¿Encargados de tratamiento?


En su informe jurídico nº 360/2013, la Agencia Española de Protección de Datos, se pronuncia sobre si los centros sanitarios privados con los que las Mutuas pactan la prestación de asistencia sanitaria a los trabajadores, son encargados de tratamiento conforme a la LOPD o si por el contrario, son responsables de fichero.

Las Mutuas de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, para el tema de las prestaciones sanitarias y recuperadoras, y la asistencia sanitaria, pueden –entre otras cosas- firmar convenios con entidades privadas.

La Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica establece, por su parte, un régimen específico para el tratamiento y cesión de datos de salud de las historias clínicas, diferenciado del propio de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). Según tal régimen especial existirían obligaciones sobre acceso, uso y conservación de historias clínicas, que han de cumplir precisamente esos centros médicos que atenderían a los trabajadores. Por tanto, la Mutua no podría contravenir con sus órdenes estas obligaciones, lo que –como dice la AEPD- hace que no pueda considerarse que exista un encargo de tratamiento.

Se trata de una excepción a lo previsto en la disposición adicional vigésimo sexta del Real Decreto Legislativo 3/2011.

El artículo 12.2 de la LOPD, referido a los supuestos de encargados de tratamiento o acceso a datos por cuenta de terceros, establece que:

La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

Por tanto, si estamos en un supuesto (como el que comentamos) en el que el responsable de fichero o tratamiento, tiene vedada la posibilidad de dar instrucciones al tercero, no se cumple un requisito fundamental del encargo de tratamiento, y por tanto, el centro sanitario privado es igualmente responsable de fichero y no un mero encargado de tratamiento.

LOPD y responsabilidad por incumplimiento

excusas excusas y más excusas.

Las excusas son motivos o pretextos que se invocan para eludir una obligación o disculpar una omisión.

Y a todos nos encantan.

Cada uno de nosotros hemos oído una larga colección de ellas, ya sea en nuestro trabajo –de boca de nuestros clientes-, en nuestra trayectoria sentimental –de boca de nuestras parejas-, en nuestro día a día –de boca de aquellas personas con las que tenemos que tratar por diversas razones-, y un largo etcétera.

Nosotros somos los primeros en darlas, cuando llegamos tarde a algún sitio, cuando nos equivocamos, o simplemente cuando queremos fastidiar…

Hoy os voy a hablar de las excusas en el mundo de la protección de datos.

Me refiero exactamente a las excusas que oigo de mis clientes para no cumplir las obligaciones impuestas por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su normativa de desarrollo.

Lo interesante de estas excusas es que no sólo me las cuentan a mí, sino que el cliente cree firmemente en ellas y cuando la Agencia de Protección de Datos inicia expedientes contra ellos y les otorgan plazo para formular alegaciones, también alegan esas mismas excusas, en la creencia de que así salvarán el pellejo.

En el 99% de los casos, se equivocan, porque estas excusas no tienen ningún efecto jurídico.

Os cuento algunas de las excusas que se alegan con más frecuencia:

1ª. ES QUE YO NO LO SABÍA. Esta excusa es muy socorrida, pero es malísima, y en Derecho carece de la menor eficacia. Tanto es así que el Código Civil en su artículo 6.1 se ha molestado en recordárnoslo a todos, en estos términos:

La ignorancia de las leyes no excusa de su cumplimiento.

Dicho en otros términos: si no lo sabías, es tu problema.

Y muchas veces me dicen indignados los clientes, que no pueden saberlo todo, que hay demasiadas normas, que no tienen forma de conocer todas las obligaciones legales que las distintas leyes les imponen… Sinceramente, creo que no les falta razón. Poner en marcha cualquier negocio o actividad es hoy día un tormento. Son tantas las normativas a tener en cuenta que es muy complicado adecuarse a la legalidad al 100%. Pocas soluciones puedo darte para esto, como no sea que te informes por tus propios medios o contrates un asesor.

Pero la cuestión es que “no saber” no es una excusa válida para evitar una multa.

La Administración siempre te responderá con un cordial: » a mí no me cuente usted historias».

