Recientemente la Agencia Española de Protección de Datos (en adelante AEPD) ha sancionado a una Oficina de Farmacia a multa de 10.000€ por un incumplimiento del Reglamento General de protección de datos.
Los hechos denunciados son los siguientes:
En un contenedor público cercano al domicilio del denunciante, dispuesto para el depósito de basura doméstica, de forma reiterada, el denunciante encontró una gran cantidad de documentación de índole sanitaria con datos personales, como son hojas de medicación de pacientes, recetas, tickets de venta, albaranes, entre otros, procedentes de la Farmacia sancionada.
No es la primera vez que nuestro equipo conoce de un caso como este, lo que indica que aunque no es habitual, tampoco es un caso remoto.
La AEPD establece como hechos probados los siguientes:
Luego de una exhaustiva investigación y de las prácticas y pruebas realizadas, se determinó por la AEPD que: “Los hechos denunciados se materializan en el abandono reiterado de documentación en un contenedor de basura ubicado en la vía pública, accesible por cualquier tercero, en la que figuran datos personales correspondientes a clientes de la parte denunciada y facultativos sanitarios, vulnerando la normativa en materia de protección de datos”
La AEPD identifica en esta conducta un incumplimiento del RGPD:
La Autoridad de Control considera que estamos ante un incumplimiento de lo regulado en el Artículo 32.1 del RGPD por parte de la Oficina de Farmacia “al producirse una violación de la seguridad de los datos personales que ha posibilitado el acceso por terceros a los datos contenidos en documentos que fueron abandonados en un sitio público”.
Así mismo, la AEPD considera que se ha vulnerado el artículo 5 del RGPD por la parte denunciada, toda vez que la Farmacia NO garantizó con su actuar negligente el cumplimiento de los principios de Integridad y confidencialidad de la información, al NO aplicar medidas para garantizar “una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”.
¿Cómo debió actuar la Farmacia para evitar una multa de este calibre?
Tanto la LOPDGDD como el RGPD establecen la obligación de suprimir o eliminar los datos personales cuando estos ya hayan cumplido la finalidad para la que fueron recogidos, y cuando no existan plazos legales de conservación o estos han transcurrido.
Antes de proceder con la destrucción, la Oficina de Farmacia debe comprobar que no existe obligación legal de conservación respecto a los documentos con datos personales que pretende destruir. Recordemos que sector farmacéutico es un sector muy regulado, y le aplican normas específicas y obligaciones de conservación de documentación, como en el caso de los libros oficiales de farmacia, las recetas médicas privadas o públicas, entre otros.
En caso de que proceda en términos legales la destrucción, esta debe realizarse en condiciones de seguridad, que garantice la seguridad de la información, y su confidencialidad, utilizándose métodos que no permitan reconstruir el documento por terceros no autorizados.
Algunos métodos seguros podrían ser la contratación de empresas externas especializadas en destrucción confidencial de documentos, previa comprobación de que los procesos de destrucción que ofrecen son seguros y cumplen el RGPD, así como el uso de trituradoras que tengan programas de destrucción seguros.
Si la Oficina de Farmacia actúa diligentemente, evitará daños económicos, reputacionales, y sociales, así como reducirá significativamente el riesgo de robo de identidad de sus pacientes y, sobre todo, la pérdida de confianza de sus clientes. Una correcta destrucción de documentos confidenciales demuestra el compromiso de la empresa con la privacidad y la seguridad de la información.
