Sanciones a entidades privadas.
Instituto Clínico de Alta Tecnología, SA y Mutua General de Catalunya de Seguros y Reaseguros a Prima Fija

El denunciante ha declarado que con fecha 16 de septiembre de 2009, con motivo de su incorporación laboral a la entidad Mutua General de Cataluña, se realizó un reconocimiento médico cuyos resultados fueron trasladados al departamento de RR.HH de la citada entidad. En este reconocimiento le realizaron la prueba de VIH con resultado positivo. Manifiesta que él no autorizó que se le realizase la citada prueba y tampoco le fue entregada una copia del Informe con el resultado del reconocimiento practicado.

El denunciante solicitó tanto a la clínica Cruz Blanca, donde le hicieron el reconocimiento, como a Mutua General, copia de toda la documentación médica, protocolo para la realización de las pruebas, y el documento firmado donde constase el consentimiento informado de la prueba del VIH, a lo que las entidades contestaron que no tenían ningún documento firmado.

Se imputa a Instituto Clínico de Alta Tecnología, SA la infracción de lo establecido en el artículo 7.3 de la LOPD que señala que “los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente”.

Por otro lado la Mutua custodia los informes médicos de los trabajadores en la cámara acorazada y que su acceso está limitado al Director General de la entidad, y a los dos Directores Generales Adjuntos.

No hay duda de que el acceso a los resultados de los informes médicos de los trabajadores del MGC por personas que no pertenecen al servicio médico de la empresa, que son los únicos que necesitan utilizar esta información para el desarrollo de sus funciones, lleva a la conclusión de que las medidas de seguridad no evitaron el acceso de personas no autorizadas a los datos de carácter personal relacionados con la salud.

El director de la Agencia Española de Protección de Datos resolvió imponer a la entidad Instituto Clínico de Alta Tecnología, SA , por la infracción del artículo 7.3. de la LOPD, tipificada como muy grave, una multa de 40.001€ y a Mutua General de Catalunya de Seguros y Reaseguros a Prima Fija, por la infracción del artículo 9.1. de la LOPD, tipificada como grave, una multa de 40.001€.





Arhena Asesoría Fiscal y Legal, SL

Con fecha 5/05/2010, tuvo entrada en la Agencia una denuncia de A.A.A. frente a ARHENA ASESORÍA FISCAL Y LEGAL S.L. por no tener inscritos los ficheros que contienen datos de carácter personal.

En el momento de la presentación de la denuncia, y hasta 20/04/2011, ARHENA ASESORÍA FISCAL Y LEGAL SL no tenía inscrito fichero alguno. Con dicha fecha se inscribieron el fichero “CLIENTES” con la finalidad y usos previstos de “tratamiento de los datos de los clientes necesarios para el mantenimiento y cumplimiento de la relación con los mismos, y el fichero “PROVEEDORES” con la finalidad de tratamiento de los datos de los proveedores “, ambas de nivel básico en cuanto a medidas de seguridad.

El artículo 26 de la LOPD señala en su primer punto que toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia de Protección de Datos.

El director de la Agencia Española de Protección de Datos resolvió imponer a Arhena Asesoría Fiscal y Legal, SL por la infracción del artículo 26 de la LOPD, tipificada como leve, una multa de 2.000 €.





Asociación Pro-Recuperación de Marginados (APROMAR)

Con fecha de 25/11/2010, tuvo entrada en la Agencia un escrito de D. A.A.A. en el que denuncia a la entidad ASOCIACIÓN NACIONAL PRORECUPERACIÓN DE MARGINADOS (APROMAR) por insertar sus datos personales y de terceros en la “Memoria Apromar 2008/2009” editada por la misma, a la que tuvo acceso mediante el buscador Google.

La entidad APROMAR alegó que el motivo de la libre disponibilidad de la información a través de Internet se debe a un error informático, ya que el documento, en principio, contaba con restricciones para el acceso al público, puesto que se encontraba en un servidor pendiente de ser difundido únicamente entre los socios, que, dado su poder de participación en las decisiones al respecto, han de ser informados anualmente de todas las actividades y de todos los beneficiarios directos de la entidad. Siendo desconocida la causa de este error se ha optado por eliminar el fichero definitivamente, habiéndose solicitado a Google la eliminación de la entrada en sus bases de datos, sin saber cuánto tardará este proceso y que tampoco se dispone de consentimiento del denunciante para publicar sus datos, dado que no existía tampoco intención de publicarlos.

El tratamiento de datos de carácter personal tiene que contar con el consentimiento del afectado o, en su defecto, debe acreditarse que los datos provienen de fuentes accesibles al público, que existe una Ley que ampara ese tratamiento o una relación contractual o negocial entre el titular de los datos y el responsable del tratamiento que sea necesaria para el mantenimiento del contrato.

El director de la Agencia Española de Protección de Datos resolvió imponer a Asociación Pro-Recuperación de Marginados (APROMAR) por la infracción del artículo 6.1 de la LOPD, tipificada como grave, una multa de 1.500 €.