Entradas

Vamos a comentar en este artículo una cuestión de actualidad en las últimas semanas, y es la referente a las resoluciones de la Agencia Española de Protección de Datos en relación a la creación de grupos de WhatsApp.

En concreto nos centraremos en la resolución R/0232/2017, y que es clarificadora de los criterios de la autoridades de protección de datos en esta cuestión.

Antecedentes.

En el mes de diciembre de 2016, se realizó una  reserva para la cena de nochevieja en un restaurante.

Varios días antes de la cena, se creó  un grupo de whatsapp con las personas que participaban en dicha cena. El denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunican que si salía del grupo se anulaba la reserva. Asimismo, en el citado grupo se publicó una lista de los asistentes con nombres y apellidos, las mesa donde se sentarían y cuantas personas le acompañarían.

Hechos probados

Queda  acreditado que el restaurante  es responsable de la creación de un grupo de whatsapp con las personas que participaban en la cena de Nochevieja. Asimismo, consta que en el mensaje de whatsapp, se insertó un listado con los datos personales de todos los comensales habían reservado mesa para la cena de esa noche, sin que el denunciante hubiera consentido con anterioridad dicho tratamiento de sus datos personales.

Como consecuencia de todo ello, no hay duda que el restaurante no disponía del consentimiento del afectado para el tratamiento de datos realizados, consistente en la utilización de sus datos en un grupo de whatsapp.

De este suceso, se desprenden varias infracciones que procedemos a detallar.

Se considera infringido el artículo 6.1 de la LOPD por parte del denunciado. El artículo en cuestión dice que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”

Debemos recordar que el artículo 44.3.b) de la LOPD considera infracción grave: b) “Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.”

También hay que reflejar que el restaurante, con la incorporación de un listado con los datos personales de todos los que habían reservado una mesa para la cena del día 31 de diciembre, permitió el acceso por parte de terceros a datos personales relativos al afectado, según el detalle que conste en los hechos probados, cuestión que ha quedado acreditada en el procedimiento sin que el titular de los datos o sus representantes legales hubiesen prestado su consentimiento para ello.

Por tanto, queda acreditado que por parte del restaurante responsable de la custodia de los datos en cuestión, se vulneró el deber de secreto, garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido por terceros a datos personales sin contar con el consentimiento del titular de tales datos.

El artículo 10 de la LOPD, dice que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La vulneración del deber de secreto aparece tipificada como infracción grave en el artículo 44.3.d) de la LOPD. En este precepto se establece lo siguiente: d) “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”

Resolución sancionadora

La AEPD decidió en este caso no sancionar económicamente al denunciado, sino que optó por la figura del apercibimiento contemplada en  el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La Agencia observa una cualificada disminución de la culpabilidad de la entidad por la concurrencia de varios criterios de los enunciados en el artículo 45.4 de la LOPD, concretamentela no vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal, la ausencia de reincidencia y que no constan perjuicios causados a las personas interesadas o a terceras personas, salvo las que se desprenden de la infracción cometida.

Una de las grandes novedades que introduce la normativa europea de protección de datos, y por tanto, una obligación a cumplir; es la notificación de las violaciones de seguridad de datos personales a las autoridades de control.

Desde WE DOCTOR, estamos especialmente sensibilizados en el cumplimiento de la regulación europea de protección de datos, y tenemos establecido un protocolo de actuación ante cualquier situación de este tipo.

El Reglamento, articula esta obligación en los artículos 33 y 34“Cualquier responsable de tratamiento de datos, que tenga conocimiento de una violación de seguridad que afecte a los datos personales tratados en sus instalaciones, notificará a la Agencia Española de Protección de Datos (la autoridad competente), la violación de seguridad acaecida en un plazo máximo de 72 horas”.  

Las violaciones de seguridad tienen que ser definidas más concretamente por las autoridades, pero las empresas deben ser lo suficientemente diligentes a la hora de adoptar medidas adecuadas para evitar situaciones que generen daños o perjuicios de distinta índole, como por ejemplo daños físicos, materiales o inmateriales, daños económicos para las personas cuyos datos son tratados.

