En un mundo donde la tecnología avanza a pasos agigantados, la gestión de datos personales se ha convertido en un campo minado para muchas empresas. Recientemente, la Agencia Española de Protección de Datos (AEPD) impuso una multa de 16.000 euros a una farmacia en Castilla y León por recopilar y almacenar datos sensibles de pacientes en un simple archivo de Excel. Este incidente pone de manifiesto los riesgos asociados a prácticas obsoletas en la era digital.
La farmacéutica en cuestión utilizaba un archivo de Excel para registrar información personal y médica de los pacientes que solicitaban la renovación de su medicación sin acudir al centro de salud. Este método, aunque aparentemente práctico, carecía de las medidas de seguridad necesarias para proteger datos tan sensibles. Además, los pacientes no eran informados sobre el tratamiento de sus datos, lo que constituye una violación del Reglamento General de Protección de Datos (RGPD).
Violaciones al RGPD
La AEPD identificó varias infracciones en este caso:
- Artículo 13 del RGPD: Falta de información a los interesados sobre el tratamiento de sus datos personales.
- Artículo 9 del RGPD: Tratamiento de categorías especiales de datos personales sin el consentimiento explícito de los pacientes.
- Artículo 32 del RGPD: Ausencia de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.
Estas violaciones resultaron en una multa total de 16.000 euros para la titular de la farmacia. Las prácticas, aunque puedan parecer cotidianas en ciertos entornos, son gravemente problemáticas cuando se trata de datos relacionados con la salud, uno de los tipos más protegidos bajo el RGPD.
Aunque Excel sigue siendo una herramienta ampliamente usada por su simplicidad, su uso para almacenar información clínica representa un problema estructural. No está diseñado para gestionar datos sensibles con protocolos de encriptación, acceso restringido o trazabilidad. En el caso de esta farmacia, el fichero se encontraba en el escritorio de los ordenadores de atención al público, sin copias de seguridad, y protegido únicamente con la contraseña del sistema, compartida entre todos los empleados.
Esta situación convierte un entorno sanitario en un entorno de riesgo para la privacidad, haciendo que una hipotética filtración o acceso indebido sea no solo probable, sino esperable.
La farmacéutica justificaba su proceder alegando que muchos de sus clientes tenían dificultades para acudir al médico a renovar recetas. Desde 2017, algunas gerencias de atención primaria habían autorizado la comunicación entre farmacias y centros de salud por correo electrónico, pero el sistema estaba concebido para notificar incidencias, no para gestionar renovaciones sistemáticas.
El problema de fondo es una disonancia entre la realidad asistencial y las infraestructuras tecnológicas disponibles. Cuando un sistema sanitario no ofrece vías ágiles para la renovación de medicamentos, se generan atajos administrativos que comprometen la seguridad de los datos.
Muchas pymes del ámbito sanitario no disponen de departamentos de compliance o seguridad de la información. Confían en herramientas accesibles, sin comprender del todo el alcance legal y técnico de las normas de protección de datos. Este desconocimiento las convierte en víctimas de su propia inercia digital: utilizan tecnología, pero sin la gobernanza adecuada.
Un archivo de Excel con datos de salud es el equivalente digital de un expediente médico dejado sobre un mostrador. Sin cifrado, sin control de accesos, sin backup ni restricción de uso. Las consecuencias legales no son anecdóticas: además de la multa, la reputación de la farmacia queda seriamente afectada.
Los datos sobre salud están considerados por el RGPD como «categorías especiales de datos». Esto implica que su tratamiento está prohibido, salvo bajo ciertas condiciones muy estrictas. Una de ellas es el consentimiento explícito del interesado, o que el tratamiento sea necesario por razones de interés público en el ámbito de la salud.
En este caso, la AEPD consideró que no se acreditaba ninguna base legal suficiente. Además, se vulneró el principio de minimización de datos: la farmacia almacenaba y conservaba más información de la estrictamente necesaria, en formatos vulnerables.
Cultura de la privacidad: un asunto de salud pública
En sectores tan sensibles como el farmacéutico, la protección de datos no es una formalidad: es un asunto de salud pública. La confianza entre paciente y profesional depende, en gran medida, de la confidencialidad. Una brecha de seguridad puede implicar consecuencias psicológicas, sociales e incluso legales para el paciente.
La digitalización segura en el sector farmacéutico podría beneficiarse de tecnologías como blockchain, que permite trazabilidad, inmutabilidad y descentralización de los datos de prescripción. Los contratos inteligentes podrían facilitar la renovación automática de medicamentos con verificación criptográfica del consentimiento del paciente, eliminando la necesidad de ficheros locales no protegidos.
La Inteligencia Artificial también podría integrarse para detectar patrones de dispensación irregular o usos indebidos de medicamentos, generando alertas de cumplimiento normativo en tiempo real.
La multa de 16.000 euros es una consecuencia legal, pero también un mensaje claro: la transformación digital exige responsabilidad. La tecnología sin regulación es peligrosa, pero la regulación sin tecnología es ineficaz.
La seguridad de los datos de salud debe dejar de ser un apéndice y pasar a ser un eje central de cualquier práctica farmacéutica o sanitaria. Esto implica capacitación, inversión en sistemas adecuados y, sobre todo, un cambio cultural que asuma que el respeto por la privacidad es, en sí mismo, un acto de cuidado.
Este caso marca un precedente importante para el sector. Y recuerda que, incluso en entornos pequeños o rurales, el cumplimiento del RGPD no es una opción: es una obligación legal y ética.
