Las farmacias, como entidades que gestionan datos de carácter personales de carácter sensible, deben cumplir estrictamente con la normativa de protección de datos. La Agencia Española de Protección de Datos (AEPD) ha sancionado a farmacias por diversas infracciones relacionadas con el tratamiento de estos datos. Por ejemplo, en diciembre de 2023, una farmacia fue multada con 10.000 euros por no destruir adecuadamente documentación con datos personales, como recetas médicas y métodos de pago, que fueron encontradas en un contenedor público.
El Reglamento General de Protección de Datos (RGPD) establece sanciones que varían según la gravedad de la infracción:
- Infracciones leves: hasta 40.000 euros.
- Infracciones graves: de 40.001 a 300.000 euros.
- Infracciones muy graves: de 300.001 euros a 20 millones de euros o el 4% de la facturación anual, lo que sea mayor.
Además, la AEPD ha impuesto sanciones por otras prácticas indebidas, como incluir a personas en grupos de WhatsApp sin su consentimiento, lo que puede resultar en multas de hasta 3.000 euros.
Para evitar estas sanciones, las farmacias deben implementar medidas técnicas y organizativas adecuadas, como la destrucción segura de documentos con datos personales y la obtención del consentimiento explícito de los pacientes para el tratamiento de sus datos. El incumplimiento de estas obligaciones puede resultar en sanciones económicas significativas y dañar la reputación de la farmacia.
En el presente articulo vamos a centrarnos en la resolución sancionadora de la AEPD, PS-00187-2025, en la cual se sanciona a una farmacia por recopilar datos personales y de salud de pacientes en un Excel sin informarles y sin adoptar las medidas de seguridad adecuadas:
Se inicia un procedimiento de inspección a la farmacia a raíz de una denuncia en la que se indica que la entidad almacena datos personales y de salud de pacientes en archivos Excel abiertos en ordenadores accesibles al público, sin medidas de seguridad adecuadas ni consentimiento informado, estos hechos se venían realizando en el momento en que el paciente deseaba que se procediese a la renovación de la medicación que tenía introducida en su tarjeta sanitaria del Sistema de Salud de la Comunidad de Castilla y León (Sacyl), pasando la tarjeta por el lector y a su vez teniendo abierto un archivo Excel, anotando y almacenando en dicho archivo la medicación que el paciente deseaba renovar junto a sus datos personales. Además, se retiraba medicación sin la presencia física del paciente ni la tarjeta sanitaria, accediendo a los datos mediante la extracción no autorizada de la banda magnética. Estos procedimientos vulneran el Reglamento General de Protección de Datos (RGPD), que exige el consentimiento informado del paciente y la implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad y confidencialidad de los datos personales.
A raíz de la denuncia, la AEPD solicita al denunciante las fotografías que alegaba tener sobre los hechos, aportando imágenes mostrando la ubicación de los ordenadores sobre los mostradores de venta al público, e imágenes de una de las hojas “Excel” a las que se refiere la denuncia.
A posteriori, por parte de la AEPD se realiza una inspección presencial en la farmacia para comprobar los hechos, del acta de esta inspección se desprende los siguiente:
- Existen datos desde el día 04/10/2023 hasta el 05/02/2024.
- Según consta en el informe de actuaciones elaborado los tipos de datos encontrados en estos archivos coinciden con los encontrados en los documentos aportados con la denuncia:
– Fecha
– Código de identificación personal autonómico del paciente (CIPA).
– Código de identificación del paciente en el Sistema Nacional de Salud (CIP).
– Nombre y apellidos de paciente.
– Nombre del centro de salud.
– Nombre y apellido del médico.
– Indicaciones para el médico (en la mayoría de los casos: “renovar”, seguido de
“medicación” o de nombres de medicamentos o productos sanitarios.
– En de los documentos aportados con la denuncia aparecen números de
teléfono.
– Notación de haber sido enviado
Asimismo, la titular de la oficina de farmacia explicó en la inspección que recopilaba datos personales y de salud de pacientes para facilitar la renovación de medicación sin que el paciente acudiera al centro de salud. Los datos se extraían automáticamente al leer la tarjeta sanitaria y se almacenaban en archivos Excel abiertos en ordenadores accesibles al público, sin medidas de seguridad adecuadas ni consentimiento informado. Además, la farmacia retiraba medicación sin la presencia física del paciente ni la tarjeta sanitaria, accediendo a los datos mediante la extracción no autorizada de la banda magnética. La titular también indicó que no proporcionaba información específica a los clientes sobre este tratamiento y que los empleados tenían acceso a los ordenadores sin protección mediante contraseñas.
A mayor abundamiento, por parte de la AEPD y ante los indicios de tratamientos irregulares de datos personales en centros de salud de Castilla y León, con fecha 27/02/2024, se realizó un requerimiento de información a las Gerencia Regional de Salud en relación con el tratamiento de datos personales llevado a cabo para la renovación de prescripciones.
