¿Encargados de tratamiento?


En su informe jurídico nº 360/2013, la Agencia Española de Protección de Datos, se pronuncia sobre si los centros sanitarios privados con los que las Mutuas pactan la prestación de asistencia sanitaria a los trabajadores, son encargados de tratamiento conforme a la LOPD o si por el contrario, son responsables de fichero.

Las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, para el tema de las prestaciones sanitarias y recuperadoras, y la asistencia sanitaria, pueden –entre otras cosas- firmar convenios con entidades privadas.

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica establece, por su parte, un régimen específico para el tratamiento y cesión de datos de salud de las historias clínicas, diferenciado del propio de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Según tal régimen especial existirían obligaciones sobre acceso, uso y conservación de historias clínicas, que han de cumplir precisamente esos centros médicos que atenderían a los trabajadores. Por tanto, la Mutua no podría contravenir con sus órdenes estas obligaciones, lo que –como dice la AEPD- hace que no pueda considerarse que exista un encargo de tratamiento.

Se trata de una excepción a lo previsto en la disposición adicional vigésimo sexta del Real Decreto Legislativo 3/2011.

El artículo 12.2 de la LOPD, referido a los supuestos de encargados de tratamiento o acceso a datos por cuenta de terceros, establece que:

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

Por tanto, si estamos en un supuesto (como el que comentamos) en el que el responsable de fichero o tratamiento, tiene vedada la posibilidad de dar instrucciones al tercero, no se cumple un requisito fundamental del encargo de tratamiento, y por tanto, el centro sanitario privado es igualmente responsable de fichero y no un mero encargado de tratamiento.

Consentimiento expreso

Una multa de 15.000 euros es la que se ha impuesto a TELEFÓNICA DE ESPAÑA, SAU, por vulnerar el artículo 11 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, encontrándose dentro del supuesto de las sanciones graves.

Se trata de la Resolución nº 2673/2013 de la Agencia Española de Protección de Datos, dictada en el procedimiento sancionador nº 316/2013.

El artículo 11.1 de la LOPD establece que:

Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

A continuación, indica el precepto una serie de excepciones a la obtención de dicho consentimiento.

Los hechos, en resumen, que dan lugar al procedimiento sancionador consisten en que un particular solicitó su exclusión de las guías de abonados, de tal modo que sus datos dejaran de constar publicados en las Páginas Blancas, pero a pesar de lo anterior la publicación se llevó a cabo.

Recuerda la resolución que el consentimiento del interesado –conforme a la previsión del artículo 11.4 LOPD- es revocable en cualquier momento.

En la normativa específica que regula la publicación de datos personales en guías telefónicas y similares, se deja bien claro que para proceder a dicha publicación antes habrá de contarse con el consentimiento expreso del interesado.

Se concluye que la voluntad del interesado no fue respetada, ya que el mismo manifestó su oposición a la publicación.

Además, la misma resolución impone otra multa de 4.000 euros a la empresa HIBU CONNECT, SAU, por infracción del artículo 4.3 LOPD (infracción grave), en su calidad de encargada de tratamiento, ya que era la entidad que se ocupaba de la edición y elaboración de la guía donde figuraron los datos del denunciante.