| Resolución | PS-00188-2025 |
| Firmado | 2026-03-13T00:00:00Z |
| Enlace | 📋 |
Resumen de la decisión:
Denuncia o reclamación:
Se investigó a la Gerencia Regional de Salud de Castilla y León por un sistema de comunicación entre farmacias y centros de salud que utilizaba correos electrónicos no cifrados para compartir datos personales y de salud de pacientes (incluyendo nombres, códigos de identificación, medicamentos y enfermedades). Este sistema permitía renovar medicación sin consentimiento informado ni garantías de protección de datos, infravalorando los riesgos de exponer información médica confidencial.
Base legal del procedimiento:
La investigación se basó en posibles infracciones al RGPD (Reglamento General de Protección de Datos):
Artículo 25: Protección de datos desde el diseño (medidas técnicas/organizativas para minimizar riesgos al planificar tratamientos).
Artículo 30: Ausencia de Registro de Actividades de Tratamiento específico para este sistema paralelo de correos.
Artículo 35: Falta de Evaluación de Impacto (EIPD) al tratar datos de salud de categoría especial a gran escala.
Sanción y motivos:
Se declararon infracciones graves (artículo 83.4 RGPD) por:
Falta de diseño seguro: Se creó un canal no previsto para datos delicados (salud), sin cifrado ni control adecuado, a pesar de existir un sistema oficial seguro (Receta Electrónica). Ejemplo: correos accesibles a personal no sanitario.
Gestión deficiente:
No se registró el sistema en el Registro de Actividades de Tratamiento, requerida por el artículo 30.
No se evaluó el riesgo del tratamiento masivo de datos de salud, exigido por el artículo 35.
Legalidad y transparencia: No hubo base jurídica clara para usar correos en lugar del módulo oficial, ni quedó demostrado que se informara a los pacientes sobre cómo se usaban sus datos.
Medidas correctivas y contexto:
Aunque la entidades cesó el sistema en mayo de 2024 y solicitó eliminar los datos sobrantes, la sanción se mantiene:
Las infracciones se prolongaron 7 años (2017–2024), afectando potencialmente a miles de pacientes.
El cese posterior no subsana la negligencia inicial en el diseño y gestión del tratamiento.
La responsabilidad recae en la Gerencia Regional por supervisión deficitaria sobre sus áreas.
Consecuencia:
Se declaró la infracción de los artículos 25, 30 y 35 RGPD, con publicación de la resolución (artículo 77 LOPDGDD para entes públicos), pero sin multa pública específica por su carácter institucional. Se priorizó la transparencia y la garantía de cumplimiento futuro.