La Agencia Española de Protección de Datos (AEPD) ha sancionado con 16.000 euros a la titular de una oficina de farmacia en Castilla y León por recopilar y almacenar datos personales y de salud de pacientes en archivos Excel sin cumplir con las obligaciones del Reglamento General de Protección de Datos (RGPD).
Contexto: renovación de medicación sin acudir al centro médico
La farmacéutica anotaba en hojas de cálculo los datos de pacientes que solicitaban la renovación de su medicación sin necesidad de acudir al centro de salud. Esta práctica, aunque buscaba facilitar el acceso a tratamientos, se realizaba sin informar adecuadamente a los pacientes ni implementar medidas de seguridad apropiadas para proteger sus datos personales.
⚖️ Infracciones detectadas
La AEPD identificó varias infracciones al RGPD:
- Falta de información a los pacientes: no se proporcionaba información sobre el tratamiento de sus datos personales, incumpliendo el artículo 13 del RGPD.
- Tratamiento de datos sensibles sin base legal: se procesaban datos de salud sin contar con una base jurídica válida, vulnerando el artículo 9 del RGPD.
- Medidas de seguridad inadecuadas: los archivos Excel con datos sensibles estaban almacenados en el escritorio de ordenadores accesibles al público y al personal, sin medidas de seguridad adecuadas, contraviniendo el artículo 32 del RGPD.
💶 Detalle de la sanción
La sanción total de 16.000 euros se desglosa en:
- 3.000 euros por la falta de información a los pacientes.
- 10.000 euros por el tratamiento ilícito de datos sensibles.
- 3.000 euros por no garantizar la seguridad de los datos.
🔍 Conclusión
Este caso subraya la importancia de que las entidades que manejan datos personales, especialmente sensibles como los de salud, cumplan estrictamente con las normativas de protección de datos. La digitalización de procesos debe ir acompañada de medidas que garanticen la privacidad y seguridad de la información de los ciudadanos.