WE DOCTOR, ha adoptado una serie de medidas de tipo técnico y organizativo, al objeto de reducir a la mínima expresión los riesgos de que se produzcan situaciones como las descritas, y asimismo ha seleccionado  como encargado del almacenamiento y tratamiento de sus datos personales a Microsoft, compañía de amplio y reconocido prestigio, a la que la Agencia Española de Protección de Datos, reconoce expresamente su solvencia y las garantías que ofrece en todos sus servicios corporativos en la nube.

Se entiende como violaciones de seguridad a la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, así como la comunicación o acceso no autorizado a dichos datos.

No hay que confundir cualquier incidente de seguridad que se produzca en las oficinas de la empresa, con violaciones de seguridad de datos personales, que deben afectar estrictamente a los citados datos de carácter personal en sus vertientes de confidencialidad, integridad y disponibilidad.

Las violaciones además de notificarse a las autoridades, pueden notificarse a los interesados en ciertos supuestos: en concreto si existe un riesgo muy alto de que sus derechos y libertades se vean afectados.

Si el riesgo es alto, se comunicarán a la Agencia Española de Protección de Datos. Por tanto, la diferencia es evidente dependiendo del grado de riesgo existente pero desafortunadamente en la normativa europea, no viene claramente definida la diferencia.

Lo que es indudable, es que cualquier entidad, como es el caso de WE DOCTOR, debe de tomar todas las medidas necesarias para asegurar la confidencialidad, integridad y disponibilidad de los datos personales, con lo que reducirá los riesgos de que sufra cualquier brecha de seguridad respecto a los datos personales que trate.

Es necesario destacar, que si el riesgo es considerado como bajo, no se tendrá obligación de notificar la violación de seguridad ni a los interesados, ni a las autoridades de control.

Si las empresas, han adoptado las medidas técnicas y organizativas adecuadas en un momento anterior al incidente de seguridad, no sería necesaria esa notificación a las autoridades. En la normativa, se especifica como una de las medidas adecuadas el cifrado de datos, de forma que estos se hagan ininteligibles para terceros.

Ante lo expuesto, es imprescindible disponer de un protocolo de actuación ante violaciones de seguridad y de evaluación de los riesgos que conllevan esas situaciones. WE DOCTOR, dispone de un departamento de privacidad, en el que se analizan este tipo de situaciones, evaluando los riesgos y actuando conforme a protocolos de actuación.

En dichos protocolos, debe de reflejarse los responsables de dar respuesta a los incidentes y el tiempo de respuesta.

En la evaluación de los riesgos que suponen las violaciones de seguridad,  es clave examinar el tipo de incidente, el grado de sensibilidad de los datos personales afectados, las consecuencias que tienen para los titulares de los datos, así como el grado de dificultad a la hora de la identificación de los datos que han sufrido la incidencia o brecha de seguridad.

Asimismo, es necesario que la empresa sea consciente del origen del incidente, el número de afectados y el alcance.

Con la nueva normativa, se deberá de comunicar a las autoridades de control en un plazo de 72 horas, las violaciones de seguridad que se detecten, sin dilaciones indebidas. Si se superan esas 72 horas, se deberá justificar la dilación por parte de la empresa.

Si existen proveedores  que también están tratando los datos personales, deberán notificar de inmediato cualquier violación de seguridad al responsable del tratamiento de dichos datos personales. En nuestro caso, WE DOCTOR dispone de un canal de comunicación con Microsoft, para dar respuesta inmediata a cualquier incidente de seguridad.

Hay una excepción a esta obligación: se exime de notificar las violaciones de seguridad, cuando el riesgo para los derechos y libertades fundamentales de los interesados sea improbable.

