12 de agosto de 2008

Cada palo que aguante su vela

El mes pasado comentaba el caso de un procedimiento de la AEPD contra la aseguradora Aresa. El asunto a tratar no era tanto la sanción en si misma, ya que es un tema de gran empresa que excede los propósitos de este blog (que se explican bajo el título donde dice: "...Las resoluciones y noticias aquí citadas se refieren siempre a autónomos, micropymes o pymes...") sino analizar la cuestión de quién pagaría finalmente el importe de la sanción habida cuenta de que Aresa fue adquirida en su momento por Mutua Madrileña.
Ahora que la resolución ya ha sido publicada hay que señalar al menos dos aspectos:
  1. A diferencia de los casos con los que se comparaba en la nota señalada, la Mutua no ha absorbido Aresa, sino que ésta se mantiene en el mercado con su marca propia, por lo que es obvio que la sanción recae en Aresa. Sin embargo el resultado final es el mismo: pagarán al fin y al cabo los actuales propietarios, es decir la Mutua, salvo que más tarde pudieran ejercer cláusulas que hubieran previsto en el contrato de compraventa.
  2. Pero lo más importante para nosotros es que al leer la resolución me encuentro con que hay un "tercero" en el asunto: un médico individual al que también han sancionado con 60.000 euros.
Esta es la historia.

En el procedimiento sancionador PS/00331/2007, instruido por la Agencia Española de Protección de Datos a la entidad ARESA SEGUROS GENERALES, S.A., y a DON X.X.X., vista la denuncia presentada por DOÑA G.G.G., que denunció que ARESA cuenta con unos informes médicos suyos emitidos por el profesional que la trata en la actualidad. Dichos informes se refieren a una fecha anterior a la contratación de la Póliza de seguro médico con Aresa. La denunciante manifiesta no haber autorizado al facultativo para el tratamiento de sus datos.

GGG solicitó de ARESA un intervención médica para solucionar un problema de varices, que le fue denegado en base a un informe médico aportado por el facultativo que la trataba (XXX) y de ahí nace la denuncia.

La Agencia inicia el procedimiento imputando a la Compañía Aresa Seguros la infracción a lo establecido en el artículo 7.3 de la LOPD. Este artículo dice:
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.

En el presente caso, está clara la autorización, por parte de la denunciante a Aresa Seguros, para el tratamiento de los datos que le ha facilitado, incluidos los datos de salud que ella misma incluyó en el cuestionario de salud. Esa autorización no es aplicable al tratamiento de los datos de salud obtenidos por los médicos que tienen una relación mercantil con la compañía aseguradora.

Alega Aresa Seguros Generales que el tratamiento de los datos de salud de la denunciante no requiere su consentimiento ya que existe una habilitación legal que lo justifica. En este sentido, debe analizarse la naturaleza de la transmisión de datos que podría ser considerada una cesión o comunicación de datos o la prestación de un servicio por parte del profesional de la medicina (dr. X.X.X.) en nombre y por cuenta de la propia entidad aseguradora. Y de tal análisis la Agencia declara que sólo sería una cesión legítima según lo indicado en el artículo 11.2 c):
Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.

Puesto que la Ley reguladora del Contrato de Seguro impone a la entidad aseguradora la obligación de satisfacer el gasto de asistencia sanitaria efectuado como consecuencia de la enfermedad del asegurado, lo que exigirá conocer cuál será éste, dado que la asistencia se realizará generalmente por terceros ajenos a la propia entidad aseguradora, esta obligación parecería incluir un indicio de la necesidad de comunicación a la aseguradora de los datos necesarios para conocer la actividad asistencial realizada. Pero la tesis de la resolución es que lo dispuesto en el artículo 11.2 c) de la LOPD nunca podrá resultar de aplicación en caso de que nos encontremos ante la cesión de datos especialmente protegidos, y en consecuencia no es aplicable a la cesión efectuada por profesionales de la medicina a las entidades aseguradoras, que sólo será posible si el interesado ha prestado su consentimiento a la cesión o la misma aparece habilitada por lo dispuesto en una norma con rango de Ley.

