos personales por cuenta de éste. El encargado puede realizar todos aquéllos tratamientos, automatizados o no, que el responsable del tratamiento le haya encomendado formalmente y, además, puede adoptar todas las decisiones organizativas y operacionales necesarias para la prestación del servicio que tenga contratado. No obstante, en ningún momento puede varias las finalidades y los usos de los datos, y evidentemente no los puede utilizar para sus propias finalidades. Asimismo, las decisiones que adopte deben respetar en todo caso las instrucciones dadas por el responsable del tratamiento.

El responsable del tratamiento debe asegurar que el encargado que elija para la prestación del servicio ofrece las garantías suficientes respecto a la implantación y el mantenimiento de las medidas técnicas y organizativas apropiadas. Debe contar con los conocimientos especializados requeridos y proporcionar fiabilidad y recursos acordes con los exigibles. El RGPD prevé que para demostrar estas garantías, el encargado de tratamiento podrá acogerse a Códigos de Conducta o acceder a Sistemas de Certificación.

Los tipos de encargado de tratamiento son tan variados como los tipos de servicios, pudiendo tener como objeto  principal el tratamiento de datos personales, como pueden ser los informáticos o el proveedor de servidor remoto, o únicamente como consecuencia de la actividad que presta por cuenta del responsable del tratamiento, como por ejemplo la asesoría laboral.

La guía publicada por la AEPD anexa una serie de clausulas tipo para la redacción del contrato entre el responsable y el encargado de tratamiento, determinando además el contenido mínimo que debe incluir: Las Instrucciones del Responsable del Tratamiento; El Deber de Confidencialidad; Las Medidas de Seguridad; El Régimen de la Subcontratación; Los Derechos de los Interesados; La Colaboración en el cumplimiento de las Obligaciones del Responsable; El Destino de los Datos al finalizar la Prestación; La Colaboración con el Responsable para demostrar el Cumplimiento.

Con todo ello, y una vez definidos los aspectos que se acuerden en la modificación de la Ley, informaremos puntualmente a nuestros clientes, y realizaremos las modificaciones en la documentación que sean pertinentes, en base a las nuevas exigencias.

Verónica García Doylataguerra
Responsable departamento jurídico Audifarma 

 
Nuevo reglamento de protección de datos.

nuevo-reglamento-lopd-audifarma-web


Tal y como ya les informábamos el pasado mes de junio, tras la entrada en vigor del Nuevo Reglamento General de Protección de Datos, si bien éste no será aplicable hasta mayo de 2018, las Autoridades y las propias entidades afectadas debemos ir preparándonos y adaptándonos a las obligaciones que la norma requiere.

Además, como ya adelantábamos, desde Audifarma estamos dedicando los recursos necesarios para que nuestros clientes cumplan con aquéllas exigencias que les afecten.

La Agencia de Protección de Datos tiene previsto presentar el primer borrador del anteproyecto de modificación de la LOPD el próximo mes de marzo, a fin de que se realicen las modificaciones oportunas para que en mayo de 2018 esté aprobada la modificación de la Ley, cuando el Reglamento Europeo sea de aplicación directa.

Desde Audifarma, estamos puntualmente actualizados de las novedades al respecto, por lo que nuestros clientes deben estar totalmente tranquilos, pues iremos adecuando su adaptación a las obligaciones requeridas y les pautaremos con las novedades que les afecten y las responsabilidades y actuaciones que deban asumir en cumplimiento de la nueva norma.

 
Todo lo que debes saber sobre la plusvalía municipal

ARTICULO-PLUSVALA-MUNICIPAL

Su verdadero nombre es Impuesto sobre el Incremento del Valor de los Terrenos de Naturaleza Urbana, es local puesto que lo gestiona el Ayuntamiento de cada municipio, el objeto del impuesto es gravar el incremento que se obtenga por el contribuyente cuando se realice la transmisión de terrenos urbanos. Es objetivo, es decir, no se tienen en cuenta las circunstancias personales del sujeto pasivo para el cálculo del mismo, es instantáneo y no periódico se devenga en el momento de la transmisión. Requiere de la aprobación por parte de cada Ayuntamiento de una Ordenanza municipal que lo regule y por último sólo afecta a terrenos urbanos y no a los rústicos.


El impuesto hasta la fecha se calcula de la siguiente manera:

Base Imponible: para su cálculo se aplica al valor catastral unos coeficientes en función del número de años desde la última transmisión con un máximo de 20.

Tipo de Gravamen: lo fija cada Ayuntamiento sin que dicho tipo pueda exceder del 30%.

Con esta forma de calcular el impuesto el problema está en que incluso vendiendo a pérdidas un inmueble habría que pagar la plusvalía municipal  y en el entorno económico actual, tras el estallido de la burbuja inmobiliaria, hay muchos inmuebles que se han vendido por un precio muy por debajo de lo que costaron a sus propietarios y aún así los Ayuntamientos siguen reclamando la plusvalía municipal pese a haber obtenido pérdidas en la operación.

