La titular del establecimiento anotaba y almacenaba esa información en un Excel, cuando los clientes querían que les renovase la medicación sin tener que personarse en el centro médico sin informar a los clientes del tratamiento que hacía con sus datos personales, ni contar con las medidas de seguridad apropiadas para garantizar un nivel de seguridad adecuado al riesgo de sus tratamientos de datos personales.
Una farmacia puede almacenar datos de salud en una hoja Excel u otro sistema si cumple rigurosamente con lo exigido por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), pero con condiciones estrictas.
La farmacia debe implementar medidas técnicas, tener una base legal clara (preferentemente consentimiento expreso) y garantizar la seguridad y confidencialidad de los datos. Usar Excel es posible, pero no recomendable salvo que esté securizado y justificado como sistema temporal o excepcional.
¿Qué datos están en juego?
Se trata de categorías especiales de datos personales: datos de salud (art. 9 RGPD), los cuales requieren una base legal clara y garantías adicionales.
¿Cuándo es lícito el tratamiento?
Según el artículo 9.2.h del RGPD, es posible tratar datos de salud sin consentimiento si:
«El tratamiento es necesario para fines de medicina preventiva, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario (…) sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario».
Para que una farmacia pueda realizar este tratamiento, debe existir una base jurídica habilitante, como:
- Interés público esencial en el ámbito sanitario (art. 9.2.i RGPD).
- Consentimiento expreso del interesado, si no aplica otra base legal (art. 9.2.a RGPD).
Ejemplo válido: si la farmacia gestiona, por encargo del cliente, un sistema de alertas para la renovación de medicación con su consentimiento expreso y específico, el tratamiento puede ser legítimo.
Requisitos técnicos y organizativos (art. 32 RGPD):
Si se guarda en Excel, deben cumplirse:
- Control de acceso (proteger con contraseña al menos).
- Cifrado o seudonimización si es posible.
- Limitación de acceso solo al personal autorizado.
- Registro de actividades de tratamiento.
- Política de conservación y eliminación segura de datos.
Guardar información sensible como «Juan Pérez – renovar Sertralina cada mes» sin control de acceso ni cifrado es una infracción grave del RGPD.
¿Qué no se puede hacer?
- No se puede almacenar sin finalidad legítima ni consentimiento.
- No se puede almacenar indefinidamente sin revisar la necesidad.
- No se puede compartir con terceros (como familiares o médicos) sin autorización expresa del paciente.
Recomendaciones mínimas:
- Recoger consentimiento escrito del cliente si no hay otra base legal aplicable.
- Informar adecuadamente (cláusula informativa de art. 13 RGPD).
- Implantar medidas de seguridad básicas (como cifrado o uso de sistemas más seguros que Excel).
- Valorar la necesidad de realizar una Evaluación de Impacto (EIPD), dado el tipo de datos tratados.
Fundamentación jurídica:
Art. 9.2.h RGPD: tratamiento necesario por motivos sanitarios.
Art. 32 RGPD: seguridad del tratamiento.
LOPDGDD art. 4 y 5: principios de tratamiento y consentimiento.
Disposición adicional 17ª LOPDGDD: habilitación para tratamiento de datos sanitarios.
La gestión de datos de salud exige el máximo nivel de diligencia y cumplimiento normativo. No basta con buenas intenciones: la falta de protección, información o base jurídica puede acarrear sanciones importantes, incluso cuando el objetivo sea facilitar la atención al paciente.