Hace unos días la Agencia de Protección de Datos de la Comunidad de Madrid ha publicado en su página web (www.apdcm.es) una Resolución en la que condena a un centro de salud por ceder datos de carácter personal a una persona no autorizada.
Los hechos que sin duda llaman la atención y que han dado lugar a esta condena son los siguientes: un menor acude a una consulta del Centro de Salud con su padre; posteriormente el padre recibe una llamada en su domicilio del centro médico solicitándole el número del teléfono móvil de su hijo para ponerse en contacto con él porque se había olvidado algo en la consulta. El padre facilita el número requerido y a continuación el hijo recibe una llamada de una señora amenazándole con presentar una denuncia por haberle robado el bolso en la sala de espera de la consulta.
De la investigación llevada a cabo se desprende que fue el propio facultativo que había atendido al menor quien facilitó a la señora los datos del nombre, domicilio y teléfono ya que ésta, muy alterada, le había comunicado que el chico le había robado el bolso.
A consecuencia de estos hechos, la señora denunció al menor por hurto y fue citado a juicio como imputado de la acusación realizada, asunto que posteriormente fue archivado por el Juzgado.
De conformidad con la Resolución dictada por la Agencia estos hechos conllevan una sanción muy grave ya que el doctor comunicó datos de un paciente a otra paciente. Debe recordarse que el facultativo habría estado legitimado para comunicar los datos a las autoridades judiciales o policiales para proceder a la investigación de la posible infracción penal, pero en ningún caso a una tercera persona, ni siquiera a la víctima del robo.
Al tratarse de una infracción cometida por una Administración Pública no se impone una sanción económica sino una recomendación en la que se insta a la adopción de las medidas adecuadas para que cesen o se corrijan los efectos de la infracción.
No nos cabe duda de que en este caso el facultativo actuó de buena fe, que facilitó una serie de datos en una situación de tensión que se produjo en la sala de espera de un centro médico y que manifestó sus disculpas por escrito a los afectados. Sin embargo, si esta misma situación se hubiera producido en una clínica privada, la multa que se le hubiera impuesto oscilaría entre los 300.000 y los 600.000 euros.
En la Resolución se manifiesta que el centro cumplía con las obligaciones que la Ley Orgánica de Protección de Datos establece. Así, tenía inscrito un fichero en la Agencia de Protección de Datos de la Comunidad de Madrid, se había informado a los trabajadores sobre sus obligaciones respecto de la confidencialidad, realizado cursos de protección de datos, etc…
Lo que esta resolución refleja es que la empresa, aún cumpliendo todos los requisitos que la normativa de protección de datos exige, no está libre de situaciones que pueden generar un incumplimiento de la legislación, ya sea por empleados descontentos, por fallos técnicos o incluso como en este caso, por un acto de buena fe. Dado que la empresa no tiene forma de controlar todos estos riesgos que conlleva la gestión de datos personales, resulta interesante y recomendable la contratación de un seguro de protección de datos que cubra cualquier percance que se pueda producir, evitándose así las sanciones que la Agencia Española de Protección de Datos está facultada para imponer.
Publicado en Redacción Médica el jueves 24 de septiembre de 2009. Número 1077. Año V.
Los hechos que sin duda llaman la atención y que han dado lugar a esta condena son los siguientes: un menor acude a una consulta del Centro de Salud con su padre; posteriormente el padre recibe una llamada en su domicilio del centro médico solicitándole el número del teléfono móvil de su hijo para ponerse en contacto con él porque se había olvidado algo en la consulta. El padre facilita el número requerido y a continuación el hijo recibe una llamada de una señora amenazándole con presentar una denuncia por haberle robado el bolso en la sala de espera de la consulta.
De la investigación llevada a cabo se desprende que fue el propio facultativo que había atendido al menor quien facilitó a la señora los datos del nombre, domicilio y teléfono ya que ésta, muy alterada, le había comunicado que el chico le había robado el bolso.
A consecuencia de estos hechos, la señora denunció al menor por hurto y fue citado a juicio como imputado de la acusación realizada, asunto que posteriormente fue archivado por el Juzgado.
De conformidad con la Resolución dictada por la Agencia estos hechos conllevan una sanción muy grave ya que el doctor comunicó datos de un paciente a otra paciente. Debe recordarse que el facultativo habría estado legitimado para comunicar los datos a las autoridades judiciales o policiales para proceder a la investigación de la posible infracción penal, pero en ningún caso a una tercera persona, ni siquiera a la víctima del robo.
Al tratarse de una infracción cometida por una Administración Pública no se impone una sanción económica sino una recomendación en la que se insta a la adopción de las medidas adecuadas para que cesen o se corrijan los efectos de la infracción.
No nos cabe duda de que en este caso el facultativo actuó de buena fe, que facilitó una serie de datos en una situación de tensión que se produjo en la sala de espera de un centro médico y que manifestó sus disculpas por escrito a los afectados. Sin embargo, si esta misma situación se hubiera producido en una clínica privada, la multa que se le hubiera impuesto oscilaría entre los 300.000 y los 600.000 euros.
En la Resolución se manifiesta que el centro cumplía con las obligaciones que la Ley Orgánica de Protección de Datos establece. Así, tenía inscrito un fichero en la Agencia de Protección de Datos de la Comunidad de Madrid, se había informado a los trabajadores sobre sus obligaciones respecto de la confidencialidad, realizado cursos de protección de datos, etc…
Lo que esta resolución refleja es que la empresa, aún cumpliendo todos los requisitos que la normativa de protección de datos exige, no está libre de situaciones que pueden generar un incumplimiento de la legislación, ya sea por empleados descontentos, por fallos técnicos o incluso como en este caso, por un acto de buena fe. Dado que la empresa no tiene forma de controlar todos estos riesgos que conlleva la gestión de datos personales, resulta interesante y recomendable la contratación de un seguro de protección de datos que cubra cualquier percance que se pueda producir, evitándose así las sanciones que la Agencia Española de Protección de Datos está facultada para imponer.
Publicado en Redacción Médica el jueves 24 de septiembre de 2009. Número 1077. Año V.
1 comentario:
Buenas, Ricardo
Me temo que las sanciones administrativas no pueden ser objeto de cobertura por seguros.
Un saludo
Publicar un comentario