Entradas

El 28 de Enero, es la fecha fijada para la celebración del Día Europeo de Protección de Datos. Se celebra en esa fecha desde el año 2006, al objeto de conmemorar la apertura del Convenio nº 108 del Consejo de Europa, adoptado el 28 de Enero de 1981.

Dicho Convenio es considerado el primer marco normativo adoptado en el ámbito de la protección de datos.

Con motivo de esta fecha, desde WE DOCTOR aprovechamos la ocasión para resaltar la importancia que tiene este derecho fundamental, especialmente en el ámbito de los datos médicos.

Debemos recordar los principios que se aplican a todos los tratamientos de datos personales:

  • Licitud, lealtad y transparencia: los datos personales serán tratados de manera lícita, leal y transparente en relación con el paciente.
  • Limitación de la finalidad: los datos personales del paciente, se recogerán con fines determinados, explícitos y legítimos, y no serán usados posteriormente para finalidades incompatibles con dichos fines.
  • Minimización de datos: sólo se van a utilizar los datos del paciente adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados; es decir, que solo van a recoger, en general, los datos mínimos necesarios para prestar la mejor asistencia sanitaria.
  • Exactitud: los datos recogidos del paciente serán exactos y, si fuera necesario, serán actualizados.
  • Limitación del plazo de conservación: Los datos del paciente, serán mantenidos de forma que se permita la identificación de los mismos durante no más tiempo del necesario para los fines del tratamiento de los datos personales.
  • Integridad y confidencialidad: los datos personales de los pacientes serán tratados de tal manera que se garantice una seguridad adecuada de dichos datos, incluida la protección contra el tratamiento y acceso no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Asimismo, debemos mencionar los derechos que disponen los pacientes en materia de protección de datos:

Cuando un usuario acude al médico o al centro sanitario, público o privado, no tienen que pedir el consentimiento al paciente para el tratamiento de sus datos personales, puesto que casi siempre acude para que le presten asistencia sanitaria, pero sí es obligatorio que sea informado de  determinados aspectos como son:

  • La identidad y los datos de contacto del responsable y, en su caso, de su representante.
  • Los datos de contacto del delegado de protección de datos, en el caso de que sea obligatorio tener delegado
  • Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
  • Los destinatarios o las categorías de destinatarios de los datos personales, en su caso.
  • La intención del responsable de transferir datos personales a un tercer país u organización internacional.
  • El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
  • El derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
  • El derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
  • El derecho a presentar una reclamación ante una autoridad de control. Estas reclamaciones se presentarán en la Agencia Española de Protección de Datos.
  • Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de no facilitar tales datos.
  • La existencia de decisiones automatizadas, es decir, tomadas mediante procesos informáticos sin intervención humana, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o le afecten significativamente de modo similar.
  • Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier otra información aclaratoria.

Jose Manuel Fernández Mirás

Licenciado en Derecho, es abogado especialista en Derecho de la Protección de Datos y del Derecho de las Nuevas Tecnologías de la Información.

 

Director Jurídico de la Plataforma We Doctor.

Vamos a comentar en este artículo una cuestión de actualidad en las últimas semanas, y es la referente a las resoluciones de la Agencia Española de Protección de Datos en relación a la creación de grupos de WhatsApp.

En concreto nos centraremos en la resolución R/0232/2017, y que es clarificadora de los criterios de la autoridades de protección de datos en esta cuestión.

Antecedentes.

En el mes de diciembre de 2016, se realizó una  reserva para la cena de nochevieja en un restaurante.

Varios días antes de la cena, se creó  un grupo de whatsapp con las personas que participaban en dicha cena. El denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunican que si salía del grupo se anulaba la reserva. Asimismo, en el citado grupo se publicó una lista de los asistentes con nombres y apellidos, las mesa donde se sentarían y cuantas personas le acompañarían.

Hechos probados

Queda  acreditado que el restaurante  es responsable de la creación de un grupo de whatsapp con las personas que participaban en la cena de Nochevieja. Asimismo, consta que en el mensaje de whatsapp, se insertó un listado con los datos personales de todos los comensales habían reservado mesa para la cena de esa noche, sin que el denunciante hubiera consentido con anterioridad dicho tratamiento de sus datos personales.