Este tema termina: PRIMERO:
IMPONER a la entidad ARESA SEGUROS GENERALES, S.A., por una infracción del artículo 7.3 de la LOPD, tipificada como muy grave en el artículo 44.4.c) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

Pero a lo que nosotros nos importa es que la Agencia imputa a Don X.X.X. la cesión de datos de la denunciante sin su consentimiento y sin que se acrediten ninguno de los supuestos contemplados en el artículo 11.2 de la LOPD.
Alega el doctor que en cuanto a la cesión de los datos a la compañía de seguros, se produce una colisión de derechos: el de protección de datos y el derecho a que se comunique al asegurador la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, derecho amparado por la Ley de Contratos. La propia LOPD establece que no se exigirá el consentimiento en el caso que una Ley disponga otra cosa. La comunicación de los datos pretendía obtener un beneficio para la paciente, protegiendo su salud.
La Agencia responde que la Póliza suscrita por la denunciante y la Ley de Contrato de Seguros obligan al asegurado a que comunique la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, pero no al médico que trata a los pacientes. En consecuencia, no existe consentimiento de la afectada para la cesión de los datos de salud por parte del Dr. X.X.X. a la compañía aseguradora ni existe norma legal que habilite tal cesión.
Y por ello:
SEGUNDO: IMPONER al DOCTOR DON X.X.X., por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

¿Y cual es la lección? La misma de siempre: la debilidad del microempresario, en especial cuando está dentro de una estructura superior. Seguro que XXX hubiera dicho a cualquier consultor: "¿LOPD?, yo cumplo, estoy en Aresa (o en esta franquicia, o con este asesor, etc) y ellos me han dicho que está todo bien". Sí, claro, qué te van a decir ellos, pero ahora explícaselo a la Agencia... y después toma el camino del banco y mira a ver de dónde sacas los 60.000€ que te va a pedir Hacienda vía Recaudación ejecutiva.

3 comentarios:

víctor zurita dijo...

Podemos extraer varias conclusiones a la vista de la referida Resolución, la primera sobre la importancia vital que dá la LOPD y por ende la AEPD, al consentimiento inequívoco, la segunda, respecto de los médicos en general, pues son un gremio muy prepotente, y piensan estar por encima del bien y del mal, en consecuencia, este en particular, la pifió, y espero que se remueva dicha Resolución, a nivel mediático, a ver si les bajan (al gremio) del pedestal, en el que sueñan estar. Con la LOPD a los galenos se les vá a enquistar un forúnculo como no espabilen.
Al margen, aprecio que la AEPD, en tiempos de rebajas de verano, persiste en rebajar los importes establecidos y supuestamente conculcar y vulnerar el Régimen Sancionador en vigor.
¿Cómo es posible? ¿ si la falta es considerada muy grave, cuales son los atenuantes? ¿Impera la subjetividad? ¿Es plausible? Doctores tiene el Derecho, me gustaría que dieran respuesta.

Anónimo dijo...

Como siempre el hilo se corta por lo mas delgado.
Víctor tiene razón los galenos si no espabilan la van a pasar muy mal.
Para el galeno que siempre trabajo de una manera, estos cambios forzados por una ley no le gustan para nada.
Pero con un par de estas sanciones aunque sea de rebajas va a hacer que cumplan con la ley ,la herida que mas duele es la que lastima el bolsillo.

Julio Loupias

Marketing Positivo dijo...

Victor: ya hemos comentado alguna vez que sobre este tema no se puede hacer un análisis exclusivamente jurídico, aquí hay mucho de estrategia política. La Agencia prefiere las multas de 600€ por colgar vídeos en Youtube, que le garantizan atención y repercusión mediática, que no sanciones de 60.000€ a un médico individual.
Lo que está claro es que nadie va a reclamar que lo sancionen en mayor grado, así que...

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.