¿Es propietario de una farmacia? Así debe tratar los datos personales
Skip to main content
Seleccionar ubicació Spain (CA)
  • Actualitat
  • ¿Es propietario de una farmacia? Así debe tratar los datos personales
Insight

¿Es propietario de una farmacia? Así debe tratar los datos personales

10/06/2025
Several packs of pills in various shapes and colors are scattered on a surface. The medication is contained in blister packs, with some capsules being half white and half blue, others in different color combinations. The image uses blue and pink lighting.

Locations

Espanya

Dado el carácter sensible de ciertos datos personales, especialmente aquellos relacionados con la salud, todo aquel que los trate debe cumplir con requisitos específicos. Esto incluye a médicos, empleadores e incluso titulares de oficinas de farmacia. 

Así lo ha establecido la Agencia Española de Protección de Datos (en adelante, “AEPD” o “Agencia”) en una reciente resolución. En particular, destaca un caso en el que se denunció a una oficina de farmacia por realizar distintos tratamientos de datos personales de pacientes sin obtener su consentimiento informado ni contar con medidas de seguridad adecuadas.

En concreto, tras investigaciones llevadas a cabo por la AEPD, se identificó que la oficina de farmacia enviaba correos electrónicos a centros de salud para gestionar incidencias - como la renovación de medicamentos - sin necesidad de que el paciente acudiera al centro. En estos correos electrónicos se adjuntaba un formulario que incluía, entre otros, el centro de salud, nombre y apellidos del médico, el CIP/CIPA del paciente, observaciones del farmacéutico sobre el tratamiento médico y medicamentos afectados.

Asimismo, se constató que la farmacia almacenaba esta información, junto con el nombre y apellidos del paciente y una anotación sobre el envío del correo, en un archivo Excel guardado en varios ordenadores ubicados en los mostradores de atención al público, fácilmente visibles para los clientes, y accesible mediante la simple contraseña de desbloqueo del dispositivo. 

Normativa de protección de datos, ¿le aplica?

La AEPD analizó el caso desde la perspectiva del Reglamento General de Protección de Datos (en adelante, “RGPD”) y entendió que la información tratada por la farmacia eran datos personales, de acuerdo con el artículo 4 RGPD, al permitir la identificación de una persona. Entre estos datos se incluían datos de salud, considerados como categoría especial, cuyo tratamiento sólo es lícito si concurre alguna circunstancia prevista en el artículo 9.2 RGPD. 

También determinó que, conforme al artículo 4 RGPD, las actuaciones realizadas por la farmacia constituían tratamientos de datos personales, y que, al haber la farmacia definido los medios y fines de la actividad, ésta se consideraba responsable del tratamiento, obligada a cumplir con las disposiciones de la normativa de protección de datos. 

Un tratamiento sin garantía legal ni seguridad

Finalmente, la AEPD concluyó que la oficina de farmacia incumplía los artículos 13, 9 y 32 del RGPD, por los siguientes motivos:

  1. No informar a los pacientes sobre estos tratamientos, incumpliendo de este modo con el deber de información del artículo 13 RGPD;
  2. No acreditar la concurrencia de alguna de las circunstancias del artículo 9.2. RGPD, lo que implicaba tratar datos personales sin una base legitimadora; y 
  3. No realizar un análisis de riesgos ni adoptar medidas técnicas y organizativas apropiadas, a pesar de que su actividad suponía el tratamiento continuo de datos de salud, infringiendo el artículo 32 RGPD. 

Aunque inicialmente la oficina fue sancionada por dieciséis mil euros (16.000,00 €), la sanción se redujo a nueve mil seiscientos euros (9.600,00 €), al reconocerse la responsabilidad por la farmacia y realizar el pago de forma voluntaria. 

La AEPD, como medida correctiva, concedió adicionalmente a la farmacia un plazo de dos (2) meses, a contar desde la fecha de la ejecutividad de la resolución, para eliminar los ficheros Excel objeto de litigio. Sin embargo, previendo que este borrado pudiera resultar inviable – ya fuera por afectar negativamente a la asistencia del paciente, titular de los datos personales registrados, o por ser necesaria la conservación de dicha información - la Agencia le ofreció como alternativa a la oficina de farmacia la adopción de medidas necesarias para asegurar la información, ajustando su actividad a los artículos previamente mencionados. 

Conclusiones

Aunque la actividad farmacéutica es esencial y goza de la confianza de los pacientes, es imprescindible ser cautos si se tratan datos personales de salud, y cumplir efectivamente con la normativa que los protege. A partir de la resolución de la AEPD, pueden extraerse algunas recomendaciones clave que garanticen un tratamiento lícito, como: 

  • Informar al paciente sobre los tratamientos de sus datos personales, por ejemplo, mediante un aviso de privacidad accesible que incluya toda la información del artículo 13 RGPD. 
     
  • Evitar tratamientos sin base legal, asegurando que, en caso de datos de salud, se cumple alguna condición del artículo 9.2 RGPD, como el consentimiento explícito del paciente. 
     
  • Proteger adecuadamente los archivos que contienen datos personales, evitando su exposición a terceros no autorizados y utilizando contraseñas más robustas. 
     
  • Evaluar periódicamente los riesgos asociados a los tratamientos de datos personales atendido a la actividad realizada y aplicar medidas técnicas y organizativas que reduzcan los riesgos. 

 

Agradecemos a la abogada Martina Oeding Arenas del área de Tech & Data, por la redacción de este artículo. 

Àrees d'experiència

Tech & Data

Àrees de treball relacionades

Tecnologia