Multa de 16.000 euros a una farmacéutica que recopilaba los datos personales y relativos a la salud de los pacientes en un ‘Excel’

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 16.000 euros a la titular de una oficina de farmacia de una localidad de Castilla y León por recopilar los datos personales, incluidos datos relativos a la salud, de muchos de los clientes que acudían al establecimiento.

La farmacéutica recopilaba esos datos cuando los pacientes deseaban que se les renovase la medicación que tenían prescrita sin necesidad de que los mismos tuvieran que acudir a los centros de salud para lograrlo. Y ello sin informar a los clientes del tratamiento que hacía con sus datos personales, ni contar con las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo de sus tratamientos de datos personales.

Con este modus operandi​, consistente en anotar y almacenar en un documento Excel —es decir, en una base de datos personal propia—, la medicación que los paciente querían renovar junto a sus datos personal, la titular del establecimiento vulneró varios artículos del Reglamento General de Protección de Datos.

La resolución sancionadora (disponible en el botón ‘descargar resolución’) llega a raíz de que la Agencia tuviera conocimiento de tales hechos tras una denuncia formulada informando de dicha práctica irregular.

(Imagen: E&J)

Algunos pacientes tenían dificultades para obtener los medicamentos

Tras recibir la Agencia Española de Protección de Datos la citada denuncia avisando de que la titular de la farmacia recopilaba esos datos sin garantías de protección ni consentimiento informado, los inspectores de la AEPD consultaron al respecto a la Consejería de Sanidad de Castilla y León y a la Gerencia Regional de Salud.

Estas entidades informaron que, tras la implantación del sistema de Receta Electrónica en 2015/2016, se identificaron algunas dificultades en la obtención de medicamentos por parte de los pacientes, razón por la cual en 2017 algunas Gerencias de Atención Primaria de Valladolid implantaron un procedimiento que permitía a las oficinas de farmacia comunicar a los médicos de los centros de salud posibles incidencias asociadas a la prescripción de medicamentos.

Dicho procedimiento —requerido a las oficinas de farmacia con la colaboración del Colegio Oficial de Farmacéuticos de Valladolid— contemplaba la comunicación entre estos establecimientos y los centros de salud a través de correo electrónico; siendo necesario que la oficina de farmacia cumplimentara y remitiera un formulario al buzón de gestión del centro de salud mediante correo electrónico para que fuera trasladado al médico o enfermera del paciente en función del tipo de incidencia.

Según consta en la resolución, ese formulario se diseñó para que fuera cumplimentado con los datos de la farmacia, nombre del centro de salud, médico prescriptor, CIP/CIPA del paciente, tipo de incidencia, medicamentos afectados y datos de contacto de la farmacia. Asimismo, las oficinas farmacéuticas debían describir en el documento las incidencias que podían resolverse por esa vía y se advertía de que dicho procedimiento no era válido para renovaciones ni para tratamientos cerrados.

No obstante, a pesar de que se trataba de un uso no previsto inicialmente, este sistema de comunicación se utilizó también para la renovación de medicamentos.

Este procedimiento estuvo llevándose a cabo en las áreas de Valladolid hasta que la Inspección de la AEPD, a raíz del presente caso, requiriera información al respecto; es decir, desde el año 2018 hasta el año 2024.

(Imagen: E&J)

La farmacéutica recopilaba los datos de los clientes en una base personal

Asimismo, los servicios de Inspección de la AEPD se personaron en la oficina de farmacia investigada, recabando documentación de los ordenadores que había en el establecimiento. Dicha documentación recabada incluía 173 correos enviados por la titular de la oficina a centros de salud, la mayor parte de los cuales comunicaba como incidencia la renovación de medicación.

Por otra parte, la AEDP comprobó que los datos utilizados para realizar aquellas comunicaciones a los centros de salud fueron recopilados por la farmacéutica en una base de datos personales propia, al margen del sistema de receta electrónica del sistema de Castilla y León, integrada por los ficheros en formato Excel. En estos archivos la actora anotaba y conservaba la información contenida en los formularios remitidos a los centros de salud, a los que añadía los datos personales relativos a nombre, apellidos del paciente/cliente, además de una notación sobre el envío del correo electrónico.

Además, esos archivos de Excel estaban alojados en el “escritorio” de los ordenadores empleados en la oficina de farmacia, ubicados en los mostradores de venta al público, sin que el responsable hubiese previsto la realización copias de seguridad ni su almacenamiento en otro lugar. A ellos podían acceder no solo la actora, también todos los empleados del establecimiento solo con introducir la contraseña que protege el ordenador, conocida por todos ellos.