En la primera respuesta a la AEPD, el Delegado de Protección de Datos (DPD) de Sacyl aportó documentación que describe el procedimiento de comunicación directa entre oficinas de farmacia y centros de salud para resolver incidencias en la receta electrónica. Este sistema, iniciado en 2016 en colaboración con el Colegio Oficial de Farmacéuticos de Valladolid, permite a las farmacias enviar incidencias por correo electrónico al centro de salud correspondiente, con el objetivo de resolver problemas como errores de posología o tratamientos innecesarios sin que el paciente deba acudir al centro de salud. Sin embargo, se especifica que este procedimiento no es válido para renovaciones de tratamientos ni para recuperar tratamientos cerrados, ya que el paciente debe acudir a consulta para su valoración individual. La documentación también incluye comunicaciones del Colegio Oficial de Farmacéuticos de Valladolid a sus colegiados sobre este procedimiento y una plantilla para la notificación de incidencias.
En la siguiente respuesta el DPD aportó documentación adicional. Un informe de Sacyl detalló que, tras la implantación de la receta electrónica en 2015-2016, se estableció un procedimiento de comunicación entre farmacias y centros de salud en Valladolid Este y Oeste para resolver incidencias sin necesidad de consulta presencial. Sin embargo, tras el requerimiento de la AEPD, se identificaron aspectos del procedimiento no acordes con la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Por ello, se acordó revisar el circuito de comunicación para asegurar el respeto al tratamiento de los datos personales y limitar su uso a las causas inicialmente definidas. Además, se aportó una respuesta de la Gerencia de Atención Primaria Valladolid Este, que reiteró los motivos del procedimiento y detalló el uso de una dirección de correo electrónico específica para la comunicación de incidencias.
Además, la Gerencia de Atención Primaria de Valladolid Oeste proporcionó un informe detallando el procedimiento de comunicación entre farmacias y centros de salud establecido en 2017. Este protocolo, acordado con el Colegio Oficial de Farmacéuticos de Valladolid, permitía resolver incidencias como la «ventana de dispensación cerrada» sin necesidad de que el paciente acudiera al centro de salud. Sin embargo, no estaba diseñado para solicitar renovaciones de tratamientos. El informe también incluyó 173 correos electrónicos enviados entre la farmacia investigada y los centros de salud entre octubre de 2023 y marzo de 2024, en los cuales se indicaba como incidencia «ventana de dispensación cerrada» y se solicitaba la renovación de medicación, lo que contraviene las directrices del protocolo.
Finalmente, el 29 de octubre de 2024, la AEPD solicitó información adicional a la Consejería de Sanidad de Castilla y León sobre el procedimiento de comunicación directa entre farmacias y centros de salud. En respuesta, el 15 de noviembre de 2024, el Servicio de Información y Prestación Farmacéutica en Atención Primaria informó que, tras la revisión realizada por las Gerencias de Atención Primaria de Valladolid Este y Oeste, se identificaron aspectos no conformes con la LOPDGDD. Como resultado, se decidió finalizar la vigencia del procedimiento de comunicación, que ya no está operativo para ninguno de los usos inicialmente previstos, incluyendo la renovación de prescripciones.
Por todo lo expuesto la AEPD determina los siguientes incumplimientos que llevan acarreadas las siguientes sanciones:
– Por la supuesta infracción del artículo 13 del RGPD, principio de información, multa administrativa de cuantía: 3.000,00 euros.
– Por la supuesta infracción del artículo 9 del RGPD, tratamiento de categorías especiales de datos, multa administrativa de cuantía: 10.000,00 euros.
– Por la supuesta infracción del artículo 32 del RGPD, seguridad del tratamiento, multa administrativa de cuantía: 3.000,00 euros.
La farmacia decide acogerse a las dos reducciones, por pago voluntario y asunción de los hechos, motivo por el cual la sanción final es de 9.600€, a mayores de la sanción se le impone que en el plazo de dos meses desde la resolución adopte las siguientes medidas:
Eliminar los ficheros “Excel” objeto de las presentes actuaciones. De no ser posible porque pudiera verse afectada la asistencia al paciente y titular de los datos personales registrados en dichos ficheros o cualquier otra circunstancia que justifique debidamente su conservación, deberá adoptar las medidas necesarias para asegurar la información, evitando que sea accedida indebidamente por terceros o personal no habilitado. De continuar el tratamiento, la farmaciadeberá ajustar su actuación a lo dispuesto en los artículos 13, 9 y 32 del RGPD, con el alcance expresado en el presente acto.
En resumen, las farmacias deben ser conscientes de la importancia de proteger los datos personales de sus pacientes y cumplir con la normativa vigente para evitar sanciones por parte de la AEPD, máxime cuando se trata de datos especialmente protegidos.
