30 de marzo de 2010

Biopsias en la basura

El procedimiento sancionador PS/00325/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a D. A.A.A., se inicia tras la denuncia presentada por Dña B.B.B, en su calidad de presidenta de la Asociación El Defensor del Paciente (en lo sucesivo la denunciante), manifestando que en el periódico “la Nueva España” había aparecido una noticia relativa al hallazgo en la vía pública de envases con biopsias médicas.

En el atestado policial se decía que “Los Agentes significan que todos los botes tiene etiquetas con números de historiales clínicos, constando datos de pacientes y facultativos, así como nombres que identifican el contenido de los mismos”. En total 41 frascos con la siguiente información: Número de Historia Clínica, Nombre y apellidos del paciente, Sociedad Médica o facultativo, Tipo de tejido (3 casos), Diagnóstico (13 casos).

D. A.A.A. reconoció que los restos encontrados se trataban de una serie de frascos de biopsias antiguas de su consulta en los que figuraba el médico solicitante de la biopsia, el nombre del paciente y, en ocasiones, el número de historial clínica y la zona anatómica afectada. Manifiestó que los restos se encontraron en la basura por un error “la mujer dedicada a las tareas de limpieza había cogido por error esta bolsa, junto a otras bolsas de deshecho,… y las había llevado al contendor de la basura donde las había tirado”.

D. A.A.A. alegó que la entidad denunciante carece de legitimación para iniciar el presente procedimiento; “sin consentimiento expreso de los presuntos agraviados en su honor o intimidad, no puede erigirse en "defensor" de la intimidad de esos terceros, por tratarse de materias que abarcan la esfera personal e íntima de los individuos.” La AEPD aclara:
La denuncia, con carácter general, no requiere la condición de interesado, pudiendo ser denunciante cualquier persona, que tiene por tanto, la posibilidad de poner en conocimiento del órgano administrativo competente, la existencia de un determinado hecho que pudiera constituir infracción administrativa, siendo en la fase de actuaciones previas cuando por parte de la Agencia se procede a analizar la veracidad de los hechos denunciados, y en base a las mismas opta por aperturar, de oficio, expediente sancionador o archivar las mismas.

El denunciado alegó también que los hechos escapan del ámbito de aplicación de la ley de protección de datos al considerar “que los botes no incluían datos personales de pacientes, ni direcciones, ni otros datos de la Historia Clínica o identificativos del paciente como su DNI. Tampoco se incorporan a ningún archivo informático, sino que se destruyen una vez que se hacen llegar por escrito al Médico solicitante." Manifiestó que “no tiene Historias Clínicas, ni posibilidad de identificar a los pacientes puesto que sus datos sólo se encuentran recogidos y archivos en la Historia Clínica del Médico solicitante de la prueba. Con los datos de esos botes, no se pueden identificar las circunstancias personales de los pacientes afectados y en consecuencia no hay terceros implicados por la forma en que se destruyen los botes, puesto que nadie puede llegar a conocer la Historia Clínica de los pacientes y circunstancias o datos personales de los mismos”. A lo que la AEPD responde:
Debemos partir del hecho de que el denunciado, médico patólogo, maneja datos personales: el nombre y apellidos de los pacientes, y que realiza un tratamiento de los datos: analizando unos tejidos y fijando un diagnóstico. Tanto el nombre y apellidos de los pacientes como el diagnóstico figuraban en las etiquetas de los botes, lo que implica la identificación de una persona asociado a la patología que padece.
De esta interpretación amplia de lo que debe interpretarse como datos de salud, se deduce que dentro de esta categoría debe subsumirse la información sobre personas concretas que se encontraba en las etiquetas de los botes encontradas, independientemente que fuera escueta y de carácter benigno.

Desestimadas las alegaciones, la AEPD dictamina:
En el caso que nos ocupa, D. A.A.A., es responsable de la custodia de la documentación relativa a diversos pacientes y que apareció abandonada en la vía pública. Existiendo pues un incumplimiento del deber de secreto, produciéndose una ausencia de confidencialidad, por lo que se considera que se ha cometido una infracción del transcrito artículo 10 de la LOPD.

