BOLETÍN DE ACTUALIDAD DE DERECHO CIVIL

Resolución de la AEPD: Sanción a farmacia por tratar datos de residentes sin base legal en centros geriátricos para dispensar pañales

,

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una farmacia con 6.600 euros por múltiples infracciones en el tratamiento de datos de salud de residentes de centros geriátricos al tratar dichos datos para dispensar pañales. sin que mediara consentimiento y utilizando canales inseguros de comunicación.

Los hechos sancionados

Una farmacia catalana dispensó pañales desde 2017 hasta 2024 a unos 60 residentes de al menos dos centros geriátricos, cometiendo las siguientes infracciones:

1. Tratamiento sin base legal

  • No contaba con consentimiento de los residentes para tratar sus datos
  • Accedía a datos de salud a través del programa informático del Sistema Nacional de Salud
  • Utilizaba credenciales facilitadas por otras farmacias para acceder al sistema
  • Los residentes no sabían que esta farmacia trataba sus datos personales

2. Falta de información a los afectados

  • Nunca informó a los residentes sobre el tratamiento de sus datos
  • No les explicó quién trataba sus datos ni para qué finalidad
  • No les comunicó sus derechos como titulares de los datos
  • Incumplió totalmente la obligación de transparencia del RGPD

3. Ausencia de medidas de seguridad

  • Intercambiaba datos por email sin cifrar con otras farmacias
  • Recibía archivos Excel con nombres, apellidos y datos médicos sin protección
  • Enviaba información sensible por correo electrónico ordinario
  • No implementó medidas técnicas adecuadas al riesgo

El complejo sistema de dispensación

La resolución revela un sistema irregular de dispensación que funcionaba así:

  1. Una empresa transportista llevaba los pañales directamente a las residencias
  2. Otra farmacia coordinadora enviaba por email sin cifrar las listas de residentes y pañales
  3. La farmacia sancionada accedía con credenciales ajenas al sistema sanitario
  4. Se facturaba el servicio y se recibían pagos en metálico por las aportaciones
  5. Los residentes no elegían esta farmacia ni conocían el tratamiento

Cambios de farmacia coordinadora

  • 2017-2022: Farmacia del Paseo (dirección omitida)
  • 2022-2023: Farmacia F.F.F. de Barcelona
  • Desde febrero 2024: Farmacia de la calle (dirección omitida)

Fundamentos jurídicos de la sanción

1. La farmacia como responsable del tratamiento

La AEPD establece que la farmacia era responsable del tratamiento porque:

  • Determinaba fines y medios del tratamiento de datos
  • La normativa sectorial no permite subcontrataciones entre farmacias
  • No puede delegar en terceros su responsabilidad en la dispensación
  • Es una infracción muy grave realizar distribuciones entre farmacias sin autorización

2. Datos de salud como categoría especial

Los datos tratados incluían categorías especiales:

  • Nombres y datos de identificación de los residentes
  • Información médica sobre necesidades de pañales
  • Números de tarjeta sanitaria y códigos CIPA
  • Pautas médicas y recetas activas

3. Ausencia de base de legitimación

La AEPD rechaza las justificaciones de la farmacia:

  • No existía consentimiento de los residentes
  • No había contrato entre farmacia y residentes
  • No concurría interés vital ni situación de emergencia
  • Los documentos de cesión estaban sin firmar y mal fechados

Factores agravantes considerados

1. Duración y sistemática

  • Infracción continuada desde 2017 hasta al menos 2024
  • Actuación estructurada independientemente de la farmacia coordinadora
  • Manera de operar sistemática que se repetía con diferentes proveedores

2. Número significativo de afectados

  • Al menos 60 residentes afectados
  • Personas especialmente vulnerables (ancianos en residencias)
  • Datos especialmente sensibles (información de salud)

3. Beneficio económico

  • La farmacia se lucró prestando el servicio de dispensación
  • Recibía pagos por las aportaciones de los residentes
  • Obtuvo beneficios económicos de la infracción

4. Negligencia profesional

  • Incumplimiento del Código Deontológico farmacéutico
  • Violación del principio de libre elección de farmacia
  • Actuación contraria a la normativa sectorial específica

Las tres infracciones sancionadas

1. Falta de base legal (Art. 6 RGPD)

  • Sanción: 5.000€ → 3.000€ (con reducciones)
  • Tipificación: Infracción muy grave (art. 83.5.a RGPD)
  • Prescripción: 3 años

2. Falta de información (Art. 14 RGPD)

  • Sanción: 3.000€ → 1.800€ (con reducciones)
  • Tipificación: Infracción muy grave (art. 83.5.b RGPD)
  • Prescripción: 3 años

3. Falta de seguridad (Art. 32 RGPD)

  • Sanción: 3.000€ → 1.800€ (con reducciones)
  • Tipificación: Infracción grave (art. 83.4.a RGPD)
  • Prescripción: 2 años

Total: 11.000€ → 6.600€ (tras reconocimiento de responsabilidad y pago voluntario)

Medidas correctivas impuestas

La farmacia debe acreditar en 3 meses:

  1. Cese del tratamiento de datos para dispensación de pañales
  2. Supresión de los datos personales de los residentes
  3. Información a los afectados si continúa el tratamiento con base legal
  4. Implementación de medidas de seguridad adecuadas al riesgo

https://www.aepd.es/documento/ps-00190-2025.pdf

Post Views: 52
Back to top arrow