El fisioterapeuta de una clínica madrileña utilizó los datos personales de la ficha clínica de una paciente para solicitar su amistad en Facebook y contactar con ella por Whatsapp. La Agencia Española de Protección de Datos considera que se ha vulnerado el derecho a la protección de datos de la paciente y sanciona al profesional.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de apercibimiento al fisioterapeuta al considerar que vulneró lo establecido en la normativa de protección de datos por tratar los datos personales de la paciente con fines distintos para los que fueron recogidos por la clínica.
El asunto comienza el 16 de octubre de 2019 cuando la AEPD recibe reclamación de una afectada alegando que el fisioterapeuta que la atendió en la clínica de Madrid ha utilizado los datos personales de su ficha en la clínica para enviarle una solicitud de amistad en Facebook y remitirle whatsapps desde su teléfono personal.
La AEPD contacta con la clínica de fisioterapia y está indique que no existió voluntad de perjudicar a la usuaria con la actuación del profesional en cuestión, alegando la existencia de acuerdos escritos entre empleados y autónomos que velan por la confidencialidad de la información y añade que son básicos los datos personales que han sido tratados. Advierte, además, que la utilización indebida de los datos personales de la paciente corresponde a un fisioterapeuta autónomo que trabaja para la clínica y que han sido tomadas medidas disciplinarias contra el profesional.
Por su parte, el fisioterapeuta asegura hacer uso del número de teléfono de la afectada por motivos profesionales y que no era consciente que la solicitud de amistad en Facebook fuera dirigida a una de sus pacientes.
El 16 de junio de 2020 la Directora de la Agencia Española de Protección de Datos acuerda iniciar procedimiento sancionador al reclamado por presunta infracción del artículo 5.1.b) del RGPD en tanto que los datos de la paciente han sido recogidos inicialmente con fines determinados, explícitos y legítimos, esto es, para incorporarlos al tratamiento de la clínica de fisioterapia de la que es usuaria, y que posteriormente han sido tratados en modo incompatible con los fines para los que los mismos se obtuvieron.
Según dispone el artículo 5 del RGPD, los datos personales serán:
“a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»).
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
Con todo, la AEPD, como autoridad de control competente para sancionar el tratamiento de los datos por parte del responsable o encargado de los mismos cuando se infrinja el Reglamento, sanciona con apercibimiento al reclamado por vulnerar el principio de limitación de la finalidad que regula el citado artículo 5.1. b) del RGPD y que se tipifica en el artículo 85.3 del RGPD.
Esta sanción se fundamenta en el tratamiento ilícito de los datos personales de la afectada, obrantes en la base de datos de la clínica donde trabaja el reclamado para enviarle una solicitud de amistad en Facebook y remitirle whastapps desde su teléfono personal.
El órgano sancionador ha optado por una sanción de apercibimiento y no por una multa económica dada la levedad del quebrantamiento y la carga desproporcionada que la multa económica podría suponer para el infractor como persona física que no ha sido apercibida ni sancionada por el mismo motivo con anterioridad.
En suma, y tal y como se desprende de la propia resolución, el artículo 58.2 del RGPD permite a la autoridad de control:
“b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento.”
De este modo, permite el Reglamento que otras sanciones además de la multa económica administrativa sean aplicables a las infracciones previstas adoptando todas las medidas necesarias para garantizar su observancia y que dichas sanciones sean efectivas, proporcionadas y disuasorias.
Si bien dispone la normativa, el uso o tratamiento de los datos de la personalidad requiere consentimiento previo por parte del titular de los mismos, debiendo éste ser libre, específico, informado e inequívoco tal y como recoge el artículo 6 de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, no pudiendo, en modo alguno, ser utilizado para fines distintos de los que se recogieron en un inicio tal.
La resolución sancionadora se puede descargar desde aquí.