Casos prácticos de infracciones y sanciones de protección de datos en las clínicas dentales

Una de las novedades destacadas del Reglamento (UE) 2016/679 de Protección de Datos es el establecimiento de un nuevo régimen sancionador.

La anterior Ley Orgánica 15/1999 de Protección de Datos (LOPD) contemplaba multas de hasta un máximo de 600.000 euros en caso de incumplimiento. Con la nueva normativa, las empresas que no cumplan las obligaciones se exponen a multas de hasta 20 millones de euros o el 4% de la facturación anual.

NUEVO RÉGIMEN SANCIONADOR

El Reglamento Europeo ha aumentado de una forma considerable el régimen sancionador, aunque deja más flexibilidad para determinar la cuantía de las sanciones.

El RGPD establece dos franjas económicas en función del tipo de infracciones que detecten las autoridades de control:

  • Hasta 10 millones de euros o, en caso de una empresa, hasta el 2% de la facturación.
  • Hasta 20 millones de euros o, en caso de una empresa, hasta el 4% de la facturación.

TIPO DE SANCIONES DE PROTECCIÓN DE DATOS

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales desarrolla el sistema de sanciones del RGPD. La LOPDGDD categoriza las infracciones en muy graves, graves y leves. Algunos de los actos sancionables de cada uno de los tres niveles, así como los plazos de prescripción, son:

Infracciones muy graves (prescriben a los 3 años)
  • Vulnerar los principios establecidos en el RGPD.

Los datos personales:

– Serán tratados de forma lícita, leal y transparente.

– Serán recogidos con fines determinados explícitos y legítimos.

– Serán adecuados, pertinentes y limitados a lo necesario en relación con el tratamiento.

– Serán exactos y estar siempre actualizados.

– Deberán mantenerse de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.

– Serán ser tratados de tal manera que se garantice su seguridad.

Por ejemplo: en una CLINICA DENTAL, a la hora del recoger los datos del paciente, únicamente solicitaremos los necesarios para realizar el tratamiento dental, por ejemplo preguntaremos si tiene algún tipo de alergia, no en qué trabaja el paciente.

  • Incumplir los requisitos exigidos para la validez del consentimiento.

El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen.

Esto es, en una CLINICA DENTAL el consentimiento del paciente debe darse mediante su firma, quedándose una copia de dicho consentimiento el paciente.

  • Tratar datos personales para una finalidad distinta para la cual fueron recogidos.

Es decir, no se puede hacer un tratamiento de los datos personales distinto para el que en un principio su titular dio el consentimiento.

Por ejemplo, una CLINICA DENTAL que en un principio pidió el consentimiento a un paciente para realizar tratamientos dentales y además le pidió su consentimiento para que pueda captar imágenes suyas para enseñarlas a otros pacientes con un fin promocional y de marketing, no puede luego utilizar sus imágenes para colgarlas en su página web o en redes sociales, ya que para ello, necesitaría dicho consentimiento.

  • Exigir un pago para atender las solicitudes de ejercicio de derechos.

Esto es, una CLINICA DENTAL no puede pedir al paciente un canon, por ejercitar su derecho de rectificación, ya que quiere modificar sus datos.

  • Realizar una transferencia internacional de datos personales sin garantías.

Para llevar a cabo una transferencia internacional deben darse las suficientes garantías en materia de protección de datos.

Por ejemplo, si una CLINICA DENTAL va a tener que comunicar datos a otro país, debe asegurarse que en dicho país existe legislación en protección de datos.

  • Incumplir resoluciones dictadas por la autoridad de protección de datos.

Si sobre una CLINICA DENTAL hay una Resolución, del tipo que sea, debido por ejemplo, a una denuncia interpuesta por un paciente ya que pidió la cancelación de sus datos y la CLINICA no le ha contestado de manera correcta en cuanto a la forma a dicha petición, debe de cumplirla, ya que de lo contrario podrá ser sancionado por este motivo.

  • Revertir deliberadamente la anonimización con el fin de reidentificar a los titulares, esto es, de forma intencionada.

Nadie puede acceder a información de la CLINICA DENTAL para descifrar datos con el fin de identificar a los titulares de la misma.

Infracciones graves (prescriben a los 2 años):
  • No cumplir con la confidencialidad de los pacientes.

Publicar sin consentimiento en la web nombres de pacientes..

https://www.aepd.es/resoluciones/A-00107-2016_ORI.pdf

  • Tratar datos de un menor de edad sin su consentimiento, o el de los padres o tutores legales si procede.

Si no se da este consentimiento, tal tratamiento no se considerará lícito.

Muchos clientes de una CLINICA DENTAL son menores, por lo que deberán solicitar el consentimiento a sus padres o tutores para ejercer la actividad.

  • No adoptar medidas técnicas y organizativas apropiadas para garantizar el cumplimiento de la protección de datos o un nivel de seguridad adecuado.

