30 de junio de 2010

Me voy... y de paso me llevo el fichero

El procedimiento sancionador PS/00613/2009 se inició tras tener entrada en la Agencia Española de Protección de Datos (AEPD) una reclamación interpuesta por D. A.A.A., (el denunciante, en lo sucesivo) poniendo de manifiesto lo siguiente :
El día 24 de octubre recibió por correo un escrito de la empresa EPIDERMOS ofreciendo sus servicios, ignorando quien es, no habiendo estado en sus consultorios.
Jamás les ha facilitado sus señas ni autorización alguna para dirigirse a él.

En el repertorio de abonados a servicios telefónicos no aparecían los datos personales del denunciante, pero la empresa denunciada aseguró que sólo había realizado el mailing a pacientes de su consulta y aportó una copia de la ficha con los datos personales del denunciante, aunque éste volvió a asegurar que no había mantenido ninguna relación con la denunciada y en referencia a la actuación médica referida en la citada ficha: "con quien yo concerté dicho chequeo fue únicamente con el INSTITUTO DEXEUS, S.A."

Lo que en realidad había ocurrido era que Epidermos había prestado durante un tiempo un servicio de chequeos dermatológicos para Dexeus, tratando entre otros pacientes al denunciante. En este caso Epidermos sería desde el punto de vista de la LOPD un Encargado del Tratamiento, que sólo puede usar los datos según las indicaciones del Responsable del Fichero, y que al terminar la relación entre ambas compañías (2006) debería haber destruido o al menos bloqueado tales datos.

Así lo expresa la Resolución sus Fundamentos de Derecho:
La relación profesional entre el Dr. y Dexeus no habilita a aquel para la realización del tratamiento de datos personales de aquellos pacientes ad livitum. Pues de lo contrario se estaría abonando una zona de impunidad para aquellos “profesionales” que prestan sus servicios a una entidad, y utilizan los datos de los clientes de esa entidad, en beneficio propio, pues no se puede olvidar que “el responsable del fichero” tiene que tener el consentimiento del interesado para el tratamiento o acreditar circunstancia que lo dispense, y en el presente caso, el responsable del fichero en el año 1997, era DEXEUS y no las personas individuales que prestaban servicios en él.
(...)
EPIDERMOS S.L trató datos personales del denunciante, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos, por tanto la actuación de la denunciada no es incardinable en ningún supuesto a la excepción a la prestación del consentimiento que recoge el artículo 6.2 de la LOPD, considerando vulnerado dicho precepto.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad B.B.B.., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 12.000 € (doce mil euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

5 comentarios:

Anónimo dijo...

Seguramente pensaron que después de tanto tiempo nadie se iba a dar cuenta ni iba a protestar, pero les salió mal la jugada.

Marta Barros dijo...

Muchos médicos creen que por eso del secreto profesional están cubiertos en todo lo que se refiere a datos personales, y se los llevan de aquí para allá como si fuesen de su propiedad, pero en realidad son del paciente y con sanciones como esta ya es hora de que se vayan dando cuenta.

esalconsultores dijo...

En mi experiencia con la LOPD tengo muy claro que los servicios profesionales (medicos, ingenieros, abogados, etc...) son de los colectivos que mas "pasan" de toda la legislacion sobre Proteccion de Datos, aunque la verdad es que no me extraña mucho. Si tenemos una Ley Organica que 10 años despues de su entrada en vigor incumplen mas del 80% de las PYMES y seguramente un porcentaje similar de entidades publicas, de que nos quejamos?
Desde mi punto de vista seria necesario al menos hacer 3 cosas:
Inclusion de la figura del Data Privacy Officer EXTERNO en la LOPD. En otros paises "de nuestro entorno" funciona bastante bien.
Acreditacion oficial para el desempeño de ese trabajo.
Campaña publicitaria de la AGPD o del Ministerio de Justicia o de quien sea sobre la obligatoriedad de la LOPD.

Que os parece?

Marketing Positivo dijo...

esal: hombre, como podrás imaginar, yo me apunto enseguida a tu propuesta, pero para mí que va para largo...

Luis Rivero dijo...

Sobre la propuesta de esalconsultores, hay que tener en cuenta que las dos primeras no pueden ser a corto plazo porque implican cambiar una Ley Orgánica y desarrollar un nuevo Reglamento. Y por otro lado ya dudo que tal y como van las cosas en palacio, se vayan a gastar pasta en un campaña pro-LOPD

Publicar un comentario

Respetamos los comentarios de Anónimos, pero se agradece la firma.
Se anularán los comentarios que:
1. No tengan algún tipo de relación con la temática de la nota.
2. Tenga insultos al autor de la nota o a otros comentaristas.
3. Sean de un troll o un hoygan
4. Hagan spam.