Los datos personales de salud son datos especialmente protegidos. Su tratamiento no es exclusivo de hospitales, sino que todo tipo de clínicas médicas, así como profesionales de la salud están obligados a hacer un uso lícito y seguro de los mismos (con medidas reforzadas para dicho cumplimiento).
HECHOS
El 8 de noviembre del año 2018, una mujer acudió al servicio de urgencias del hospital HM de Madrid (en adelante, «el reclamado»); siendo ingresada. Con motivo de este ingreso, la paciente tuvo que rellenar un formulario, donde constaba una casilla para marcar. El texto de esa casilla aclaraba que, en caso de no marcarse, el usuario autorizada a que sus datos fueran cedidos a terceros. Así, el hospital HM de Madrid procedió a remitir informe a la compañía aseguradora Mapfre, que denegaría una prueba médica, y recalcularía el importe de la prima de la póliza del seguro a la paciente.
La paciente (en adelante, «la reclamante»), interpuso reclamación ante la Agencia Española de Protección de Datos el 3 de enero de 2019, no sin antes formular denuncia el 26 de noviembre de 2018 ante la Comisaría de Policía, y reclamación ante la Consejería de Sanidad de la Comunidad de Madrid .
Con fecha de 1 de febrero de 2019, la AEPD traslada al reclamado la reclamación. El hospital responde el 6 de marzo de ese mismo año, argumentando que la comunicación a las aseguradoras es un procedimiento común para comprobar la cobertura que pueda tener contratada un paciente.
En base a estos hechos, la AEPD acordó iniciar, el 27 de junio de 2019, procedimiento sancionador al reclamado.
INFRACCIÓN COMETIDA
El tratamiento de datos requiere de una base legal que lo legitime, como es el consentimiento. Un consentimiento que debe ser expreso. Condición que no se ha cumplido en el formulario proporcionado por el hospital reclamado, el cual no estaba adaptado a la normativa vigente en protección de datos. Además recababa este consentimiento, mediante cláusula, de forma tácita.
Asimismo, se han utilizado los datos personales de la reclamante con una finalidad distinta al mero cumplimiento de la relación negocial (se limita, con la redacción, las opciones del interesado en el marcaje de casillas; el consentimiento se recaba con la inacción del usuario para varios fines, como es la publicidad y la cesión a terceros).
El considerando 32 del Reglamento General de Protección de Datos 2016/679 (“RGPD”) indica que: «el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen”, entendiéndose que “la inacción no debe constituir consentimiento«.
De este modo, se imputa a la entidad reclamada la comisión de una infracción del principio de licitud del tratamiento en la recabación del consentimiento expreso recogido en el artículo 6.1 letra a) del RGPD, y tipificada en el artículo 83.5 letra a) del mismo cuerpo legal.
La AEPD tiene en cuenta, a la hora de fijar el importe de la sanción, los siguientes factores (artículo 83.5 RGPD):
- El alcance del tratamiento es meramente local.
- La duración de la infracción es extensa, pues la documentación del hospital debió actualizarse a la nueva legislación a partir de la entrada en vigor del RGPD, el 25 de mayo del año 2018.
- El daño y perjuicio causado a la reclamante es evidente, con la consecuencia de que esta tuvo que interponer reclamación ante la Consejería de Sanidad, y denuncia ante la policía.
- Existe una relación habitual entre el la actividad de la entidad infractora y el tratamiento de datos personales.
- La entidad reclamada tiene la consideración de una gran empresa.
- No hay constancia de una actuación dolosa, aunque sí negligente.
- La infracción ha afectado a una única persona.
- Resulta destacable la colaboración de la entidad reclamada con la aportación de documentación al procedimiento.
SANCIÓN
Teniendo en cuenta la infracción cometida al vulnerar la necesidad de consentimiento expreso del artículo 6.1 letra a) del RGPD, así como las circunstancias que rodean a los hechos, se dispone fijar una sanción de 60.000 euros. No obstante, es posible la reducción de un 20% por reconocimiento de responsabilidad.
Tras lo expuesto, HM HOSPITALES 1989, S.A. se acoje a la reducción aplicable, por lo que se le impone una multa final de 48.000 euros por vulneración de los artículos anteriormente mencionados.
******************************************
DEFINICIONES
Artículo 4 letra a) RGPD:
«datos personales»: «toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona; […]».
PRINCIPIOS RELATIVOS AL TRATAMIENTO
Artículo 5.1 letra a) RGPD:
«1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); […]»
LICITUD DEL TRATAMIENTO
Artículo 6.1 letra a) RGPD:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; […]».
CONDICIONES PARA LA IMPOSICIÓN DE MULTAS ADMINISTRATIVAS
Artículo 83.5 letra a) RGPD:
«5. Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía: (…)
a) los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento a tenor de los artículos 5, 6, 7 y 9; […]».
******************************************
RESOLUCIÓN AEPD – PROCEDIMIENTO Nº: PS/00187/2019
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
– LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales).
