Multa de 16.000 euros a una farmacia por recopilar datos personales y de salud de los clientes para uso propio

La Agencia Española de Protección de Datos ha impuesto una multa de 16.000 euros a una farmacia después de que un usuario la haya denunciado por la recopilación sin consentimiento de datos personales, incluidos de salud, de muchos de los pacientes que acuden a ella. «Lo hace cuando el paciente desea que se le renueve la medicación que tiene introducida en la tarjeta sanitaria del Sistema de Salud de la Comunidad de Castilla y León », recoge la resolución consultada por este periódico en la que el denunciante explica el modus operandi: «Se pasa la tarjeta por el lector teniendo abierto un Excel (…), anotando y almacenando en aquel archivo la medicación que el paciente desea renovar junto a sus datos personales, sin garantías de protección ni consentimiento informado».

En la denuncia, se describe que la farmacia dispone de varios ordenadores ubicados en dos mostradores, en cuyos escritorios pueden localizarse estos archivos Excel con los nombres de los usuarios. Se añade también que al pasar la tarjeta con el programa Excel abierto, «la información se guarda en una celda del programa y acto seguido se corta y pega esa información (…). Con ella se retira medicación sin estar presente el titular de la tarjeta».

Tras personarse en la farmacia para comprobar los hechos denunciados, la AEPD pudo acceder a los ordenadores del establecimiento «encontrando los ficheros de los que el denunciante había facilitado una copia». Pudo constatar también que recopilaba esos datos sin garantías de protección ni consentimiento informado del interesado, por lo que los inspectores de la AEPD consultaron a la Consejería de Sanidad y a la Gerencia Regional de Salud sobre el procedimiento legal a seguir.

La Administración informó que tras la implantación del sistema de Receta Electrónica en 2015/2016, hubo dificultades en la obtención de medicamentos por parte de los pacientes, razón por la cual en 2017 algunas Gerencias de Atención Primaria de Valladolid implantaron un procedimiento que permitía a las oficinas de farmacia comunicar a los médicos de los centros de salud posibles incidencias asociadas a la prescripción de medicamentos.

Dicho trámite contemplaba la comunicación entre estos establecimientos y los centros de salud a través de correo electrónico, siendo necesario que la oficina de farmacia cumplimentara y enviara un formulario al buzón de gestión del centro de salud para que fuera trasladado al médico o enfermera del paciente en función del tipo de incidencia. «El objetivo es que la incidencia se resuelva sin que el paciente acuda a consulta, para evitar malentendidos, y desplazamientos innecesarios del paciente, reducir el tiempo dedicado por el médico a la resolución de este tipo de incidencias y para favorecer la colaboración de los farmacéuticos comunitarios en la detección de errores en la medicación».

Hasta 173 correos fueron enviados por la titular de la oficina a centros de salud, la mayor parte de los cuales comunicaba como incidencia la renovación de medicación.

En su informe, la AEPD deja constancia de que la farmacéutica incorpora a una base de datos propia los datos enviados a los centros de salud, al margen del sistema de receta electrónica del sistema de Castilla y León, integrada por los ficheros en formato Excel. En estos archivos, anotaba y conservaba la información contenida en los formularios remitidos a los centros de salud, a los que añadía los datos personales relativos a nombre, apellidos del paciente, además de unos apuntes sobre el envío del correo electrónico.

Además, esos archivos de Excel permanecían en el escritorio de los ordenadores de la farmacia, a lo que accedían «tres empleados» (según reconoce el propio establecimiento) solo con introducir la contraseña que protege el ordenador, conocida por todos ellos.

Para el registro de estos datos en sus ficheros, la titular de la oficina de farmacia dispuso un procedimiento automatizado que permitía la recogida de la información al pasar la tarjeta sanitaria del paciente por el lector magnético, incorporando de forma manual el medicamento y los datos del médico y centro de salud, que aparecen impresos en la tarjeta sanitaria.

Protección de Datos comprobó así que la información recopilada se destinaba a uso propio, como registrar la dispensación del medicamento en el módulo de receta electrónica del sistema sanitario de Castilla y León sin que el paciente se encontrase presente en la oficina de farmacia, «en caso de error en la comunicación o tiempo excedido».

Si bien la farmacéutica reconoció que no informó a sus clientes sobre el tratamiento de datos, alegó que el cliente tenía acceso visual «en todo momento» a la pantalla del ordenador para ver lo que se estaba haciendo.

Además, en su descargo sobre el traslado de datos personales a ficheros Excel propios, el establecimiento indicó que se hacía «de forma automática al pasar la tarjeta por el lector magnético y el resto de datos se incorporan de forma manual (los datos de medicamentos se extraen (…) y los del médico y centro de salud a partir de los que aparecen impresos en la tarjeta sanitaria)».

• Temas
• Agencia Española de Protección de Datos