1. Que se tenía el consentimiento del paciente para recabar las imágenes.
2. Que el sistema no asocia la imagen a ningún dato personal del paciente, y que sólo él como cirujano que realizó la intervención es capaz de revertir el proceso de seudonimización, y de esa manera identificar que el vídeo se corresponde con la paciente.
3. Que se pretendía captar la técnica simplemente con fines científicos y docentes, por lo que no formaba parte de la historia clínica de la paciente.
La AEPD procedió a dar respuesta a las alegaciones expuestas por el denunciado y de las cuales podemos sacar conclusiones relevantes:
1. Respecto al documento del consentimiento informado que se aporta como prueba en el procedimiento, el mismo carece de datos identificativos de la paciente, sí contiene los datos identificativos del doctor, así como las firmas del doctor y de la paciente, pero ningún dato más que permita verificar que efectivamente el consentimiento es de la afectada.
2. En relación con el hecho de que el sistema no asocie la imagen a ningún dato de carácter personal de la paciente y que solo el cirujano que realizó la operación sería capaz de identificarla, la AEPD entiende que, al igual que el cirujano que realizó la intervención ha conseguido, utilizando los medios necesarios, identificarla en la grabación, puede comprobarse a partir de este hecho que la información contenida en dicha grabación de la intervención denunciada contiene datos de carácter personal de la denunciante.
3. En este caso, la paciente/denunciante tiene derecho a que quede constancia de la información obtenida en su proceso asistencial como parte de su historia clínica. El hecho de que la grabación de su intervención se recoja con la finalidad de utilizarla para fines docentes y científicos, no significa que, por esa razón, no deban conservarse como parte de la historia clínica de la paciente, tal y como alega el denunciado.
Ninguna de las alegaciones le fue útil al facultativo para llegar a eludir la multa, pero la AEPD ha tenido en cuenta los criterios objetivos del Art. 45.5 de la LOPD, para reducir la cuantía de la sanción atendiendo a:
• El carácter continuado de la infracción. Que en esta ocasión no concurre porque se trató de un hecho puntual.
• El volumen de los tratamientos efectuados. Se considera en este caso que no se trata un elevado volumen de tratamiento de datos.
• El grado de intencionalidad. Se tiene en cuenta en esta ocasión que no hay constancia de actuación intencionada, si bien no cabe duda de que el médico incurrió en una grave falta de diligencia.
• La reincidencia por comisión de infracciones de la misma naturaleza. El médico no figura como responsable de infracciones de la misma naturaleza que la cometida y que es caso de análisis en este artículo.
Además de las alegaciones antes señaladas, el médico fundó su recurso en la prescripción de la acción, alegando que “la conducta presuntamente reprochable está prescrita y por ello procede el inmediato archivo” dado que el entendía que ya había pasado este plazo de un año contado desde el día en que la infracción se había cometido, ya que la parte denunciada consideraba la conducta como leve y no como grave que así lo considera la AEPD.
Pero, por el contrario, la AEPD no lo entiende de este modo, ya que nos encontramos en el presente caso, ante una infracción de las denominadas permanentes, caracterizada porque la conducta merecedora de reproche administrativo se mantiene durante un espacio prolongado de tiempo, y por ello el computo del plazo de prescripción no llega a iniciarse hasta tanto dicha conducta se interrumpe. En este caso, la lesión al bien jurídico protegido se prolonga en el tiempo, durante todo el periodo en el que no se posibilita a la denunciante el acceso a su historia clínica.
Además, en el presente caso ha quedado acreditado, que el médico denunciado no disponía de las medidas de seguridad que la LOPD exige al responsable del fichero (en este caso el médico denunciado), al no hacer posible el derecho de acceso, el cual se encuentra reconocido en el Reglamento Europeo de Protección de Datos en su artículo 15, de su paciente a los datos de la historia clínica.
Dichas medidas, añade la AEPD en su Resolución, debían de haber sido de alto nivel, lo cual significa que esas medidas hubiesen sido capaces de garantizar “la correcta conservación de los documentos, como la localización y la consulta de la información, para así posibilitar el ejercicio de los derechos de oposición al tratamiento, de acceso, rectificación y cancelación” ya que se trataba de ficheros de datos de carácter personal y además referidos a información de salud, por lo que es una información especialmente sensible.
En definitiva, la AEPD dispone que el denunciado, no actuó con la diligencia debida al no adoptar las medidas de seguridad necesarias y suficientes para posibilitar el ejercicio del derecho de acceso de su paciente a los datos de su historia clínica, por ello, debe considerarse que se ha vulnerado la LOPD (Art. 9.1).