Como es sabido, desde enero del año 2000, la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos (LOPD) es de obligado cumplimiento para todos aquellos que manejan datos de carácter personal, ya sea en soporte automatizado o no, quedando el sector sanitario especialmente afectado por el tratamiento de datos de salud que realiza.
Dado que en los últimos meses se han producido situaciones en las que empresas con nombres muy similares al de la Agencia Española de Protección de Datos se presentan en las clínicas, manifestando un incumplimiento por parte del responsable o solicitando la presentación de documentación es conveniente recordar el procedimiento que sigue la Agencia en la realización de inspecciones.
En primer lugar, hay que poner de manifiesto que una de las funciones de la Agencia, de conformidad con el art. 37g) de la LOPD, es la de ejercer la potestad sancionadora en los términos previstos en la propia Ley y en su Reglamento de desarrollo y son los responsables de los ficheros y los encargados del tratamiento, en su caso, quienes están sujetos al régimen sancionador de la Ley. Es decir, en caso de infracción el procedimiento sancionador se iniciará contra el responsable del fichero, que son los centros sanitarios o los profesionales que desempeñen su actividad por cuenta propia.
Las infracciones pueden ser leves, graves y muy graves y cada grupo lleva aparejada una sanción económica que oscila entre los 601,01 y los 601.012,1 euros en el caso de tratarse de entidades privadas, ya que estas sanciones no son de aplicación a las Administraciones Públicas, limitándose en estos casos el Director de la Agencia Española de Protección de Datos a dictar una resolución estableciendo las medidas que deben adoptar para corregir los efectos de la infracción.
De conformidad con el reglamento que desarrolla la LOPD, con anterioridad a la iniciación de un procedimiento sancionador, la Agencia puede realizar actuaciones previas para determinar si concurren las circunstancias que justifiquen su iniciación, o si por el contrario no se encuentran motivos suficientes para iniciar un procedimiento y procede su archivo.
Las actuaciones previas se pueden llevar de oficio o a instancia de parte, es decir, cuando se ha presentado una denuncia.
El personal encargado de la realización de las inspecciones previas pertenece al área de Inspección de Datos de la Agencia y está habilitado para el ejercicio de estas funciones, teniendo consideración de autoridad pública en el desempeño de su cometido y quedando obligados al deber de secreto.
Durante la investigación los inspectores pueden requerir toda la información que precisen para el cumplimiento de su cometido. Asimismo podrán examinarlos en el lugar que se encuentren depositados, obtener copia de los mismos, inspeccionar los equipos físicos y lógicos, así como requerir la ejecución de tratamientos y programas o procedimientos de gestión y soportes de los ficheros sujetos a la investigación, accediendo a los lugares donde se hallen instalados. Durante las actuaciones previas, pueden realizar visitas de inspección a los locales o la sede de la consulta o al lugar en el que se encuentren ubicados los ficheros, en su caso.
Se debe permitir el acceso a los locales de los inspectores, previa exhibición por el funcionario de la autorización expedida por el Director ya que en todo caso deberán haber sido autorizados por el Director de la Agencia Española de Protección de Datos, debiendo constar en esta autorización la habilitación del inspector autorizado y la identificación de la persona u órgano inspeccionado.
Las inspecciones concluyen con el levantamiento de un acta, que se emitirá por duplicado para que sea firmada por el inspector y por el titular del centro sanitario o su responsable, quién podrá hacer constar en la misma las alegaciones o manifestaciones que tenga por conveniente.
Finalizadas las actuaciones previas, se someterán a la decisión del Director de la Agencia Española de Protección de Datos, que podrá manifestar que de las actuaciones no se desprende ningún hecho susceptible de motivar la imputación de ninguna infracción de la Ley Orgánica de Protección de Datos, dictándose en este caso resolución de archivo, o por el contrario, en el caso de apreciarse la existencia de indicios susceptibles de motivar la imputación de alguna infracción, el Director dictará acuerdo de inicio de procedimiento sancionador.
Por tanto, en caso de inspección debe recordarse que el inspector estará habilitado por la Agencia y dispondrá de una autorización que debe mostrar en la que consten los datos a los que se ha hecho referencia, en otro caso no existe obligación de colaboración con la empresa que le requiera ningún tipo de documentación.