Como consecuencia de todo ello, no hay duda que el restaurante no disponía del consentimiento del afectado para el tratamiento de datos realizados, consistente en la utilización de sus datos en un grupo de whatsapp.

De este suceso, se desprenden varias infracciones que procedemos a detallar.

Se considera infringido el artículo 6.1 de la LOPD por parte del denunciado. El artículo en cuestión dice que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”

Debemos recordar que el artículo 44.3.b) de la LOPD considera infracción grave: b) “Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.”

También hay que reflejar que el restaurante, con la incorporación de un listado con los datos personales de todos los que habían reservado una mesa para la cena del día 31 de diciembre, permitió el acceso por parte de terceros a datos personales relativos al afectado, según el detalle que conste en los hechos probados, cuestión que ha quedado acreditada en el procedimiento sin que el titular de los datos o sus representantes legales hubiesen prestado su consentimiento para ello.

Por tanto, queda acreditado que por parte del restaurante responsable de la custodia de los datos en cuestión, se vulneró el deber de secreto, garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido por terceros a datos personales sin contar con el consentimiento del titular de tales datos.

El artículo 10 de la LOPD, dice que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La vulneración del deber de secreto aparece tipificada como infracción grave en el artículo 44.3.d) de la LOPD. En este precepto se establece lo siguiente: d) “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”

Resolución sancionadora

La AEPD decidió en este caso no sancionar económicamente al denunciado, sino que optó por la figura del apercibimiento contemplada en  el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La Agencia observa una cualificada disminución de la culpabilidad de la entidad por la concurrencia de varios criterios de los enunciados en el artículo 45.4 de la LOPD, concretamentela no vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal, la ausencia de reincidencia y que no constan perjuicios causados a las personas interesadas o a terceras personas, salvo las que se desprenden de la infracción cometida.

Una de las grandes novedades que introduce la normativa europea de protección de datos, y por tanto, una obligación a cumplir; es la notificación de las violaciones de seguridad de datos personales a las autoridades de control.

Desde WE DOCTOR, estamos especialmente sensibilizados en el cumplimiento de la regulación europea de protección de datos, y tenemos establecido un protocolo de actuación ante cualquier situación de este tipo.

El Reglamento, articula esta obligación en los artículos 33 y 34“Cualquier responsable de tratamiento de datos, que tenga conocimiento de una violación de seguridad que afecte a los datos personales tratados en sus instalaciones, notificará a la Agencia Española de Protección de Datos (la autoridad competente), la violación de seguridad acaecida en un plazo máximo de 72 horas”.  

Las violaciones de seguridad tienen que ser definidas más concretamente por las autoridades, pero las empresas deben ser lo suficientemente diligentes a la hora de adoptar medidas adecuadas para evitar situaciones que generen daños o perjuicios de distinta índole, como por ejemplo daños físicos, materiales o inmateriales, daños económicos para las personas cuyos datos son tratados.

WE DOCTOR, ha adoptado una serie de medidas de tipo técnico y organizativo, al objeto de reducir a la mínima expresión los riesgos de que se produzcan situaciones como las descritas, y asimismo ha seleccionado  como encargado del almacenamiento y tratamiento de sus datos personales a Microsoft, compañía de amplio y reconocido prestigio, a la que la Agencia Española de Protección de Datos, reconoce expresamente su solvencia y las garantías que ofrece en todos sus servicios corporativos en la nube.

Se entiende como violaciones de seguridad a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizado a dichos datos.

No hay que confundir cualquier incidente de seguridad que se produzca en las oficinas de la empresa, con violaciones de seguridad de datos personales, que deben afectar estrictamente a los citados datos de carácter personal en sus vertientes de confidencialidad, integridad y disponibilidad.

Las violaciones además de notificarse a las autoridades, pueden notificarse a los interesados en ciertos supuestos: en concreto si existe un riesgo muy alto de que sus derechos y libertades se vean afectados.

