Mutua Asepeyo e Instituto Andaluz De Tecnología
La denunciante manifiesta que sufrió un accidente de circulación y fue atendida por un médico de la mutua ASEPEYO. Indica que no autorizó la incorporación de sus datos a fichero alguno y que no fue informada de los derechos incluidos en el art. 5 de la LOPD. En enero de 2008 tiene conocimiento de que la entidad en la cual trabaja es informada regularmente por ASEPEYO de la evolución de las lesiones sufridas y que desde noviembre de 2007 había sufrido una mejoría que permitía su reincorporación al trabajo. Con fecha 31 de enero de 2008 recibe carta de despido firmada por el Instituto Andaluz de Tecnología, en la que hacen referencia a su salud y evolución de las lesiones como causa de despido. Manifiesta que la cesión de datos queda ratificada por la declaración del médico de la mutua como testigo perito en el procedimiento laboral de demanda por despido improcedente. En el presente caso se ha acreditado que ASEPEYO remitió, al Instituto Andaluz de Tecnología, una notificación de fecha 12 de noviembre de 2007 donde se manifiesta que. “vistos los diferentes partes e informes médicos que obran en poder de la Mutua, se llega a la conclusión de que la trabajadora puede no estar impedida para el trabajo y, por tanto, procede instar de la Inspección Médica correspondiente la oportuna alta médica”. Según la normativa específica, las propuestas de alta se harán llegar a los facultativos o servicios médicos correspondientes, quienes serán los que deban pronunciarse al respecto bien confirmando la baja médica o admitiendo la propuesta de alta a través de la expedición del alta médica. Esta es la información que recibirá la empresa, el alta médica del facultativo que deba pronunciarse al respecto pero no así una propuesta de alta. Además, esta información se obtiene, tras los controles médicos a que se somete la denunciante, que son los que permiten llegar a la conclusión de cuál es su estado de salud. Esto se considera un dato de salud referido a la buena salud de la afectada. ASEPEYO ha comunicado datos personales de la denunciante sin su consentimiento. El IAT ha tratado un dato de salud de su trabajadora sin su consentimiento y lo ha utilizado como causa de su despido. El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad ASEPEYO por la infracción del artículo 11.1 de la LOPD, tipificada como muy grave una multa de 60.101,21 €. Asimismo, el director de la Agencia Española de Protección de Datos resolvió imponer a la entidad INSTITUTO ANDALUZ DE TECNOLOGÍA por la infracción del artículo 7.3 de la LOPD, tipificada como muy grave una multa de 60.101,21 €.
Doctora D ª A.A.A.
Tuvo entrada en la AEP testimonio de diligencias previas, remitido por el Juzgado de Instrucción Nº 1 de Sevilla, relativo a las diligencias practicadas a raíz de denuncia presentada ante el mismo. Los hechos se refieren a la localización, el día 14/11/08, en un contenedor de basuras sito en la calle Santiponce s/n, frente al colegio Carlos V, de Sevilla, de “94 sobres con informes médicos en su interior al hospital dispensario Victoria Eugenia Cruz Roja Española”.
En el anverso de los sobres, figura impreso el literal “Hospital Dispensario Victoria Eugenia. Cruz Roja Española. Sevilla”, un número de Historia y una fecha, constatándose que las fechas que figuran en los sobres están en el rango de años entre 1989 y 2001,
En buena parte de los sobres consta el nombre de Dña A.A.A., así como el literal Psicología. El contenido de los sobres es el siguiente:
A)- Datos personales consistentes en nombre, apellidos, edad, domicilio, historia personal, hábitos y cuestiones relativas a sociabilidad y relaciones personales.
B)- Cuestionarios, pruebas y tests de carácter sociológico o psicológico.
Alega el Hospital Dispensario Victoria Eugenia que los profesionales sanitarios que realizan esta actividad concertada en el Hospital pertenecen al Servicio Andaluz de Salud (SAS) de dicha Consejería. El resto de los pacientes acuden al hospital privadamente o procedentes de sociedades médicas privadas. Esta actividad es ofrecida por las Consultas Externas del Hospital, en las cuales trabaja personal sanitario privado.
Este personal sanitario suscribe con el Hospital los siguientes acuerdos:
- Contrato de prestación de servicios.
- Contrato de tratamiento de datos de carácter personal por cuenta de terceros.
- Cláusula informativa de protección de datos.
Además, cuando se incorpora al Hospital un nuevo facultativo se le hace entrega del apartado de “Funciones y Obligaciones del Personal” que obra en el Documento de Seguridad.
