Normativa de Protección de Datos, datos de clientes y entorno personal
Condenado un profesional a una multa de 6.000 euros por transmitir datos e imágenes de sus pacientes a través de la red social de WhatsApp a su pareja sentimental.
Una reciente Resolución de la Agencia Española de Protección de Datos (R/01515/2018) de fecha 4 de septiembre de 2018, en la que se ha condenado a un profesional a una multa de 6.000 euros por transmitir datos e imágenes de sus pacientes a través de la red social de WhatsApp a su pareja sentimental, ha puesto de manifiesto la importancia de cumplir con la normativa de protección de datos a la hora de cederlos a terceros.
Hay que tener especial cuidado con la divulgación de datos de carácter personal que se tengan como consecuencia del desarrollo de una actividad profesional, ya sea de clientes, pacientes, trabajadores o referidos a cualquier otro colectivo.
Es importante tener en cuenta que son considerados datos de carácter personal, además de los de carácter identificativo (nombre, apellidos, DNI, teléfono, dirección), la dirección de correo electrónico, las imágenes, etc. Es decir, todos aquellos que identifiquen a una persona o hagan que la misma sea fácilmente identificable.
Además, WhatsApp es una aplicación que no cumple con las previsiones del RGPD, por lo que no se debe usar a nivel profesional. No permite el ejercicio de los derechos, como pueden ser el de acceso, olvido y portabilidad, ni se cuenta con el consentimiento expreso del cliente, paciente o empleado para transferir sus datos (ya sea a la propia aplicación o a otros usuarios de la misma). Hay que resaltar, también, que su uso conlleva la transferencia internacional de datos, así como que se realicen elaboraciones de perfiles, sin cumplir con el principio de privacidad desde el diseño, ni aplicar la anonimización.
¿Cómo evitar las sanciones?
– Para poder transmitir datos de carácter personal es necesario contar con el consentimiento previo del interesado. En este sentido, habrá que informar al mismo, de quiénes son los destinatarios de sus datos y con qué fin se realiza la cesión. La excepción a este principio la encontramos en aquellos casos en que la cesión esté autorizada por la ley y expresamente prevista en la misma.
– Hay que guardar el deber de secreto y confidencialidad de todos los datos que se tengan como consecuencia del desempeño de la labor profesional. Esta obligación, además, debe subsistir aún cuando haya finalizado las relaciones profesionales o laborales.
El deber de secreto y la confidencialidad de los clientes, pacientes o trabajadores no sólo abarcan el ámbito laboral, sino que también hay que cumplirlos en los ámbitos familiares y sociales. Los familiares, amigos o parejas son terceros no autorizados.
Como se desprende de la citada Resolución, uno de los principales enemigos en el cumplimiento de la normativa de Protección de Datos son esos terceros, que aunque parezcan de nuestra confianza, pueden ir en contra nuestra y de nuestro negocio en cualquier momento.
¿Cómo se gradúa la sanción en estos casos?
Si no se tiene el consentimiento del interesado para ceder sus datos y no se cumple con la obligación de confidencialidad y deber de secreto, se está vulnerando una de las reglas básicas de la normativa de Protección de Datos, que es sancionable (art.83 RGPD).
En tales casos, no tiene cabida el mero apercibimiento (opción excepcional del órgano sancionador), sino que se impondrá una sanción pecuniaria.
La Agencia Española de Protección de Datos (AEPD) a la hora de valorar la cuantía de la sanción por tales hechos tendrá en cuenta, entre otras, las siguientes cuestiones:
– El carácter continuado o no de la infracción.
– El volumen de los tratamientos efectuados.
– La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal.
– Los beneficios obtenidos como consecuencia de la comisión de la infracción.
– La reincidencia por comisión de infracciones de la misma naturaleza.
No podemos olvidar que el derecho a la protección de datos es un derecho fundamental que conlleva el derecho del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos. Se persigue garantizar el poder de control sobre ellos, y saber de su destino con el fin de evitar que se produzcan situaciones que atenten con la dignidad de la persona.
¿Tienes dudas acerca del cumplimiento de la normativa de Protección de Datos y su implantación en tu negocio?
En Oya Abogados & Asesores te podemos ayudar. Solicita una cita o llámanos al 958 094 400 y nuestros asesores especializados en Protección de Datos te ayudarán a cumplir con obligaciones establecidas y adecuarte, sin ningún tipo de problema, a la normativa.