Para el registro de estos datos en sus ficheros, la titular de la oficina de farmacia dispuso un procedimiento automatizado que permitía la recogida de la información al pasar la tarjeta sanitaria del paciente por el lector magnético, incorporando de forma manual el medicamento y los datos del médico y centro de salud, que aparecen impresos en la tarjeta sanitaria.

La investigación realizada por la AEPD permitió constatar que los datos personales registrados eran utilizados por la actora para otras finalidades propias, concretamente para poder registrar la dispensación del medicamento en el módulo de receta electrónica del sistema sanitario de Castilla y León sin que el paciente se encontrase presente en la oficina de farmacia, “en caso de error en la comunicación, tiempo excedido, error en el ordenador, etc.”.

A ello se sumó el hecho de que la titular de la oficina de la farmacia reconoció a los servicios de la Inspección de la AEPD que no proporcionaba a sus clientes información alguna en materia de protección de datos respecto de los tratamientos descritos, añadiendo la actora en su defensa que, el cliente “tiene acceso visual en todo momento a la pantalla del ordenador para ver lo que se está haciendo”.

(Imagen: E&J)

16.000 euros de multa por incumplir varias obligaciones del RGPD

Los hechos descritos evidencian que la titular de la oficina de farmacia vulneró lo establecido en varios preceptos legales del Reglamento General de Protección de Datos (RGPD), concretamente, lo dispuesto en los artículos 13, 9 y 32; y llevándose a cabo tales infracciones cometida durante un periodo de duración de al menos 6 años, desde el año 2018 hasta el 2024.

En lo que respecta a la vulneración del artículo 13 del RGPD, la misma se produce al no haber facilitado la actora a los clientes información sobre el tratamiento que hacía de sus datos personales recopilados —hecho que reconoció a la AEPD—.

Por el incumplimiento de la obligación de informar a los pacientes sobre dicho tratamiento de datos —lo que constituye la infracción del artículo 13 RGDP—, la Agencia ha sancionado a la titular de la oficina de farmacia con una multa administrativa por importe de 3.000 euros.

Por otro lado, la Agencia argumenta en la resolución que la actora ha estado realizando un tratamiento de categorías especiales de datos personales de sus clientes que están prohibidos en el RGPD, como son aquellos que  incluyen “códigos de identificación asignados por los sistemas públicos sanitarios, tratamientos médicos o incidencias relacionadas con dichos tratamientos, entre otros como la identidad del médico y centro de salud que prestan la atención sanitaria primaria al interesado; sin que el responsable haya acreditado la concurrencia de alguna de las circunstancias que permite levantar la prohibición del tratamiento de esta categoría especial de datos personales establecida en el apartado 1 del artículo 9 del RGPD”.

Por tanto, los hechos evidencian que la titular de la oficina de farmacia cometió una infracción del RGPD al haber vulnerado con su forma de actuar lo dispuesto en el artículo 9 de dicho Reglamento. Por ello, ante dicha vulneración, la Agencia ha sancionado a la actora con una multa administrativa por importe de 10.000 euros.

(Imagen: E&J)

Los datos no fueron tratados con la seguridad adecuada

La Agencia Española de Protección de Datos ha recordado en la resolución que la seguridad de los datos personales, por parte del responsable del tratamiento, requiere que se apliquen medidas de seguridad adecuadas para proteger los mismos. En el presente caso, la actora, debido a la actividad a la que se dedica, “está obligada a realizar de forma muy especializada un análisis de los riesgos y una implantación de medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de su actividad para los derechos y libertades de las personas”.

En esta línea, la AEPD continua argumentando que la titular de la oficina de farmacia “a la hora de evaluar los riesgos y determinar las medidas técnicas y organizativas apropiadas está obligada a tener en cuenta la concreta actividad que supone su negocio, que conlleva tratar datos personales relativos a la salud de forma continua. Así como los riesgos derivados de su actividad deben atenderse de forma especializada”.

Para la Agencia, en el presente caso y en relación con los ficheros de Excel en los que almacenaba los datos personales, la actora no cuenta con las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo de sus tratamientos de datos personales, con la consiguiente falta de diligencia a la hora de evitar el acceso no autorizado por terceros ajenos.

Y prueba de ello —de que los sistemas de información no cuentan con las medidas adecuadas ni básicas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales— es que los archivos se encuentran alojados en el “escritorio” de los ordenadores empleados en el establecimiento, y estos a su vez están ubicados en los mostradores de venta al público, “permitiendo a los clientes acceso visual en todo momento a la pantalla del ordenador”, recoge la resolución.

Por tanto, los hechos constituyen una vulneración del artículo 32 del RGPD y por dicha infracción la Agencia ha sancionado a la titular de la farmacia con una multa administrativa por importe de 3.000 euros.