Los Inspectores solicitaron a los representantes del HOSPITAL si era posible que la Doctora A.A.A. se personara en la sala del Hospital donde se desarrollaba la inspección. La Doctora se personó en dicha sala, informándola que la visita de inspección estaba motivada por una reclamación llegada a la Agencia con motivo de la aparición de 94 historiales clínicos en un contenedor en la ciudad de Sevilla. Dña A.A.A. realizó las siguientes manifestaciones:
Dichas historias clínicas se pueden corresponder con las que custodiaba en su casa, y que por error fueron enviadas por un familiar a un punto limpio de Sevilla.
En todo momento supuso que dicha información habría sido destruida, ya que a pesar de haber sido enviada a un punto limpio por error, al ser un punto limpio, al menos se habría destruido completamente, sin posibilidad de que terceros pudieran acceder a la misma.
El envío se realizó por el empleado del hogar de dicho familiar.
Ella custodiaba en su domicilio los historiales clínicos de su consulta de Psicología que pasa en el Hospital, correspondientes a pacientes atendidos hasta el año 2002.
La doctora alego que dada la precariedad de los medios puestos a su disposición en el Hospital entre los años 1.989 y 2.002, y precisamente velando por la privacidad y el secreto de las historias clínicas de mis pacientes no tuvo otra alternativa sino guardarlas en su propio domicilio, en un despacho cerrado con un candado y dentro de archivadores asimismo cerrados con llave.
En el presente caso, la denunciada es responsable de la custodia de la documentación relativa a sus pacientes, que ha sido recuperada por el denunciante, existiendo pues, una omisión del deber de secreto, produciéndose una ausencia de confidencialidad, por lo que se considera que se ha cometido una infracción del transcrito artículo 10 de la LOPD. Asimismo, El artículo 9 de la LOPD establece el principio de “seguridad de los datos” imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquélla, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el “acceso no autorizado”.
El director de la Agencia Española de Protección de Datos resolvió imponer a D ª A.A.A., por la infracción del artículo 9 de la LOPD, tipificada como grave una multa de 6.000 €.
Suministros Textiles Etxetik SL
Tuvo entrada en la AEP u escrito de B.B.B. (denunciante 1), en el que denuncia a la entidad Suministros Textiles Etxetik, S.L. (ETXETIK) por el tratamiento de sus datos personales sin su consentimiento, concretamente, el dato relativo al número de telefonía móvil “661******”, al que le realizaron una llamada en fecha 17/07/2008.
En su escrito de denuncia manifiesta que los responsables de la entidad ETXETIK han declarado que su número de telefonía móvil les fue facilitado como dato de contacto por la hermana de la denunciante 1, que figura como cliente de la entidad. Añade que nunca ha sido clienta de la tienda que dicha entidad tiene en Mungía, denominada “Soineko”, y que dicho dato únicamente ha podido obtenerse por el responsable de ETXETIK de las bases de datos del Departamento de Interior del Gobierno Vasco o del Ayuntamiento de Bilbao.
Por otra parte, advierte la denunciante 1 que ETXETIK dispone de ficheros de datos personales que no figuran inscritos en el Registro General de Protección de Datos.
Posteriormente, tuvo entrada en la AEPD un escrito de Dña. A.A.A. (denunciante 2), hermana de la denunciante 1,en el que declara que, a pesar de haber sido cliente del establecimiento “Soineko”, perteneciente a la entidad ETXETIK, nunca ha facilitado ningún dato personal a la misma, propio o de su hermana. Asimismo, denuncia que dicha entidad no le informó sobre el tratamiento de sus datos personales.
ETXETIK , solicita el archivo de las actuaciones, , considerando que ETXETIK no dispone de datos personales relativos a la denunciante 1 y que han limitado su actuación a utilizar los datos facilitados por la denunciante 2 en su condición de clienta de la entidad, que tuvieron por ciertos al tratarse de datos recogidos directamente de la clienta, que así lo reconoció en declaración previa y en un juicio promovido contra ella, sin que tuvieran conocimiento de que uno de los números telefónicos correspondiera a la hermana de la clienta citada.
ETXETIK no ha justificado que, en el momento de la recogida de datos personales de sus clientes, facilitara ninguna información relativa al tratamiento de los datos y su registro en el fichero "FICHA CLIENTES".
En el supuesto examinado, se constata que ETXETIK dispone de un fichero, denominado "FICHA CLIENTES", en el que se recogen datos de carácter personal relativos a sus clientes que son utilizados para el desarrollo de la actividad que desarrolla en la tienda de su titularidad, denominada Soineko, y que no solicitó la inscripción del mismo en el Registro General de Protección de Datos hasta marzo de 2009, con posterioridad a la denuncia formulada por esta causa.
Asimismo, se imputa a la entidad ETXETIK la posible comisión de una infracción del artículo 5 por no informar en el momento de la recogida de datos a sus clientes
El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad SUMINISTROS TEXTILES ETXETIK, S.L., por la infracción del artículo 5 y 26.1 de la LOPD, tipificadas como leves, dos multas de 601.01 €
|