Pues bien esta situación se viene reclamando desde hace mucho en vías Administrativas y Judiciales, y parece que por fin el Tribunal Constitucional va a poner coherencia a este asunto, pues el pasado 16 de febrero de 2017 dictó una sentencia a través de la cual declara incorrecta la forma de calcular el impuesto en el caso de inmuebles transmitidos con pérdidas. Dicha sentencia del alto tribunal ha declarado inconstitucional varios artículos de la norma foral en Guipúzcoa al entender que va en contra del principio de capacidad económica tributar por el impuesto cuando la venta se ha producido sin beneficios o con pérdidas. La sentencia se apoya en el artículo 31.1 de la Constitución Española y reitera “en ningún caso podrá el legislador establecer un tributo tomando en consideración actos o hechos que no sean exponentes de una riqueza real o potencial”. Lo que cabe esperar tras esta sentencia que se refiere al régimen foral, son otras similares para el resto de la normativa estatal, puesto que los artículos que se consideran inconstitucionales son los mismos en ambas normativas.

Por ello desde nuestro despacho, recomendamos revisar todas las operaciones inmobiliarias realizadas durante los últimos cuatro años para ver si se pagó alguna plusvalía municipal en la transmisión de algún inmueble con pérdidas  o sin beneficio, en cuyo caso la recomendación es presentar un escrito de solicitud de ingresos indebidos junto con una rectificación de autoliquidación aportando pruebas suficientes para justificar la pérdida en la operación utilizando los argumentos de la sentencia arriba mencionada.

Si quiere ampliar información sobre este tema o cualquier otro relacionado con sus impuestos, no dude en ponerse en contacto con nosotros.

Eduardo Marín Agulló

Responsable asesoría fiscal de Audifarma.

 
El Valor de las Copias de Seguridad

Como consultores de LOPD nos encontramos a diario con multitud de cuestiones relacionadas con las copias de seguridad de las bases de datos de las farmacias con las que trabajamos. Muchas de ellas tienen programadas la realización de varias copias de seguridad diarias en sus equipos informáticos. En realidad, la LOPD establece que se ha de realizar una copia de respaldo al menos una vez a la semana, salvo si desde la última copia no se hubieran realizado cambios, algo improbable en una botica.

Aún así, esto no es suficiente para las empresas sanitarias, en términos de seguridad de datos, porque al manejar datos de salud se han de aplicar las medidas de seguridad correspondientes a un nivel alto de protección. Aquí se establece que se ha de conservar una copia de respaldo “en un lugar diferente de aquél en el que se encuentren los equipos informáticos que los tratan”. Es decir, que debemos realizar una copia, al menos una vez a la semana, en un soporte externo al ordenador y desconectarlo del mismo una vez realizada, guardándola en la farmacia o fuera de ella.

El almacenamiento de estos soportes dentro de la farmacia tendrá que ser en un lugar protegido con sistema de seguridad, como puede ser una caja fuerte, un cajón cerrado bajo llave, etc. Si además queremos proteger esa copia de catástrofes como pueda ser un incendio o una inundación, podemos conservar la copia en un lugar fuera del local de la farmacia, por ejemplo en su domicilio particular. Pero para ello es obligatorio dejar siempre constancia en el “Registro de Salida” y “Registro de Entrada” de soportes, a fin de que nunca perdamos el control y la ubicación de los datos.

Existen otras alternativas que no supongan estar preocupándonos de realizar la copia, guardarla bajo llave, llevárnosla a casa, volverla a traer, etc. Podemos realizar copias remotas a través de un proveedor externo que nos realice backups en sus servidores. A veces estos proveedores nos ofrecen un alojamiento web y otras un software donde guardar las copias. Sea cual sea el medio, siempre debemos asegurarnos que cumplimos con las medidas de seguridad tanto para la protección de nuestros datos como con las exigencias documentales que establece la LOPD, como que debemos firmar con el proveedor un contrato de encargado de tratamiento.

El cifrado de datos es otra de las medidas de seguridad que exige la LOPD respecto a las copias de seguridad. Su finalidad es que la información sea ininteligible y no pueda ser manipulada durante su transporte, de forma que sólo accedan a la información las personas autorizadas para ello. Por eso también debemos tenerlo en cuenta en cualquiera de los procedimientos que elijamos para realizar las copias externas.

Además es necesario que los procedimientos de copias que establezcamos garanticen la recuperación de los datos, finalidad esencial de la realización de copias de seguridad.

A esto se une que debemos revisar periódicamente que el sistema establecido de procedimiento de copias está funcionando correctamente, ya que podemos encontrarnos con que necesitemos restaurar una copia y que nos resulte imposible porque está dañada o mal realizada. En este sentido, la LOPD establece que esta revisión se ha de realizar al menos semestralmente. Y en caso de que se recuperen datos, debemos reflejarlo en el “Registro de Incidencias”.

Por todo ello, resulta indispensable la realización de copias de seguridad de nuestros ficheros, no sólo porque lo exija la LOPD, sino porque están destinadas a proteger uno de los más preciados valores de toda empresa, como es la bases de datos con la que trabajamos diariamente. Así, por su gran valor es fundamental que la protejamos bien, ya que podemos correr riesgos innecesarios si no se aplican las medidas de seguridad adecuadas.

Si usted desea que su base de datos esté correctamente protegida, al tiempo que evite cualquier riesgo de sanción por incumplimiento de las obligaciones de la Ley de Protección de Datos Personales (LOPD), pregunte a nuestros consultores del servicio LOPD para no correr ningún riesgo. 


Verónica García Doylataguerra
Responsable del Servicio de LOPD de Audifarma
 

 
<< Inicio < Prev 1 2 3 4 5 6 7 8 9 10 Próximo > Fin >>

Página 1 de 45