Se admiten, sin embargo, determinadas circunstancias atenuantes:
Valorando las circunstancias del presente caso, donde se ha establecido en los hechos probados que se trató de un hecho puntual; que “en el mismo momento en que el tuvo conocimiento de los hechos por mediación de la Prensa, acude presuroso a la Comisaría de Policía para identificarse y para paliar en todo lo posible las consecuencias que pudieren derivarse de dicho error “, que “es práctica habitual y constante del compareciente deshacerse de estos restos en forma reglada y mediante contrato suscrito desde hace muchos años con entidad es especializadas a tal fin”, debe entenderse que operan dichas circunstancias atenuantes de la responsabilidad; aplicadas ya por esta Agencia, en otros procedimientos similares relativos a la localización en la vía pública de documentación con datos de carácter personal.

Y así, finalmente,
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad A.A.A., por una infracción del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3,4 y 5 de la citada Ley Orgánica.

Esta Resolución ha sido recurrida.

23 de marzo de 2010

De oca a oca, la sanción me toca

El procedimiento sancionador PS/00689/2008, instruido por la Agencia Española de Protección de Datos (AEPD) a la COMUNIDAD DE PROPIETARIOS RESIDENCIAL ARMENIA, se inicia vista la denuncia de uno de los vecinos acerca de un listado de deudores de la comunidad que figuraba expuesto en el tablón de anuncios, cerrado y que dispone de llaves, en el que aparecía dicho vecino como moroso incluso después de haber abonado la deuda pendiente.

El vecino pretende que además sean sancionados dos administradores de fincas, ya que durante el periodo en el que el cartel estuvo expuesto se produjo un cambio de administrador por lo que considerable sancionable tanto que el primero confeccionara el documento como que el segundo permitiera su continuidad en el tablón. Sin embargo la AEPD indica que no hay pruebas concluyentes sobre quién preparó el listado de morosos ni de que la empresa heredera de la administración tuviera copia de la llave y por tanto acceso al tablón.

Se deja claro quién es la entidad responsable de este tipo de ficheros de vecinos y el tipo de relación que tiene con el administrador:
Por ello, la condición de responsable de los ficheros creados para la adecuada gestión y funcionamiento de la comunidad de propietarios de un inmueble objeto de división horizontal corresponderá a la propia Comunidad, (...) si la ubicación de los ficheros de datos de los co-propietarios, es la de la sede del propio Administrador de Fincas, encargándose de la custodia de los mismos, almacenándolos en su propio ordenador, o pudiendo acceder a ellos, o bien en un espacio físico diferente de las instalaciones de la comunidad (por lo general, en la empresa de  Administradores de Fincas para la cual trabaja), es considerado como un servicio que el Administrador presta a la Comunidad, por lo que debe regularse en cuanto a protección de datos con dicho artículo 12 de la LOPD.

Y en resumen:
Teniendo en cuenta para la Comunidad de Propietarios Residencial Armenia, que figura en la hoja expuesta el sello de la misma, como la responsable del fichero, y siendo responsable del tablón, habiendo mostrado falta de diligencia consistente no solo en exponer el listado sino en dejar transcurrir el tiempo, conociendo la exposición de los datos del denunciante al menos desde que se inició este procedimiento, y que esta exposición perdurase en el tiempo, vulnerándose el derecho al secreto de datos durante un período dilatado, y como responsable del tablón de anuncios, se le propone para la imposición de una sanción de 6.000 €, teniendo en cuenta el artículo 45.4 de la LOPD.

Y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la COMUNIDAD DE PROPIETARIOS RESIDENCIAL ARMENIA, (C…………) de (…….), por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000 € de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica.

17 de marzo de 2010

Entre paréntesis

Este blog entra en una fase de parada para reparaciones. Para el lector que aún no lo sepa, resumir que la Agencia Española de Protección de Datos (AEPD) ha tomado la sorprendete y absurda decisión de modificar todas las URL de su sitio web dejando inútiles y abocados al Error 404 a todos los enlaces que en internet apuntaban a su página, incluyendo por supuesto los cientos de ellos que hay en este blog.

