La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha impuesto una sanción de 16.000 € a un establecimiento farmacéutico, como consecuencia del incumplimiento del Reglamento General de Protección de Datos (en adelante, “RGPD”), en la medida en que trataba datos personales (incluidos datos de salud) sin informar debidamente a los pacientes, sin garantías suficientes de seguridad, y sin cumplir las condiciones que permiten tratar categorías especiales de datos.
La AEPD recibió una denuncia en la que se informaba que un establecimiento farmacéutico, ubicado en Castilla y León, recogía datos personales (incluidos datos de salud) de pacientes que solicitaban la renovación de medicación, anotándolos en archivos Excel locales. Los ficheros incluían nombre y apellidos, datos de contacto, información del médico y centro de salud, y medicamentos solicitados.
La recogida de datos por parte del establecimiento farmacéutico se efectuaba sin informar a los pacientes y sin medidas de seguridad adecuadas. Asimismo, la farmacia hacía uso de los datos personales para enviar solicitudes por correo electrónico a centros de salud, sin informar sobre dicha circunstancia a los pacientes.
La AEPD argumenta su sanción sobre los siguientes extremos:
- Falta de información: La farmacia no proporcionaba a las personas interesadas ninguna información sobre el tratamiento de sus datos, vulnerando el principio de transparencia. El hecho de que el paciente pudiera “ver la pantalla” no sustituye la obligación formal de informar sobre finalidades del tratamiento, responsables, derechos en materia de protección de datos, etc.
- Tratamiento de datos de salud sin base de licitud: Los datos tratados por la farmacia tienen la consideración de categoría especial de datos (datos médicos, medicamentos, prescripciones), y la farmacia no los trató en virtud de ninguna base de licitud adecuada.
- Falta de medidas de seguridad: La farmacia almacenó los datos personales en ficheros Excel sin cifrar ni medidas técnicas adecuadas. Los mismos estaban accesibles para todos los empleados mediante una única contraseña, y alojados en ordenadores ubicados en mostradores de atención al público.
Por todo lo anterior, la AEPD termina imponiendo a la organización infractora una multa de 16.000 €.
