Excel farmacéutico con datos de salud
Una persona presentó una reclamación ante la AEPD contra una oficina de farmacia debido al tratamiento indebido de datos personales, incluidos datos relativos a la salud, sin contar con las garantías exigidas ni el consentimiento informado de los interesados. La denuncia apuntaba que el reclamado recopilaba datos mediante un lector de tarjetas sanitarias y los almacenaba en archivos Excel abiertos en los ordenadores de los mostradores de la farmacia. Estos ficheros contenían datos personales como el nombre y apellidos, el centro de salud, el médico prescriptor y detalles sobre la medicación solicitada, con la indicación “renovar” en la mayoría de los casos.
Además, se retiraba medicación sin la presencia física del paciente ni su tarjeta sanitaria, lo que evidenciaba un acceso no consentido a información médica. Durante la investigación, la persona denunciante aportó imágenes que mostraban la existencia de estos archivos en los ordenadores y cómo se realizaba el traspaso de información desde la tarjeta a las hojas de cálculo.
Una inspección realizada por la AEPD confirmó la existencia de dichos archivos en los equipos de la farmacia, sin medidas técnicas de seguridad suficientes. Los datos estaban accesibles a todos los empleados, protegidos únicamente por la contraseña general del ordenador. No existía política de copias de seguridad ni protocolo específico de información a los interesados. El reclamado reconoció que los datos se usaban para facilitar la renovación de medicación sin necesidad de que el paciente acudiera al centro de salud y para registrar ventas en el sistema de receta electrónica en caso de incidencias.
Se evidenció también un uso sistemático del sistema de comunicación por correo electrónico con centros de salud, mediante el cual se enviaban formularios con los datos del paciente para gestionar incidencias. Sin embargo, aunque ese procedimiento estaba limitado a casos concretos, fue utilizado por el reclamado para gestionar renovaciones, uso no previsto ni autorizado por los protocolos establecidos por el Servicio de Salud y el Colegio Oficial de Farmacéuticos.
La AEPD examinó la legalidad del tratamiento de datos efectuado por el reclamado a la luz de varios artículos del RGPD. Se acreditó que el reclamado era responsable del tratamiento, ya que determinaba los fines y medios del mismo. Los datos tratados incluían no solo información identificativa, sino datos especialmente sensibles, como información sobre salud, que están sujetos a un régimen más estricto de protección bajo el artículo 9 del RGPD.
En cuanto al artículo 13 del RGPD, que obliga a informar a los interesados de forma clara y transparente sobre el tratamiento de sus datos, se concluyó que el reclamado había incumplido esta obligación. No existía política informativa ni se facilitaba documentación sobre el tratamiento de los datos a los clientes. La única referencia del reclamado era que el cliente podía ver la pantalla del ordenador, lo cual fue considerado claramente insuficiente. El incumplimiento del deber de información fue calificado como una infracción muy grave conforme al artículo 72.1.h) de la LOPDGDD.
En relación con el tratamiento de datos de salud, el artículo 9 del RGPD establece una prohibición general de su tratamiento salvo que concurra alguna de las excepciones previstas. El reclamado no acreditó el consentimiento explícito de los interesados ni la concurrencia de ninguna de las excepciones del artículo 9.2. La AEPD subrayó que no existía base legal para que una oficina de farmacia recopilara y almacenara datos de salud para fines de renovación de recetas por medios distintos a los establecidos legalmente. Por ello, el tratamiento realizado constituía una infracción grave del RGPD.
En cuanto al artículo 32 del RGPD, relativo a las medidas de seguridad, la AEPD detectó una clara vulneración. Los ficheros se almacenaban en los escritorios de los ordenadores accesibles al público, sin cifrado, sin restricciones específicas y sin medidas adecuadas para evitar el acceso no autorizado. Además, todos los empleados conocían la contraseña general del ordenador y no existían mecanismos para garantizar la confidencialidad e integridad de los datos. Esta situación suponía un riesgo alto para los derechos y libertades de los interesados, especialmente considerando la sensibilidad de los datos tratados. Por tanto, se concluyó que el reclamado había vulnerado también el artículo 32 del RGPD.
La Directora de la AEPD resolvió imponer al reclamado tres sanciones económicas: 3.000 euros por la infracción del artículo 13 del RGPD (falta de información a los interesados), 10.000 euros por la infracción del artículo 9 del RGPD (tratamiento no autorizado de datos de salud), y 5.000 euros por la infracción del artículo 32 del RGPD (falta de medidas de seguridad adecuadas).
En definitiva, siempre que ideemos un nuevo uso de los datos personales hemos de tener en cuenta las exigencias del RGPD y la LOPDGDD, mucho más cuando se trata de datos de salud.