2º. ES QUE LA CULPA LA TIENE EL TRABAJADOR. No me cabe la menor duda de que en más de una ocasión, a pesar de tu máxima preocupación por cumplir la LOPD y de creer que todo se está haciendo correctamente, alguien de tu empresa comete una equivocación. Un error humano puede acontecer en cualquier momento. Las cosas han sucedido así, pero tampoco puedes alegarlo para eludir una multa o “desplazarla” a otra persona. Ser empresario y tener personal a cargo de uno, conlleva no pocos riesgos. Este es uno de ellos: tú pagas por los errores de tu personal. Eso no quiere decir que luego no puedas, a su vez, reclamarle tú al trabajador, pero ante la Ley, tú serás el responsable y tú pagarás la multa.

El artículo 43.1 de la LOPD dice bien claro que son responsables de las infracciones, los responsables de fichero y los encargados de tratamiento. Dicho en otras palabras: tú, y no tus trabajadores, eres responsable de los incumplimientos.

3º. ES QUE YO NO LO HE HECHO CON MALA INTENCIÓN: HA SIDO SIN QUERER. Ah, la culpa, la culpa… esa culpa que tantos kilómetros de jurisprudencia ha generado y tantos litros de tinta ha hecho gastar. Un tema muy interesante el del dolo, la culpabilidad y la negligencia, y fascinante desde el punto de vista doctrinal. Desde el punto de vista de la LOPD es una excusa que sirve normalmente de poco. Es algo que se puede comprobar en muchas resoluciones de la Agencia Española de Protección de Datos. Por poner un ejemplo, cito la Resolución 2110/2013, dictada en el procedimiento sancionador 147/2013, que dice que la ausencia de intencionalidad no sirve ni para atenuar la sanción (citando a su vez la Sentencia de la Audiencia Nacional de 12/11/2007, dictada en Recurso 351/2006):

Comienza el recurrente invocando la no intencionalidad de su conducta. (…) Cuando concurre una falta de diligencia, como aquí acontece, existe culpabilidad y la conducta merece sin duda un reproche sancionador sin que el hecho de que no exista actuación dolosa deba conllevar necesariamente una disminución aún mayor de la sanción cuando ésta ha sido impuesta en su grado mínimo.

Tampoco sirve alegar buena fe, pues la misma resolución de la Agencia, lo recuerda, citando otra sentencia de la Audiencia Nacional, la de 24/05/02 :

…la buena fe en el actuar, para justificar la ausencia de culpa –como se hace en el presente caso-; basta con decir que esa alegación queda enervada cuando existe un deber específico de vigilancia derivado de la profesionalidad del infractor. En esta línea tradicional de reflexión, la STS de 12 de marzo de 1975 y 10 de marzo de 1978, rechazan la alegación de buena fe, cuando sobre el infractor pesan deberes de vigilancia y diligencia derivados de su condición de profesional.

4º. ¡ES QUE LA CULPA LA TIENE MI ASESOR!: Vaya hombre, ya estamos. Aquí cuando no tiene la culpa el informático, la tiene el abogado. Sí, somos ese “excusadero” fácil donde todo el mundo vierte sus culpas… Bromas aparte, no me cabe duda de que habrá ocasiones en que el asesor pueda equivocarse y por su actuación, te veas inmerso en un procedimiento, ya sea de LOPD, o de cualquier otra materia. Todos los profesionales tenemos una responsabilidad por posibles errores y negligencias. De hecho, lo normal es que tengamos un seguro de responsabilidad civil para tales menesteres (los abogados estamos obligados a ello, por ejemplo).

Pero siento decirte, que la excusa tampoco te va  servir ante la Agencia de Protección de Datos. Ante este organismo respondes tú. Otra cosa es que luego puedas reclamarle por daños a tu asesor.

¿Y entonces para qué me gasto yo el dinero en pagarle a un asesor: para que se equivoque y me multen?

Bueno, al menos tendrás a quien echarle la culpa con fundamento.

Puedes pensar que acabo de decir una estupidez o una bordería, pero ni mucho menos: la cuestión no es baladí y debe servirte para pensar a partir de ahora sobre qué te conviene más: si contratar al frutero de la esquina para que te haga la LOPD, o a un abogado… Lo digo porque si el abogado lo hace mal, tiene un seguro para responder de los daños.

El frutero me temo que no.

Y ya sabes: luego no me vengas con historias…