Qué tener en cuenta sobre protección de datos en una farmacia
14 Mayo 2025
La protección de datos personales es un aspecto esencial en cualquier sector que maneje información sensible, y las farmacias no son la excepción, como otros muchos comercios o negocios, en el desempeño de su actividad tratan datos de carácter personal a diario, tanto de sus clientes como de sus empleados y, en ocasiones, de sus proveedores también. Ya solo este hecho obliga a cumplir la Ley de Protección de Datos a las Farmacias.
Pero, además, las farmacias no solo tratan datos de categorías básicas (como son el nombre y los apellidos, el DNI o una dirección postal), sino que también manejan datos de salud, considerados por el RGPD como por la LOPDGDD, artículo 9, como datos de categorías especiales, que exigen un mayor nivel de protección y cumplir con una serie de requisitos más.
Te explicamos los principales aspectos que una farmacia debe considerar para garantizar el cumplimiento normativo y la protección efectiva de los datos de sus clientes y pacientes.
¿Qué es la protección de datos?
La protección de datos hace referencia a un conjunto de prácticas y normativas diseñadas para proteger la información personal de los individuos, asegurando su tratamiento seguro y ético. En las farmacias, esto incluye información como nombres, direcciones, historiales médicos y detalles de prescripciones.
Menos gestiones es más tiempo para tu negocio.
Simplifica tu día a día. Déjanos a nosotros todo el papeleo.
Normativa aplicable a la protección de datos en farmacia
Son varias las normativas en materia de protección de datos que afectan a las farmacias y los farmacéuticos y que es necesario conocer para asegurarse de que se cumple con todas las obligaciones y requisitos exigidos:
- En el primer nivel supranacional y europeo está el Reglamento General de Protección de Datos (RGPD, Reglamento (UE) 2016/679, de 27 de abril de 2016).
El RGPD establece principios fundamentales para el tratamiento de datos personales, como:
- Licitud, lealtad y transparencia
- Limitación de la finalidad: que los datos se recojan para fines específicos
- Minimización de datos: solo se deben recabar los datos necesarios
- Integridad y confidencialidad: que protege los datos contra accesos no autorizados y daños
- A nivel nacional:
- Ley Orgánica de Protección de Datos Y Garantía de Derechos Digitales (LOPDGDD o LOPD). La LOPDGDD complementa al RGPD, especificando derechos adicionales, como el de acceso, rectificación, cancelación y oposición, y consentimiento para el tratamiento de datos sensibles.
- Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE).
- Ley de Autonomía del Paciente.
¿Cómo puedo asegurar los datos de mi oficina de farmacia?
Para proteger la información privada de tus pacientes en la farmacia, necesitas ejercitar varias acciones:
- Formar a tu equipo: Es clave que todos sepan las reglas de protección de datos (como el RGPD aquí en Europa) y cómo cuidar la información en la farmacia. Esto incluye aprender a manejar los datos de forma segura, identificar peligros y usar bien los programas informáticos.
- Controlar quién puede ver la información: Solo las personas autorizadas deben poder acceder a los datos sensibles. Para esto, usa contraseñas fuertes y pide más de una forma de identificación para entrar a los sistemas.
- Tener normas claras sobre la privacidad: Debes decidir cómo se va a recoger, guardar, usar y borrar la información de los pacientes. Estas normas deben ser fáciles de entender para todo el personal y revisarlas cada cierto tiempo.
- Hacer revisiones periódicas: Estas revisiones ayudan a localizar puntos débiles y asegurar que sigues cumpliendo las leyes de protección de datos.
Finalidad del tratamiento
La finalidad del tratamiento de datos en una farmacia debe estar clara desde el principio. No es lo mismo usar datos para la entrega de un medicamento que para fines de marketing.
La farmacia debe evitar la reutilización de los datos con fines distintos a los inicialmente autorizados sin un nuevo consentimiento del titular. Además, se debe informar claramente de estos fines en la política de privacidad que debe estar accesible en el establecimiento y en su sitio web, si lo tiene.
Obligaciones en materia de protección de datos en la farmacia
Relación con los clientes/pacientes:
- El tratamiento de datos de salud debe fundamentarse en el consentimiento explícito del cliente, salvo excepciones que a continuación veremos.
- Las farmacias están obligadas a informar a los clientes/pacientes sobre el uso de sus datos personales. Esta información incluye: identidad y datos de contacto del responsable del tratamiento, finalidades del tratamiento, plazo de conservación y derecho de los interesados y mecanismos para ejercerlos.
- Gestión de recetas electrónicas: el uso de recetas electrónicas debe cumplir con los principios de seguridad y confidencialidad. Es importante que los dispositivos electrónicos donde se detalla la información del paciente no estén a la vista y que se apaguen tras finalizar la jornada.
Relación con los proveedores:
- Los proveedores que accedan a datos personales deben formalizar contratos donde se detallen sus responsabilidades como encargados de tratamiento.
Relación con los empleados:
Para gestionar los temas de trabajo (como pagar las nóminas o dar de alta a los empleados en la Seguridad Social), no siempre se necesita el permiso directo de cada trabajador. La ley permite usar esos datos porque son necesarios para cumplir con el contrato de trabajo o con otras leyes laborales.
Si se implementan medidas de gestión como videovigilancia, éstas deben ser proporcionales y previamente comunicadas a los empleados.
- Si tu farmacia tiene un sistema para que la gente pueda informar de problemas o irregularidades, es muy importante que se mantenga en secreto quién hace la denuncia. Además, la información que se proporcione debe ser tratada de forma correcta y segura,
¿Cómo adaptar al RGPD y la LOPDGDD a mi farmacia?