El contenido mínimo que la notificación debe contener es el siguiente:

  • Describir la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
  • Comunicar el nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
  • Describir las posibles consecuencias de la violación de la seguridad de los datos personales.
  • Describir las medidas adoptadas o propuestas por la empresa para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

La explicación para justificar esta obligación, es que las autoridades de control dispongan a la mayor celeridad posible de toda la información referente a las violaciones de seguridad, para adoptar las acciones que se estimen pertinentes y que los interesados puedan tomar medidas, una vez tengan conocimiento de que se han producido brechas de seguridad que les afectan personalmente.

Ejemplos prácticos de supuestos de alto riesgo, son casos en que se revele información confidencial de los interesados (contraseñas o participación en determinadas actividades), casos en que se produzcan grandes perjuicios económicos para los interesados o una difusión masiva de datos personales.

Imaginemos  el robo de las contraseñas personales de un usuario de una plataforma o red social. Esa violación de seguridad debe ser comunicada de inmediato al usuario, para que  tenga la posibilidad de cambiar las contraseñas en otras plataformas o redes sociales, en el supuesto de que haya utilizado las mismas claves. WE DOCTOR, llegado el caso, ante una supuesta incidencia de seguridad, comunicará de inmediato al usuario de la plataforma, la necesidad imperiosa del cambio de contraseñas, ante los riesgos derivados de seguir utilizando las mismas contraseñas.

Las autoridades europeas de protección de datos, están preparando un formulario estandarizado para toda Europa, en las que se ayudará a presentar notificaciones completas según las directrices fijadas por el Reglamento General de Protección de Datos.

En  WE DOCTOR, somos perfectamente conscientes de la importancia que tiene en estos momentos la seguridad de los datos personales, tanto de los pacientes como de los profesionales médicos.

Es por ello, que dentro de nuestra plataforma estamos ya adaptandonos a las directrices determinadas por el Reglamento General Europeo de Protección de Datos, que será de aplicación directa el 25 de Mayo de 2018.

En el presente y siguientes artículos, vamos a resaltar algunas de las cuestiones más relevantes regulados en la nueva normativa respecto a los datos de salud.


¿Que entiende el Reglamento por datos de salud?

En su artículo 4.15, se definen “como datos personales relativos a la salud física o mental de una persona física , incluida la prestación de servicios  de atención sanitaria, que revelen información sobre su estado de salud”.

Debemos de citar igualmente el Considerando 35 del Reglamento, que considera datos de salud “ la información sobre la persona física recogida con ocasión de su inscripción a efectos de asistencia sanitaria, o con ocasión de la prestación de tal asistencia…. Todo número, símbolo o dato asignado a una persona física que la identifique de manera unívoca a efectos sanitarios, la información obtenida de pruebas o exámenes de una parte del cuerpo o de una sustancia corporal, incluida la procedente de datos genéticos o muestras biológicas, y cualquier información relativa a título de ejemplo, a una enfermedad, una discapacidad, el riesgo de padecer enfermedades, el historial médico, el tratamiento clínico o el estado fisiológico o biomédico del interesado, independientemente de su fuente, por ejemplo un médico u otro profesional sanitario, un hospital, un dispositivo médico o una prueba diagnóstica in vitro”.

Se trata de una definición más amplia que la definida en nuestra Ley Orgánica de Protección de Datos y su normativa de desarrollo.

Por tanto y de acuerdo a lo definido, la información que captan o procesan distintos dispositivos ( número de pasos, calorías consumidas, peso, etc) puede acabar desvelando un estado o riesgo de salud determinado, y quedarían incluidas en la definición del Reglamento.

Una gran novedad es que el Reglamento en su artículo 4.13, incorpora los datos genéticos como una subcategoría de los datos de salud .

Respecto a los datos biométricos, aunque el Reglamento no los califique como datos de salud en ocasiones los asimila a estos, como por ejemplo de las causas de legitimación a la hora de tratar este tipo de datos.

En próximos artículos seguiremos analizando cuestiones revelantes sobre el tratamiento de los datos de salud bajo la nueva normativa.