Como podría ser el caso de que en una CLINICA DENTAL, no se realice copia de seguridad tanto interna como externa, ya que de nada sirve que tengamos una copia de seguridad interna, si por ejemplo, se quema la clínica y no tenemos una copia de seguridad fuera de las instalaciones de la misma.

  • Contratar un encargado de tratamiento que no ofrezca las garantías suficientes o sin la previa formalización de un contrato.

El Responsable del Fichero debe ser muy cauteloso a la hora de elegir al encargado del tratamiento (proveedor), no contratándolo si no cumple con la protección de datos.

Por ejemplo, no tiene sentido que una CLINICA DENTAL cumpla correctamente con la protección de datos si la empresa que le gestiona las nóminas de sus empleados no cumple con la protección de datos y por lo tanto dicha información de los trabajadores de la clínica no está segura.

  • No disponer del registro de actividades de tratamiento, importantísimo y necesario con la nueva legislación.

La CLINICA DENTAL debe tener un documento interno en que se contemple entre otras cosas, la finalidad del tratamiento de los datos recogidos de los pacientes, las categorías de datos que hay, comunicaciones de datos de pacientes que se realicen, así como una descripción general de las medidas de seguridad que adopta la CLINICA y sobre todo, que lo actualice en el momento que existan modificaciones o cambios.

  • No notificar una violación de seguridad de los datos a la autoridad de control.

Como puede ser por ejemplo una violación de seguridad, que en una CLINICA DENTAL, por un error o fallo humano, se envíe por correo electrónico a pacientes, historial clínico de muchos de ellos. Automáticamente, la CLINICA DENTAL, en un plazo de 72 horas deberá comunicarlo a los afectados así como a la Agencia de Protección de Datos y poner las medidas oportunas para que no vuelva a ocurrir.

https://www.aepd.es/resoluciones/PS-00132-2019_ORI.pdf

  • Tratar datos personales sin realizar una evaluación del impacto cuando sea exigible.

La CLINICA DENTAL va a estrenar un nuevo software y por ello un sistema nuevo de gestión, por lo que habrá que estudiar el impacto que podría tener en los datos de los pacientes.

  • No designar un delegado de protección de datos (DPO) cuando sea obligatorio.

Es obligatorio que las CLINICAS DENTALES dispongan de un DPO salvo que quien regente la misma  sea un empresario individual, aunque siempre se recomienda su figura.

Infracciones leves (prescriben en 1 año):
  • No cumplir el principio de transparencia de la información.

Toda la información que se facilite al paciente sobre el tratamiento de sus datos, deberá ser fácil de entender, con un lenguaje sencillo y claro, de manera que el paciente sepa sin ninguna duda, de qué se le está informando.

  • Incumplir el deber de informar al interesado.

Así, en las CLINICAS DENTALES, dentro de la información que debe facilitarse a los pacientes está el explicar claramente quién tiene sus datos, qué  tipo de datos se han recogido, qué se va a hacer con ellos, la base jurídica (en qué se basan) para su tratamiento, así como el derecho de los mismos a solicitar que no se utilicen sus datos.

https://www.aepd.es/resoluciones/TD-00148-2019_ORI.pdf

https://www.aepd.es/resoluciones/TD-00155-2019_ORI.pdf

https://www.aepd.es/resoluciones/TD-01694-2017_ORI.pdf

  • No suprimir los datos referidos a una persona fallecida cuando ello fuera obligatorio.

Si en una CLINICA DENTAL hay información relativa a un paciente que ha fallecido, cuando sea obligatorio, la clínica debe suprimir dicha información.

  • Disponer de un Registro de actividades de tratamiento incompleto.

Si en el documento del Registro de Actividades de una CLINICA DENTAL no consta, por ejemplo, la finalidad del tratamiento de los datos recogidos de los pacientes o bien las categorías de datos que hay de los pacientes.

  • Notificar una violación de seguridad a la autoridad de protección de datos de forma defectuosa.

Esto sería el caso de que por ejemplo, en una CLINICA DENTALl donde se ha producido una violación de seguridad, como puede ser pérdida de información, no se notifiquen las categorías de datos afectados.

  • No publicar los datos de contacto del delegado de protección de datos o no comunicarlos a la autoridad de control, siendo esto exigible con la nueva legislación.

Esto significa que una CLINICA DENTAL se debe saber quién es su DPO poniendo en la cláusula informativa que se da a los pacientes, una dirección de correo referente al mismo.

NOTICIAS SOBRE SANCIONES A CLINICAS DENTALES

https://mallafre-consultors.cat/es/post/sancio-de-5000-eur-a-una-clinica-dental

https://www.adaptacion-rgpd.eu/sancion-a-clinica-dental-por-incumplir-la-resolucion-de-tutela-del-derecho-de-acceso/

Financiado por la Union Europea - NextGenerationEU
Unión Europea - NextGenerationEUPlan de Recuperacion, Transformacion y Resiliencia