| Informe | 2025-0021 |
| Enlace | 📋 |
Resumen del informe jurídico de la AEPD sobre el Anteproyecto de Ley de Garantías y Uso Racional de Medicamentos (N/REF: 0021/2025)
Contexto y alcance del informe
El informe de la Agencia Española de Protección de Datos (AEPD) analiza el anteproyecto de Ley que modifica el Real Decreto Legislativo 1/2015, evaluando su impacto en el derecho fundamental a la protección de datos personales. El objetivo es verificar si las disposiciones del proyecto cumplen con el Reglamento General de Protección de Datos (RGPD, UE 2016/679) y la Ley Orgánica 3/2018 (LOPDGDD), sin entrar en aspectos ajenos a la privacidad.
El Anteproyecto, con 146 artículos, actualiza la normativa para adaptarla a cambios regulatorios de la UE (como el Reglamento 2022/123 sobre gestión de crisis sanitarias) y a nuevas necesidades del sector farmacéutico (ej.: habilitación de enfermeras y fisioterapeutas para prescribir medicamentos). Sin embargo, su redacción presenta lagunas en el tratamiento general de datos personales, lo que motiva las recomendaciones de la AEPD.
Principales hallazgos y recomendaciones
Falta de cláusula general sobre protección de datos
El Anteproyecto no incluye una disposición que abarque todos los tratamientos de datos derivados de la ley, salvo excepciones como el artículo 121 (protección de datos en prestación farmacéutica).
La AEPD recomienda incorporar un nuevo artículo o disposición adicional que:
Garantice el cumplimiento del RGPD y LOPDGDD en todos los tratamientos de datos vinculados a la aplicación de la ley.
Defina condiciones específicas para la licitud del tratamiento, limitar la finalidad, plazos de conservación y medidas de seguridad (siguiendo el artículo 6.3 RGPD).
Incluya evaluaciones de impacto previas (artículo 35 RGPD) para tratamientos de alto riesgo.
Recoja el principio de proporcionalidad (limitación de datos a lo esencial para la finalidad perseguida).
Ejemplo de redacción propuesta:
«Todos los tratamientos de datos derivados de esta ley se ajustarán al RGPD y la LOPDGDD, garantizando confidencialidad, integridad y limitación de finalidad. Los responsables realizarán evaluaciones de impacto y adoptarán medidas técnicas para asegurar la trazabilidad y seguridad de los datos».
Análisis del artículo 121 (protección de datos en prestación farmacéutica)
Este artículo reproduce textualmente la regulación del vigente artículo 103 del Real Decreto 1/2015, por lo que la AEPD ratifica su informe anterior (72221/2015):
La cesión de datos entre la Seguridad Social y el Ministerio de Sanidad debe limitarse estrictamente a lo necesario para determinar la aportación farmacéutica del usuario (ej.: franjas de renta), sin incluir detalles como la cuantía exacta de ingresos.
Los datos deben tratarse exclusivamente para la finalidad establecida, con medidas que eviten accesos no autorizados.
Disposiciones con cambios relevantes para la privacidad
Artículo 86 (receta y prescripción hospitalaria):
Al ampliar la prescripción a enfermeras y fisioterapeutas, se recuerda la obligación de tratar los datos de salud (especialmente protegidos) con secreto profesional (artículo 9.3 RGPD).
Artículo 103 (trazabilidad de medicamentos en emergencias sanitarias):
Derivado del Reglamento UE 2022/123, este precepto refuerza el intercambio de datos para crisis sanitarias. La AEPD sugiere tomar como referencia el:
Artículo 27 del Real Decreto-Ley 21/2020 (derogado), que regulaba la protección de datos durante la pandemia de COVID-19, destacando la necesidad de delimitar responsables, finalidades y seguridad de los datos intercambiados.
Artículo 124 (gestión de información farmacéutica):
La nueva redacción sustituye «información agregada y desagregada» por términos más genéricos como «información necesaria». La AEPD advierte que sin precisión legal no puede considerarse una base de legitimación válida para nuevos tratamientos de datos (artículo 6 RGPD).
Se requiere especificar qué datos se consideran «necesarios», para qué fines y con qué garantías.
Régimen sancionador propio (artículos 126 y ss.)
Las sanciones de hasta 1 millón de euros (o el quíntuplo del valor del producto infractor) hacen relevante el artículo 10 RGPD sobre datos relativos a condenas e infracciones penales.
La AEPD cita la sentencia del TJUE (C-439/19) para recordar que el concepto de «infracción penal» es autónomo en la UE, no dependiendo de la clasificación nacional. Por ello, deben extremarse las garantías en estos tratamientos:
Supervisión por autoridades públicas.
Limitación estricta a los datos necesarios.
Exclusión de difamación o uso para otros fines.
Conclusiones de la AEPD
El Anteproyecto cumple con el marco actual en el artículo 121, pero su redacción no es suficiente para generalizar a todos los tratamientos de datos que puedan derivarse de la ley.
Se recomienda añadir una cláusula transversal que cumpla con el artículo 6.3 RGPD y artículo 8 LOPDGDD, detallando bases legales, plazos, medidas de seguridad y evaluaciones de impacto.
Los cambios en artículos como 86, 103 y 124 requieren garantías adicionales para evitar riesgos en la protección de datos sensibles (salud, ingresos, etc.).
El régimen sancionador refuerza la necesidad de claridad, especialmente en tratamientos vinculados a infracciones y condenas penales, donde el TJUE exige máxima precisión.
Palabras finales
La AEPD concluye que, aunque el Anteproyecto avanza en la actualización de la normativa farmacéutica, faltan disposiciones que aseguren el respeto al derecho fundamental a la protección de datos en todos los ámbitos regulados. Su informe destaca la importancia de incorporar garantías técnicas, organizativas y jurídicas para alinear el proyecto con el RGPD y la jurisprudencia de la UE, evitando posibles vulneraciones a los derechos de los ciudadanos.
(Resumen: ~500 palabras).