9 de marzo de 2010

No se lo digas a mi ex marido

Siguiendo con las sagas familiares, y tras No se lo digas a mi hermano, aparece el procedimiento sancionador PS/00189/2009, en el que Dª. A.A.A. denuncia al INSTITUTO MEDICO QUIRURGICO SAN RAFAEL, S.A., por haber entregado determinado datos de salud a su ex-marido, D. B.B.B.

La entidad imputada ha relatado los hechos de la siguiente manera:
D. B.B.B. se presentó en sucesivas ocasiones en la Recepción de IMQSR solicitando que se le emitiera un documento en el que se hiciera constar la información a la que se ha hecho referencia en el párrafo anterior. Tras comprobar el personal de Recepción que no se cumplían los requisitos exigidos en el PROCEDIMIENTO DE RECOGIDA, ENTREGA y ENVÍO DE DATOS PERSONALES, se negó a facilitarle la información solicitada. (…)
Tras varias negativas, D. B.B.B. consiguió intimidar a una trabajadora que, de forma excepcional y tras comprobar que el solicitante era conocedor de toda la información que deseaba que se plasmara por escrito y, con el ánimo de no provocar un perjuicio mayor ni para la paciente ni para IMQSR, si no todo lo contrario, con el afán de prestar un buen servicio, accedió a emitir el documento solicitado.

La AEPD deja claro que:
Ha quedado acreditado en el presente procedimiento sancionador que el Instituto Médico Quirúrgico San Rafael, S.A. facilitó datos de salud de la denunciante Sra. A.A.A., incluidos en el artículo 7 de la LOPD a un tercero sin su consentimiento.
De acuerdo con lo señalado, se considera que el Instituto Médico Quirúrgico San Rafael, S.A. ha incurrido en la infracción muy grave tipificada en el artículo 44.4.g) de la LOPD.

Sin embargo a la hora de graduar la sanción la AEPD toma en consideración los esfuerzos de IMQSR por cumplir la legislación:
El Instituto Médico Quirúrgico San Rafael no solo dispone de una normativa interna en materia de protección de datos de carácter personal, plasmada en su Documento de Seguridad sino también que ha implantado procedimientos normalizados de trabajo para el cumplimiento de la misma en todas sus áreas, formando e informando a todo su personal con el fin de involucrarlo en el respeto de los derechos de los pacientes, especialmente en la protección de sus datos personales y de su intimidad.

Y así finalmente:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad INSTITUTO MEDICO QUIRURGICO SAN RAFAEL, S.A., por una infracción del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45 .3, .4 y .5 de la citada Ley Orgánica.

7 comentarios:

Belén R. dijo...

Y así se demuestra lo importante de que los trabajadores entiendan bien las políticas de privacidad y que no puede haber excepciones, y menos aún con datos tan sensibles como los de salud.

Mar Lboro dijo...

Me parece justo que les multen por muchas políticas de privacidad que tuvieran en el hospital porque es evidente que estas fallaron.
No me vale eso de que la empleada se dejó "intimidar" porque si se sentía muy presionada lo lógico hubiera sido llamar a un superior y no tirar por la tangente de proporcionar los datos.

Áudea dijo...

Han bajado la cuantía de la sanción al mínimo del escalón inferior.. y aún así me sigue pareciendo una barbaridad.

Si la afectada fuese a un tribunal por haber sentido lesionada su intimidad.. ¿cuánto recibiría de indemnización? ¿1000 euros? ¿5000?

¿¿Por qué el estado tiene que recibir 60.000??

Marketing Positivo dijo...

Hmmmmmmm, arriesgado comentario viniendo de un letrado, supongo ;-)

Me parece mucho suponer establecer una posible cuantía de una hipotética indemnización, ya que desconocemos (yo al menos) las consecuencias y el posible dolo causado a la denunciante. Esto puede ser desde el típico pique de pareja en ruptura "te denuncio por todo" sin más importancia, hasta que el exmarido haya usado por alguna razón tales datos para pagar menos pensión o incluso para localizar la dirección de su expareja que a lo mejor no quiere ni verle la cara. Me parece acertado el comentario de Mar Lboro en el sentido de que argumentos del tipo "intimidó a una trabajadora" no son de recibo (además de que no se aporta prueba alguna de esta información) y tratándose de datos de salud, entiendo que esta vez han graduado con acierto la sanción.

Anónimo dijo...

RDLOPD
Artículo 88. El documento de seguridad.
1. El responsable del fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a <>.
--o--

No es suficiente tener unas buenas políticas de seguridad, deben ser efectivas.

Por otra parte, si hubo intimidación ¿donde está la denuncia presentada por ello?. Excusas sin prueba no valen de nada.

@Áudea: la AEPD ha llegado hasta donde ha podido. El resto es responsabilidad del legislador. Y habria que saber las consecuencias reales de esa vulneración de la LOPD. Podrian ser muy graves para la denunciante. Imaginate que en base a ello un acosador localiza a su ex. En las resoluciones de la AEPD solo se ven unas escenas de la pelicula que no permiten hacerse una idea de toda ella.

Pit.-

Anónimo dijo...

Lo que metí entre los simbolitos era:
a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información.


Por cierto, tienes un icono que constantemente me hace saltar el antivirus y lo señala como un toyano. Se llama favicon.ico

Pit.-

Marketing Positivo dijo...

Gracias Pit. Los servidores donde se aloja el sitio ayudaleyprotecciondatos.es han sufrido un ataque y ya lo están revisando.

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.