En abril de 2025, la Agencia Española de Protección de Datos inició un procedimiento sancionador contra la farmacia A. A. A. tras haber recibido una denuncia de la Generalitat de Cataluña por posibles infracciones en el tratamiento de datos personales de residentes en centros geriátricos. Se detectaron accesos indebidos a datos de salud, cesiones no autorizadas y uso de medios electrónicos no seguros para transmitir información sensible.
El Servicio de Inspección de Farmacia de Cataluña y los Mossos d’Esquadra detectaron usos extraños de robots de preparación de medicamentos. La farmacia investigada asumió la preparación de medicación mediante sistemas personalizados de medicación (SPD) sin visitar las residencias, tomando los datos desde otra farmacia, gestionados por LOPICOST, sin medidas de seguridad adecuadas.
Para responder a la AEPD, la farmacia aportó varios documentos, y, pese a que algunos carecían de información completa o firma, se vio un intento de adecuación a la normativa. Declaró que dispensó pañales desde marzo de 2023 sin contratos escritos, solo mediante acuerdos verbales con las residencias. Los consentimientos informados fueron obtenidos meses después de iniciado el tratamiento: entre julio de 2023 y octubre de 2024, lo que significa que realizó actividades sin cobertura legal desde marzo a junio de 2023. Además, no acreditó haber informado a las personas interesadas conforme al artículo 14 del RGPD, por lo que incumplió el principio de transparencia
Oficinas de farmacia y dispensación de medicamentos
Según la normativa del sector, las oficinas de farmacia son establecimientos sanitarios privados de interés público, regulados por legislación estatal y autonómica. La persona titular del establecimiento es responsable de toda la gestión de medicamentos, lo que incluye adquisición, custodia, dispensación y control de recetas. La normativa prohíbe prácticas que vulneren la libre elección de farmacia o que impliquen distribución no autorizada de medicamentos.
La dispensación debe hacerse con trazabilidad, pero con acceso restringido, y siempre mediante sistemas electrónicos. Para mayor abundamiento, en la comunidad catalana se aplican requisitos adicionales en la gestión farmacéutica para reforzar la protección de datos. El SPD exige receta médica y consentimiento informado, y obliga a realizarse en la misma farmacia, sin subcontratas, y adherirse a convenios con el Departamento de Salud y el Colegio de Farmacéuticos, así como la notificación a la AEPD. Las administraciones sanitarias pueden hacer inspecciones sin previo aviso.
La AEPD concluye que las funciones de A. A. A. como titular de la farmacia confirman que es responsable del tratamiento de datos personales, según el artículo 4.7 del RGPD, ya que determina los fines y medios del tratamiento, accede y organiza datos sensibles.
Infracciones
En todo este contexto, la AEPD considera que la farmacia cometió tres infracciones muy graves del RGPD que afectaron a más de 1500 personas y comprometieron datos de salud especialmente protegidos, y de los artículos 71 y 72.1 de la LOPDGDD.
Las dos primeras derivan del incumplimiento del artículo 6.1 del RGPD, que exige una base legal válida para el tratamiento de datos personales. A. A. A. preparó SPD sin consentimiento informado desde marzo de 2023, y trató datos personales para la dispensación de pañales sin acreditar base de legitimación específica. En ambos casos, se trata de datos de salud considerados de categoría especial, lo que agrava la infracción. Se aprecia negligencia grave, pérdida de control por parte de los interesados y beneficio económico para la farmacia.
La tercera infracción corresponde al incumplimiento del artículo 14 del RGPD, que obliga a informar al interesado cuando los datos no se obtienen directamente de él. A. A. A. no acreditó haber proporcionado esta información ni en la preparación de SPD ni en la dispensación de pañales, vulnerando el principio de transparencia.
Sanciones
Las tres infracciones resultaron en sendas sanciones de 13 000 euros en total, reducidas a 7800 tras el reconocimiento de responsabilidad y el pago voluntario.
Pero la resolución también ordena a la farmacia adoptar medidas correctivas: acreditar el cese del tratamiento de datos para la dispensación de pañales o justificar su legitimación, y proporcionar la información exigida por el RGPD a las personas residentes afectadas. Su incumplimiento podría dar lugar a nuevas sanciones.
Fuente: https://www.aepd.es/documento/ps-00139-2025.pdf
░ Imagen de Tima Miroshnichenko en Pexels