Más detalles aquí: Suicidio virtual de la AEPD

Ahora toca repensar este blog, elegir entre las distintas opciones (integrar estas anotaciones en otro sitio, convertirlo en dominio propio y alojar internamente la documentación, reparar los enlaces a mano y dejar el resto como esta, etc...) y ponerse manos a la obra.

Ojalá podamos cerrar enseguida el paréntesis.

Actualización 17 de marzo: parece que la AEPD ha entrado en razón y han vuelto a redireccionar los dominios, de forma que los enlaces ya funcionan correctamente.
Recuperamos de inmediato el ritmo normal de publicación. Gracias a todos por los apoyos recibidos.

9 de marzo de 2010

No se lo digas a mi ex marido

Siguiendo con las sagas familiares, y tras No se lo digas a mi hermano, aparece el procedimiento sancionador PS/00189/2009, en el que Dª. A.A.A. denuncia al INSTITUTO MEDICO QUIRURGICO SAN RAFAEL, S.A., por haber entregado determinado datos de salud a su ex-marido, D. B.B.B.

La entidad imputada ha relatado los hechos de la siguiente manera:
D. B.B.B. se presentó en sucesivas ocasiones en la Recepción de IMQSR solicitando que se le emitiera un documento en el que se hiciera constar la información a la que se ha hecho referencia en el párrafo anterior. Tras comprobar el personal de Recepción que no se cumplían los requisitos exigidos en el PROCEDIMIENTO DE RECOGIDA, ENTREGA y ENVÍO DE DATOS PERSONALES, se negó a facilitarle la información solicitada. (…)
Tras varias negativas, D. B.B.B. consiguió intimidar a una trabajadora que, de forma excepcional y tras comprobar que el solicitante era conocedor de toda la información que deseaba que se plasmara por escrito y, con el ánimo de no provocar un perjuicio mayor ni para la paciente ni para IMQSR, si no todo lo contrario, con el afán de prestar un buen servicio, accedió a emitir el documento solicitado.

La AEPD deja claro que:
Ha quedado acreditado en el presente procedimiento sancionador que el Instituto Médico Quirúrgico San Rafael, S.A. facilitó datos de salud de la denunciante Sra. A.A.A., incluidos en el artículo 7 de la LOPD a un tercero sin su consentimiento.
De acuerdo con lo señalado, se considera que el Instituto Médico Quirúrgico San Rafael, S.A. ha incurrido en la infracción muy grave tipificada en el artículo 44.4.g) de la LOPD.

Sin embargo a la hora de graduar la sanción la AEPD toma en consideración los esfuerzos de IMQSR por cumplir la legislación:
El Instituto Médico Quirúrgico San Rafael no solo dispone de una normativa interna en materia de protección de datos de carácter personal, plasmada en su Documento de Seguridad sino también que ha implantado procedimientos normalizados de trabajo para el cumplimiento de la misma en todas sus áreas, formando e informando a todo su personal con el fin de involucrarlo en el respeto de los derechos de los pacientes, especialmente en la protección de sus datos personales y de su intimidad.

Y así finalmente:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INSTITUTO MEDICO QUIRURGICO SAN RAFAEL, S.A., por una infracción del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45 .3, .4 y .5 de la citada Ley Orgánica.

3 de marzo de 2010

Consentimiento previo suave

En el procedimiento sancionador PS/00414/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad ACCURACY CONSULTING, S,L. (en adelante ACCURACY) podemos leer una de las alegaciones más curiosas que he visto nunca: estar en posesión de un "consentimiento previo suave". Veamos la historia.

