Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 54

Según se desprende de la lectura del procedimiento sancionador emitido por la AEPD, como hechos probados constan los siguientes,:

– El pediatra –que actúa en calidad de denunciado– envío a la persona con la que mantenía una relación sentimental mensajes de WhatsApp en los que constaban datos personales de sus pacientes. En concreto:

– El 5 de abril, envió por WhatsApp a la denunciante una fotografía de una paciente en la camilla de su consulta.

– El 27 de abril, envió a la denunciante por WhatsApp una fotografía de su agenda en la que aparecen anotados 31 pacientes, con sus nombres, apellidos y su teléfono móvil de contacto.

– El 30 de mayo tuvo lugar otro envío por WhatsApp por parte del reclamado a la denunciante en la que adjuntaba una foto de su agenda con nombres y teléfonos de sus pacientes.

– El 7 de junio, la denunciante recibe por parte del denunciado un vídeo en el que se identifica a dos menores con su madre durante la consulta.

– Queda probado, también, que el pediatra –denunciado– no contaba con el consentimiento de los titulares de los datos personales que fueron enviados por WhatsApp en distintas ocasiones.

Por su parte, como fundamentos de derecho, la Agencia menciona los siguientes:

– Indica el denunciado que en los mensajes de WhatsApp no contienen datos personales puesto que no permiten ser asociados a ninguna persona física identificada o identificable.

Sobre este particular, profundiza la AEPD y, teniendo en cuenta las pruebas aportadas al procedimiento, concluye afirmando que “la imagen de una persona física identificada o identificable constituye un dato de carácter personal, así como el nombre y apellidos y número de teléfono que aparecen en las imágenes de la agenda de la consulta y que sí son legibles e identificables, como puede comprobarse sin dificultad en la documentación aportada al procedimiento”.

– Afirma el pediatra, además, que el dietario –lugar donde figuran las citas, información sobre los pacientes etc.– forma parte, en su opinión, de su derecho a la intimidad y pertenece a su ámbito doméstico.

En este sentido, indica la AEPD que los datos referentes al listado de pacientes y a información relacionada con aquellos es información de carácter profesional y, por tanto, supeditada a las exigencias de la normativa de protección de datos.

En otro orden de cosas, considera el denunciado que quien ha procedido a la difusión de los mensajes es la reclamante al aportarlo a procedimientos administrativos y judiciales.

Sobre este particular, recuerda la AEPD que el deber de secreto y respeto de la confidencialidad corresponde a quien actúa en calidad de responsable del tratamiento –en este caso, el pediatra– y no a quien accede a ellos de manera no autorizada.

Tenidas en cuenta las alegaciones, observaciones y matices puestos de manifiesto por el denunciado, la AEPD considera que el denunciado actúa como responsable del tratamiento y, por tanto, está sujeto al régimen de responsabilidad regulado en la LOPD –norma aplicable en materia de protección de datos cuando se dictó la Resolución que estamos analizando en el presente apartado–.

El denunciado no es capaz de demostrar que contara con el consentimiento de los interesados para el tratamiento (envío y difusión vía WhatsApp) de datos realizado. En esta línea, lo único que incorpora al procedimiento son dos documentos firmados manualmente –aparentemente por los progenitores de tres de las menores cuya imagen se vio afectada por el tratamiento de datos realizado–. Dichos documentos fueron firmados dos años después de que tuviera lugar el envío vía WhatsApp de las imágenes.

Ahondando en esta línea, tampoco queda constatado ni verificado que el pediatra hubiera recabado el consentimiento para el envío de los datos personales que figuraban en su agenda.

Por todo ello, recordaba la AEPD cómo el principio del consentimiento –principio que ha vulnerado el pediatra con su conducta– es un principio básico de la normativa de protección de datos y cuyo incumplimiento está calificado como infracción grave.

Además, considera que también se ha incumplido el deber de secreto8 regulado en el artículo 10 de la LOPD al haber revelado datos personales a un tercero no autorizado.

Como circunstancias atenuantes aplicables al caso, la AEPD estima las siguientes:

a) El carácter continuado de la infracción. Puesto que, lejos de ser una acción continuada y que perdura en el tiempo, se trata de envíos determinados y puntuales.

b) El volumen de los tratamientos efectuados. La AEPD determinada que el volumen de los datos afectados no es muy alto.

c) No aprecia la AEPD vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.

d) Considera probado la AEPD que el denunciado no obtuvo beneficios del envío de datos personales vía WhatsApp.

e) No existen denuncias previas en materia de protección de datos contra el reclamado.

Por todo lo anterior, estima la AEPD como proporcional la imposición de una sanción económica de 6.000 euros al pediatra.

De esta Resolución nos llama la atención cómo el organismo garante recuerda que la figura del apercibimiento –figura que, teniendo en cuenta la existencia de varias circunstancias atenuantes, podría haber sido la elegida como sanción para el presente caso– es decisión libre de la AEPD. Y, en este caso, no estima oportuno hacer uso de esta figura por dos motivos principales: de un lado, que los datos personales objeto de la denuncia correspondan a menores de edad y, de otro, el que el denunciado fuera un profesional sanitario al que le resulta de aplicación –si cabe, de forma “especial”–, el deber de secreto.

Por último, recordamos al lector que esta sanción fue impuesta cuando estaba en vigor la LOPD y, por tanto, no se tienen en cuenta exigencias del RGPD ni de la LOPDGDD. Pero, en nuestra opinión, seguramente la sanción hubiera sido mayor por el foco en la protección de menores que ha puesto el Reglamento europeo y que, por supuesto, ha hecho suyo la LOPDGDD.