Si el riesgo es alto, se comunicarán a la Agencia Española de Protección de Datos. Por tanto, la diferencia es evidente dependiendo del grado de riesgo existente pero desafortunadamente en la normativa europea, no viene claramente definida la diferencia.

Lo que es indudable, es que cualquier entidad, como es el caso de WE DOCTOR, debe de tomar todas las medidas necesarias para asegurar la confidencialidad, integridad y disponibilidad de los datos personales, con lo que reducirá los riesgos de que sufra cualquier brecha de seguridad respecto a los datos personales que trate.

Es necesario destacar, que si el riesgo es considerado como bajo, no se tendrá obligación de notificar la violación de seguridad ni a los interesados, ni a las autoridades de control.

Si las empresas, han adoptado las medidas técnicas y organizativas adecuadas en un momento anterior al incidente de seguridad, no sería necesaria esa notificación a las autoridades. En la normativa, se especifica como una de las medidas adecuadas el cifrado de datos, de forma que estos se hagan ininteligibles para terceros.

Ante lo expuesto, es imprescindible disponer de un protocolo de actuación ante violaciones de seguridad y de evaluación de los riesgos que conllevan esas situaciones. WE DOCTOR, dispone de un departamento de privacidad, en el que se analizan este tipo de situaciones, evaluando los riesgos y actuando conforme a protocolos de actuación.

En dichos protocolos, debe de reflejarse los responsables de dar respuesta a los incidentes y el tiempo de respuesta.

En la evaluación de los riesgos que suponen las violaciones de seguridad,  es clave examinar el tipo de incidente, el grado de sensibilidad de los datos personales afectados, las consecuencias que tienen para los titulares de los datos, así como el grado de dificultad a la hora de la identificación de los datos que han sufrido la incidencia o brecha de seguridad.

Asimismo, es necesario que la empresa sea consciente del origen del incidente, el número de afectados y el alcance.

Con la nueva normativa, se deberá de comunicar a las autoridades de control en un plazo de 72 horas, las violaciones de seguridad que se detecten, sin dilaciones indebidas. Si se superan esas 72 horas, se deberá justificar la dilación por parte de la empresa.

Si existen proveedores  que también están tratando los datos personales, deberán notificar de inmediato cualquier violación de seguridad al responsable del tratamiento de dichos datos personales. En nuestro caso, WE DOCTOR dispone de un canal de comunicación con Microsoft, para dar respuesta inmediata a cualquier incidente de seguridad.

Hay una excepción a esta obligación: se exime de notificar las violaciones de seguridad, cuando el riesgo para los derechos y libertades fundamentales de los interesados sea improbable.

El contenido mínimo que la notificación debe contener es el siguiente:

  • Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  • Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Describir las medidas adoptadas o propuestas por la empresa para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

La explicación para justificar esta obligación, es que las autoridades de control dispongan a la mayor celeridad posible de toda la información referente a las violaciones de seguridad, para adoptar las acciones que se estimen pertinentes y que los interesados puedan tomar medidas, una vez tengan conocimiento de que se han producido brechas de seguridad que les afectan personalmente.

Ejemplos prácticos de supuestos de alto riesgo, son casos en que se revele información confidencial de los interesados (contraseñas o participación en determinadas actividades), casos en que se produzcan grandes perjuicios económicos para los interesados o una difusión masiva de datos personales.

Imaginemos  el robo de las contraseñas personales de un usuario de una plataforma o red social. Esa violación de seguridad debe ser comunicada de inmediato al usuario, para que  tenga la posibilidad de cambiar las contraseñas en otras plataformas o redes sociales, en el supuesto de que haya utilizado las mismas claves. WE DOCTOR, llegado el caso, ante una supuesta incidencia de seguridad, comunicará de inmediato al usuario de la plataforma, la necesidad imperiosa del cambio de contraseñas, ante los riesgos derivados de seguir utilizando las mismas contraseñas.

Las autoridades europeas de protección de datos, están preparando un formulario estandarizado para toda Europa, en las que se ayudará a presentar notificaciones completas según las directrices fijadas por el Reglamento General de Protección de Datos.