La Agencia Española de Protección de Datos (AEPD) ha impuesto sendas multas de 6600 euros a dos oficinas de farmacia en Cataluña por el envío inseguro de datos personales y de salud de residentes en centros geriátricos. El caso, que ha generado inquietud en el sector, pone de manifiesto la importancia de extremar las precauciones en el tratamiento de información especialmente sensible.
¿Qué ocurrió?
Las sanciones tienen su origen en una inspección realizada por la Direcció General d’Ordenació i Regulació Sanitària de la Generalitat de Catalunya, que detectó prácticas irregulares en el intercambio de información entre farmacias y residencias de mayores. Concretamente, ambas farmacias compartían hojas de cálculo con datos identificativos y sanitarios de personas mayores —incluyendo nombres, números de tarjeta sanitaria, productos prescritos y detalles económicos— a través de correos electrónicos sin ningún tipo de cifrado ni protección adicional.
En uno de los expedientes, la farmacia accedía a los datos de receta electrónica de los residentes sin contacto previo ni autorización formal, y utilizaba listados enviados por otras farmacias para organizar la dispensación de productos. En el otro caso, la farmacia recibía y enviaba informes mensuales con información sensible también por correo no seguro, y accedía al sistema de receta electrónica con claves facilitadas por terceros.
Principales incumplimientos detectados
La AEPD ha constatado varias infracciones graves de la normativa vigente:
- Falta de medidas de seguridad: El envío de datos de salud sin cifrado vulnera el artículo 32 del RGPD, que exige garantizar la confidencialidad e integridad de la información.
- Ausencia de contratos de encargo de tratamiento: No existían acuerdos formales entre las farmacias y las entidades implicadas, lo que impide delimitar responsabilidades y obligaciones.
- Deficiencias en la información a los afectados: Los residentes y sus familiares no fueron informados adecuadamente sobre el tratamiento de sus datos ni sobre sus derechos.
- Gestión documental insuficiente: Se detectaron registros de actividades incompletos, evaluaciones de impacto sin firmar y cesiones de datos sin validez legal.
Sanciones y consecuencias
Ambas farmacias reconocieron los hechos y optaron por el pago voluntario de las multas, lo que permitió reducir la cuantía de un importe de 11 000 € a 6600 €. Como se puede observar, la resolución de la AEPD deja claro la gravedad de las infracciones, que podría haber supuesto una sanción mucho más severa de no haber mediado el reconocimiento de responsabilidad.
Además de la sanción económica, la AEPD exige la adopción inmediata de medidas correctoras, como la implantación de canales seguros para el intercambio de información, la formalización de contratos de encargo y la formación específica del personal en protección de datos.
Reflexión: lecciones para el sector sanitario
Este caso sirve como recordatorio de que la protección de datos en el ámbito sanitario no es un mero trámite burocrático, sino una obligación legal y ética, especialmente cuando se trata de colectivos vulnerables como las personas mayores en residencias o del tratamiento de datos especialmente sensibles.
El uso de canales de comunicación seguros, la existencia de contratos de tratamiento y la correcta información a los afectados son requisitos imprescindibles. La falta de diligencia puede traducirse no solo en sanciones económicas, sino también en un grave daño reputacional y en la pérdida de confianza por parte de pacientes y familiares.
En un entorno cada vez más digitalizado, resulta fundamental que todos los actores del sector sanitario revisen y refuercen sus protocolos de seguridad, asegurando el cumplimiento estricto de la normativa y la protección efectiva de los datos personales.
Fuentes: https://www.aepd.es/documento/ps-00190-2025.pdf y https://www.aepd.es/documento/ps-00177-2025.pdf
░ Imagen de Cottonbro en Pexels
