La Agencia Española de Protección de Datos (AEPD) ha resuelto un procedimiento sancionador contra una farmacia imponiendo una sanción de 16.000 € (reducida a 9.600 € por pago voluntario y reconocimiento de responsabilidad).
Durante la inspección de la AEPD se constató que la farmacia:
- Guardaba en archivos de hojas de cálculo los datos de pacientes: nombre, CIP/CIPA, centro de salud, médico prescriptor, medicación e incluso anotaciones sobre renovaciones.
- Estos ficheros estaban en ordenadores situados en los mostradores, accesibles a todo el personal y sin medidas de seguridad adecuadas.
- Los datos se utilizaban para enviar correos electrónicos a los centros de salud solicitando renovaciones de recetas, incluso sin la presencia del paciente ni su consentimiento.
- No se facilitaba ninguna información a los pacientes sobre este tratamiento de datos por parte de la farmacia.
La AEPD consideró que se incumplieron varios preceptos del RGPD:
- Artículo 13: Falta de información a los interesados.
- Artículo 9: Tratamiento ilícito de categorías especiales (datos de salud).
- Artículo 32: Deficiencias graves en las medidas de seguridad aplicadas.
Este procedimiento recuerda varios puntos críticos para cualquier entidad que maneje datos sensibles:
- Los datos de salud requieren la máxima protección. Se trata de categorías especiales de datos que, como tal, tienen requisitos de tratamiento y garantías de seguridad reforzadas.
- La transparencia es obligatoria. Los titulares de los datos deben ser informados de forma clara y previa sobre qué datos se recogen y con qué finalidad se van a tratar dichos datos.
- Debe garantizarse la seguridad de los datos personales. El tratamiento y almacenamiento de archivos con datos sensibles en ordenadores de mostrador, accesibles a varias personas y sin controles, suponen una vulneración evidente del deber de proteger la confidencialidad.
La resolución completa puede consultarse en este enlace.
Redactado por Elena, a fecha 02 de septiembre de 2025.