La Agencia Española de Protección de Datos (AEPD) ha multado con 10.000 euros a una farmacia por tirar documentos rotos a mano a la basura en los que se podía observar datos relacionados con la salud de terceras personas.
Se veían información de la farmacia, recetas médicas asociadas en las que aparecían los nombres de los pacientes, los métodos de pago, informes clínicos y direcciones de centros médicos. Todo ello acompañado de datos del enfermo.
La multa se materializó en agosto de 2023, pero ahora la AEPD ha desestimado el recurso de reposición que interpuso la farmacia, de modo que sólo les queda acudir a la vía contencioso-administrativa de la Audiencia Nacional para intentar esquivar la sanción.
En concreto, se le ha castigado por infringir dos artículos del Reglamento General de Protección de Datos (RGPD). Por un lado, el 32, que hace referencia a la “seguridad del tratamiento” y el 5.1 f), que expone que los datos serán tratados de tal manera que se garantice la confidencialidad e integridad.
49 imágenes y 68 vídeos
Todo comenzó cuando la AEPD recibió una denuncia en la que se aportaron 49 imágenes y 68 vídeos que mostraban una gran cantidad de documentos vertidos en un contenedor de basura. Estaban amontonados, la mayoría sin envoltura y rotos a mano en fragmentos de gran tamaño que permitían fácilmente su reconstrucción.
Documentos gráficos que fueron recopilados por parte de la denunciante en fechas comprendidas entre el mes de octubre de 2021 hasta enero de 2022 y en los que se podían observar documentos de decenas de afectados, entre los que se encontraban los de clientes de la farmacia y de algunos facultativos sanitarios.
En abril de 2022 la Guardia Civil accedió al contenedor de basura doméstico y corroboró lo que la ciudadana había denunciado.
La reclamada alegó que “la teoría sobre que los documentos fueron depositados por la farmacia se basaba en meras suposiciones” y que la denunciante sólo quería perjudicarla. También manifestó que ello podía ser debido a un “minucioso trabajo de extracción de los trozos de los documentos del consumidor consiguiendo que ninguno de ellos se ensucie o se pierda”.
También explicaron que quizá obtuvo los documentos por otras vías para después romperlos y sacarlos fotos en su casa antes de tirarlos en el contenedor.
La farmacia no reconoció los hechos
De modo que la farmacia consideró que la sanción impuesta era desproporcionada porque se excedía del límite del 4% de la facturación y que la medida consistente en no volver a arrojar documentación al contenedor carecía de efectos prácticos porque nunca lo habían hecho.
Sin embargo, para la AEPD dicha documentación consistente en recetas, facturas y albaranes sólo podía estar en manos de la farmacia. Al igual que tuvieron en cuenta que dichos documentos estaban rotos a mano en cuatro partes y no triturados a pesar de que el establecimiento tenía una máquina para ese fin.
Es más, su política de seguridad establecía que «cualquier documento físico o soporte digital que quiera ser eliminado y que incluya datos personales tenía que ser destruido con la destructora o retirado por una empresa homologada de destrucción de documentos”.
Por lo que la Agencia consideró que la documentación abandonada en el contenedor público sólo podía estar en posesión de la parte recurrente, rechazando así la hipótesis planteada en el recurso según la cual la documentación fue depositada en ese lugar por otras personas. De modo que no respetó de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar la seguridad y confidencialidad de los datos, especialmente las dirigidas a impedir el acceso a la información por terceros no autorizados.
Esta resolución se ha dado a conocer a través de Ramón Arnó Torrades, CEO de La Familia Digital.