Dado que en los últimos meses se han producido situaciones en las que empresas con nombres muy similares al de la Agencia Española de Protección de Datos se presentan en las clínicas, manifestando un incumplimiento por parte del responsable o solicitando la presentación de documentación es conveniente recordar el procedimiento que sigue la Agencia en la realización de inspecciones.
En primer lugar, hay que poner de manifiesto que una de las funciones de la Agencia, de conformidad con el art. 37g) de la LOPD, es la de ejercer la potestad sancionadora en los términos previstos en la propia Ley y en su Reglamento de desarrollo y son los responsables de los ficheros y los encargados del tratamiento, en su caso, quienes están sujetos al régimen sancionador de la Ley. Es decir, en caso de infracción el procedimiento sancionador se iniciará contra el responsable del fichero, que son los centros sanitarios o los profesionales que desempeñen su actividad por cuenta propia.
Las infracciones pueden ser leves, graves y muy graves y cada grupo lleva aparejada una sanción económica que oscila entre los 601,01 y los 601.012,1 euros en el caso de tratarse de entidades privadas, ya que estas sanciones no son de aplicación a las Administraciones Públicas, limitándose en estos casos el Director de la Agencia Española de Protección de Datos a dictar una resolución estableciendo las medidas que deben adoptar para corregir los efectos de la infracción.
De conformidad con el reglamento que desarrolla la LOPD, con anterioridad a la iniciación de un procedimiento sancionador, la Agencia puede realizar actuaciones previas para determinar si concurren las circunstancias que justifiquen su iniciación, o si por el contrario no se encuentran motivos suficientes para iniciar un procedimiento y procede su archivo.
Las actuaciones previas se pueden llevar de oficio o a instancia de parte, es decir, cuando se ha presentado una denuncia.
El personal encargado de la realización de las inspecciones previas pertenece al área de Inspección de Datos de la Agencia y está habilitado para el ejercicio de estas funciones, teniendo consideración de autoridad pública en el desempeño de su cometido y quedando obligados al deber de secreto.
Durante la investigación los inspectores pueden requerir toda la información que precisen para el cumplimiento de su cometido. Asimismo podrán examinarlos en el lugar que se encuentren depositados, obtener copia de los mismos, inspeccionar los equipos físicos y lógicos, así como requerir la ejecución de tratamientos y programas o procedimientos de gestión y soportes de los ficheros sujetos a la investigación, accediendo a los lugares donde se hallen instalados. Durante las actuaciones previas, pueden realizar visitas de inspección a los locales o la sede de la consulta o al lugar en el que se encuentren ubicados los ficheros, en su caso.
Se debe permitir el acceso a los locales de los inspectores, previa exhibición por el funcionario de la autorización expedida por el Director ya que en todo caso deberán haber sido autorizados por el Director de la Agencia Española de Protección de Datos, debiendo constar en esta autorización la habilitación del inspector autorizado y la identificación de la persona u órgano inspeccionado.
Las inspecciones concluyen con el levantamiento de un acta, que se emitirá por duplicado para que sea firmada por el inspector y por el titular del centro sanitario o su responsable, quién podrá hacer constar en la misma las alegaciones o manifestaciones que tenga por conveniente.
Finalizadas las actuaciones previas, se someterán a la decisión del Director de la Agencia Española de Protección de Datos, que podrá manifestar que de las actuaciones no se desprende ningún hecho susceptible de motivar la imputación de ninguna infracción de la Ley Orgánica de Protección de Datos, dictándose en este caso resolución de archivo, o por el contrario, en el caso de apreciarse la existencia de indicios susceptibles de motivar la imputación de alguna infracción, el Director dictará acuerdo de inicio de procedimiento sancionador.
Por tanto, en caso de inspección debe recordarse que el inspector estará habilitado por la Agencia y dispondrá de una autorización que debe mostrar en la que consten los datos a los que se ha hecho referencia, en otro caso no existe obligación de colaboración con la empresa que le requiera ningún tipo de documentación.
Publicado en Redacción Médica el 6 de mayo de 2010. Número 1226. Año VI.
No hay comentarios:
Publicar un comentario