La importancia de un buen asesoramiento para el tratamiento y la cesión de datos personales

Hoy vamos a analizar un asunto relacionado con la Ley Orgánica de Protección de Datos Personales, debido a las elevadas sanciones que se están imponiendo tanto en la vía administrativa comoen la vía judicial.

Dos empresas del sector sanitario fueron sancionadas por la Agencia Española de Protección de Datos al abono de un importe de 300.506,05 euros, cada una, por una infracción muy grave de la LOPD.

La resolución administrativa fundamentó la sanción en los siguientes motivos:

1.- Que la “Empresa A” y la “Empresa B” eran entidades franquiciadoras independientes y autónomas tanto en la gestión como en la contratación de personal.

2.- Que la “Empresa B” disponía de un “centro franquiciado” que recababa periódicamente los datos de salud de los pacientes que asistían al mismo.

3.- Que las Empresas “A” y “B” trataban los datos de salud de los pacientes que asistían a la entidad franquiciada, sin consentimiento expreso de los mismos y sin existir un contrato de prestación de servicios conforme a lo dispuesto en el artículo 12 de la LOPD.

La sanción fue recurrida ante el propio órgano que dictó la resolución, quien desestimó el recurso presentado. En consecuencia, ambas empresas acudieron a la vía judicial, iniciando el proceso contencioso-administrativo correspondiente,solicitando laanulación de la resolución impugnada y que se dejara sin efecto la sanción impuesta a cada empresa.

Las empresas sostuvieron a lo largo de todo el procedimiento administrativo que no habían realizado un tratamientoirregular de datos personales, ni respecto de los pacientes propios, ni de pacientes de la entidad franquiciada y que, por tanto, no se había vulnerado lo establecido en la LOPD. Alegando que la información que se cedía lo era conforme a lo pactado en los contratos defranquicia, y única y exclusivamente a efectos contables y de facturación, conindependencia del tipo de formulario generado y usado por los propios centrosfranquiciados, quienes utilizaban la marca “EMPRESA B”.

Así mismo, ambas empresas manifestaron que al ser empresas del sector de la Salud les era de aplicación el deber de secreto,siendo de aplicación la Ley Reguladora de la Autonomía del Paciente y de Derechos y Obligacionesen materia de Información y Documentación Pública, que prevé la aplicación del principiode finalidad en el ámbito de los principios de protección de datos. Por tanto, no se encontraban fuera del ámbito de aplicación la LOPD, siendoinnecesario recabar el consentimiento que señala dicha normativa.

Tras las alegaciones pertinentes de la Abogacía del Estado, en representación de la Agencia Española de Protección de Datos, el juez indicó lo siguiente:

1.- Es regla general la exigencia del consentimiento inequívoco del afectado para el tratamiento de datos de carácter personal.

2.- Es más, en relación a los datos relativos a la salud sólo pueden ser recabados, tratados o cedidos los datos, cuando por razones de interés general así lo disponga una Ley o el afectado lo consienta expresamente.

3.- Por último, señalaba que entre franquiciadora y franquiciada no existía el contrato de prestación de servicio, por tanto,las franquiciadoras a la hora de tratar los datos de salud que les remitió por el Centro franquiciado, deberían haber obtenido con carácter previo el consentimiento.

En definitivano quedó acreditado por las empresas sancionadas que recabaran los consentimientos expresos de los afectados. De esta manera se probaron los hechos y conductas que han dado origen a la sanción, ajustándose la misma,desestimando el recurso interpuesto por ambas.