Para adaptar tu farmacia al RGPD y la LOPDGDD es necesario cumplir con las siguientes obligaciones contempladas en la normativa que se resumen en 8 pasos:
1.-Registro de Actividades de Tratamiento
El registro de actividades de tratamiento es un documento que lista los tratamientos de datos personales en cualquier entidad. Para cumplir la protección de datos en farmacias es necesario tener un registro de tratamiento por cada tratamiento que haga y en ellos detallar de forma concisa toda la información relativa al mismo.
Se trata de un documento de uso interno, es decir, no es necesario enviarlo a la AEPD (Agencia Española de Protección de Datos), pero sí que debe estar a disposición de esta, si esta lo requiere en una inspección.
2.-Análisis de Riesgos
Otra de las obligaciones para la protección de datos en farmacias es hacer un análisis de riesgos. Se trata de un análisis de riesgos previo que se debe dar a todo nuevo tratamiento de datos personales, con la principal finalidad de establecer los controles y medidas de seguridad adecuadas que garanticen las libertades y los derechos de las personas afectadas.
Hay que tener en cuenta que los riesgos no solo existen en el ámbito digital, puesto que también engloban riesgos físicos para la conservación y protección de la información sensible. Un ejemplo de análisis de riesgos RGPD sería evaluar la seguridad del archivo físico en el que se guardan las recetas en papel.
3.-Evaluación de impacto
Las farmacias, al tratar datos sensibles como son los referidos a la salud, deben realizar una evaluación de impacto.
La evaluación de impacto en el RGPD es un informe, o un conjunto de documentación, que recoge las características del tratamiento evaluado y las medidas adoptadas para reducir sus riesgos, de acuerdo con su identificación, análisis, valoración y tratamiento (gestión de riesgos) y una vez analizadas, también, cuestiones como el interés legítimo (si procede) o la necesidad y la proporcionalidad de las operaciones de tratamiento.
4.-Consentimiento de los clientes
El sector de las farmacias para poder tratar con los datos personales de los clientes, deben contar obligatoriamente un documento firmado (en formato papel o digital) que detalle el consentimiento expreso de los mismos.
5.-Encargados de tratamiento
Es habitual que las farmacias trabajen con terceros, como gestorías que lleven la contabilidad o las nóminas de los empleados, empresas informáticas que gestionen la página web o el mantenimiento del sistema o la empresa de seguridad que se encarga de la videovigilancia del local.
Estos terceros son considerados encargados de tratamiento, ya que acceden a datos personales de los que es responsable la farmacia. Para cumplir con la protección de datos en una farmacia es obligatorio firmar con ellos un contrato que garantice un adecuado tratamiento de esos datos personales.
6.-Acuerdos de confidencialidad con empleados
Los datos que se tratan en una farmacia pueden llegar a ser muy sensibles, por lo que se debe poner por escrito un acuerdo de confidencialidad que deben firmar los trabajadores, así como también las consecuencias en caso de que lo incumplan.
7.-Notificar brechas de seguridad
Las brechas de seguridad según el RGPD, o incidentes de seguridad, que hayan podido poner en riesgo los datos personales, deben ser notificados tanto a los interesados afectados como a la AEPD.
En lo que respecta a la notificación a la AEPD, se dispone de un plazo máximo de 72 horas para hacerlo, desde el momento en que se tuvo conocimiento de la brecha de seguridad.
8.-Textos legales página web
Si la farmacia tiene página web, deberás incluir en ella los correspondientes textos legales:
- Política de privacidad
- Aviso legal
- Política de cookies
Si tienes una farmacia y no sabes cómo implantar la política de protección de datos consulta nuestros planes de negocios de Legálitas y un gestor personal te ayudará.
Excepciones a la protección de datos
Las leyes de protección de datos que mencionamos con anterioridad también contemplan situaciones especiales donde se pueden usar ciertos datos delicados sin necesidad de pedir permiso directamente al paciente:
- Excepciones por intereses públicos o sanitarios
- Para cumplir obligaciones legales
- Tratamiento de datos para la ejecución de contratos
- Basándose en intereses legítimos siempre que no prevalezcan los derechos y libertades fundamentales del interesado
- Protección de intereses vitales
Sanciones económicas por incumplimiento de protección de datos
No seguir las reglas para proteger los datos aquí en España puede traer problemas serios. Tanto la ley europea (RGPD) como la ley española (LOPDGDD) establecen multas importantes si no se cumplen estas normativas. A continuación, te explico qué tipo de sanciones te puedes enfrentar:
Infracciones menos graves: multas de hasta 10 millones de euros o el 2% de la facturación global anual de la empresa (la mayor entre ambas).
- Infracciones graves: las sanciones pueden alcanzar hasta 20 millones de euros o el 4% de la facturación global anual (la cantidad mayor entre ambas).
Medidas de seguridad en la farmacia
Una de las obligaciones más importantes para cualquier responsable del tratamiento de datos es adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales.
En una farmacia, estas medidas pueden incluir:
- Control de acceso físico a las instalaciones
- Uso de software antivirus y cortafuegos
- Contraseñas seguras y cambios periódicos
- Sistemas de encriptación para bases de datos sensibles
- Capacitación periódica del personal en protección de datos
- Protocolos para la gestión de incidencias de seguridad
Conservación y eliminación de datos
Los datos personales no pueden conservarse indefinidamente. Una farmacia debe establecer plazos de conservación en función de la normativa sanitaria y fiscal aplicable. Una vez cumplido ese plazo, los datos deben ser eliminados o anonimizados de manera segura.
En algunos casos, los datos pueden conservarse por requerimientos legales (por ejemplo, registros de facturación o recetas durante un periodo mínimo de tiempo), pero pasado ese tiempo deben eliminarse correctamente.
Referencias legales:
Nº colegiada 57243
