Читать книгу Análisis práctico de sanciones en materia de protección de datos -divididas por conceptos y sectores - Elena Davara Fernández de Marcos - Страница 59

Los hechos probados son los siguientes:

Una persona que acude a recibir tratamiento a una clínica de fisioterapia denuncia al fisioterapeuta que la atendió en CLÍNICA DR. FISIO por haber hecho uso de los datos personales que figuraban en su ficha clínica para enviarle una solicitud de amistad en Facebook y enviarle mensajes a través de la aplicación WhatsApp desde su móvil personal.

Tras el requerimiento de información por parte de la AEPD solicitándole información sobre las causas que habían motivado la incidencia y las medidas adoptadas, CLÍNICA DR. FISIO contestó indicando que:

– En CLÍNICA DR. FISIO han implementado todas las acciones encaminadas a lograr el total cumplimiento de la normativa de protección de datos:

– Han adoptado medidas de seguridad.

– Han firmado acuerdos de confidencialidad con todos los empleados.

– Además ponen de manifiesto que la incidencia solo afectó a una única usuaria como consecuencia del mal comportamiento y la vulneración del acuerdo de confidencialidad por parte de un fisioterapeuta que tienen contratado en calidad de autónomo.

– Asimismo, la CLÍNICA DR. FISIO comunica a la AEPD que el fisioterapeuta que cometió la infracción ya ha sido apercibido e informado que, en caso de reincidir en la conducta, será despedido de manera inmediata.

Tras analizar los hechos probados, los fundamentos de derecho en los que se ampara la Agencia Española de Protección de Datos son los siguientes:

– El hecho de hacer uso de datos a los que se tiene acceso por razón del puesto de trabajo para fines personales –entre los que se incluye el envío de WhatsApp y la solicitud de amistad en la red social Facebook– se considera una vulneración del principio de limitación de la finalidad regulado en el artículo 5.1.b) del RGPD.

– La violación de los principios del artículo 5 del Reglamento europeo ha de ser sancionado conforme a lo dispuesto por el artículo 83.5 del Reglamento Europeo.

Resuelve la AEPD imponer una sanción de apercibimiento al fisioterapeuta que hizo un uso indebido de los datos personales a los que tuvo acceso por razón de su puesto de trabajo.

Sobre esta sanción, llamamos la atención sobre tres aspectos: de un lado, se sanciona al particular (el autónomo, en este caso) que vulnera el principio de finalidad al constar acreditado que la CLÍNICA DR. FISIO puso todos los medios para que se cumpliera la normativa de protección de datos. De otro, la necesidad de hacer hincapié en que la sanción de apercibimiento, valga la redundancia, también ha de ser considerada sanción o, dicho de otra manera, la AEPD considera que ha habido una infracción de la normativa pero, teniendo en cuenta todas las circunstancias, no opta por la imposición de una multa económica. Y, last but not least, como dicen los ingleses, vuelve a poner de manifiesto, una vez más, la importancia de formar a los trabajadores, de informarles sobre lo que pueden y lo que no pueden –ni deben– hacer con los datos personales a los que tengan acceso, explicándoles en un lenguaje sencillo y claro sus obligaciones y responsabilidades.