Tuvo entrada en la AEPD un escrito de la representante de ALLIANZ SEGUROS, COMPAÑIA DE SEGUROS Y REASEGUROS, S.A., (en adelante ALLIANZ o la denunciante), en el que manifestaba lo siguiente:
Que desde enero de 2009 agentes exclusivos de ALLIANZ han venido recibido correos electrónicos firmados por el Sr. A.A.A. en calidad de Responsable de Grandes Cuentas de ACCURACY mediante los cuales publicitaban sus servicios.
Que: “Ni Allianz Seguros, ni ninguno de los mediadores afectados, ha otorgado su consentimiento a Accuracy para el envío de información no conectada directamente con la actividad de mediación de seguros.”
Que en fecha 29 de enero de 2009 remitió un burofax dirigido al Sr. A.A.A., como representante de ACCURACY en el que se le solicitaba que dejara de remitir correos electrónicos publicitarios a las direcciones de correo electrónico que ALLIANZ puso a disposición de sus agentes para el desempeño de las correspondientes funciones profesionales. ACCURACY recibió el burofax en fecha 30 de enero de 2009, pero no fue contestado.
Finalmente, añadir que en ninguna de estas comunicaciones comerciales aparecía indicación relativa al modo en el que los destinatarios de ellas podían oponerse al tratamiento de sus datos personales, en concreto su dirección de correo electrónico, con fines promocionales.

Los representantes de ACCURACY, en respuesta a la solicitud de información remitida por la Inspección de Datos, realizaron entre otras las siguientes alegaciones:
Al ponerse en contacto telefónico con ALLIANZ para tratar de llegar a un acuerdo de colaboración, una persona del departamento de Recursos Humanos les informó de que ALLIANZ no hacía ese tipo de convenios, pero, al parecerle interesante, les permitió comunicar directamente sus servicios a sus agentes remitiéndole para ello a la página web www.agentesallianz.com, donde se encontraban las direcciones de correos y datos personales de los mismos. ACCURACY siguió el planteamiento de Recursos Humanos y, dado que no existía otra opción, remitió los mensajes facilitando todos sus datos, así como una persona de contacto.
(...)
Es por ello que entendemos que el consentimiento por parte de ALLIANZ si que se efectuó, si bien no de forma fehaciente, pues no es practica habitual de ALLIANZ tener convenios de colaboración con otras entidades, sí que el departamento de RR.HH. consideró interesante las ofertas que a sus empleados les podría repercutir, los servicios de ACCURACY.
(…)
Sin embargo, no quedan prohibidos todos los mensajes electrónicos no solicitados. Está prevista una excepción a esta norma cuando los datos electrónicos para el envío de correo electrónico o SMS se hayan obtenido en el marco de una venta. Es lo que a veces se denomina "consentimiento previo suave" (en negrita en el original).

Sobre esta curiosa y novedosa alegación la AEPD opina:

En este sentido, y en contestación a la alegación del “consentimiento previo suave” se puede afirmar, tal y como tiene sentado consolidada jurisprudencia del Tribunal Supremo - por todas las sentencias de 8 de febrero de 1.964, 26 de mayo de 1.986 y 11 de junio de 1.991 - en interpretación del artículo 1.253 del Código Civil, que existen tres modos o formas básicas del consentimiento: expreso, manifestado mediante un acto positivo y declarativo de la voluntad; tácito, cuando pudiendo manifestar un acto de voluntad contrario, éste no se lleva a cabo, es decir, cuando el silencio se presume o se presupone como un acto de aquiescencia o aceptación; y presunto, que no se deduce ni de una declaración ni de un acto de silencio positivo, sino de un comportamiento o conducta que implica aceptación de un determinado compromiso u obligación. A efectos de la Ley Orgánica 15/1999 y con carácter general, son admisibles las dos primeras formas de prestar el consentimiento. Y en este supuesto, ALLIANZ manifestó en la denuncia presentada a esta Agencia en fecha 11 de marzo de 2009 que: “Ni Allianz Seguros, ni ninguno de los mediadores afectados, ha otorgado su consentimiento a Accuracy para el envío de información no conectada directamente con la actividad de mediación de seguros". Por el contrario, ACCURACY CONSULTING, S.L. no ha podido acreditar en el procedimiento seguido que contara con el consentimiento de la entidad denunciante ni de ninguno de sus empleados, agentes y mediadores para realizar los envíos del correo electrónico reseñados en los puntos 1 y 2 anteriores.

Y por tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ACCURACY CONSULTING, S.L. una multa de 15.100,00 € (quince mil cien euros) por la infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma y de conformidad con lo establecido en el artículo 39.1.c) y 40.d) de esa misma Ley.