La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha confirmado en su Expediente nº EXP202203538 (resolución de recurso de reposición) la sanción de 10.000 euros que, en su día a una farmacia por tirar documentos rotos a mano a la basura, en los que se contenían datos personales de sus clientes.
La AEPD recibió una denuncia en la que la parte denunciante manifestaba que en un contenedor público cercano a su domicilio encontró una gran cantidad de documentación de carácter sanitario, en la que se incluían datos personales, procedentes de la farmacia denunciada. Asimismo, el denunciante aportó 49 imágenes y 68 vídeos que mostraban una gran cantidad de documentos vertidos en un contenedor de basura. Los documentos aparecían amontonados, sin ningún tipo de envoltura y rotos a mano en fragmentos de gran tamaño (entre dos y cuatro fragmentos para documento).
En los referidos documentos, una vez reconstruidos (con gran facilidad), podían apreciarse, entre otros, los siguientes datos de carácter personal de la farmacia denunciada:
- Facturas simplificadas correspondientes a la dispensación de medicamentos a pacientes.
- Hojas de medicación con el nombre completo y la fecha de nacimiento del paciente.
- Recetas de medicación de los pacientes, en las que se contienen datos como el nombre completo del paciente, la duración del tratamiento, etc.
- Informes de prescripción de medicamentos, en los que se contienen, por ejemplo, los datos del diagnóstico y la próxima fecha de revisión.
- Informes clínicos de alta del paciente.
En opinión de la AEPD, el hecho de que los documentos se hallasen rotos ha se ser sinónimo de graduar o atenuar la sanción, en la medida en que “los documentos hallados […] no impiden ver la información que contienen, pero no [están] destruidos usando una máquina trituradora de papel, a pesar de que el establecimiento cuenta con una máquina de este tipo y que la política de seguridad adoptada por la parte denunciada contempla que “cualquier documento físico o soporte digital que quiera ser eliminado y que incluya datos personales, debe ser destruido con la destructora o retirado por una empresa homologada de destrucción de documentos”.
La AEPD termina imponiendo a la farmacia una multa de 6.000 euros por considerar que su conducta es contraria a la seguridad en el tratamiento de los datos personales (artículo 32 RGPD), y cumulativamente, una multa de 4.000 euros, interpretando que el modo de hacer del establecimiento no respeta los principios de integridad y confidencialidad (artículo 5.1.f RGPD), lo que hace un total de 10.000 euros de multa.