Buscador de resoluciones, dictámenes e informes

La persona denunciante exponía que se había manipulado su historia clínica. Concretamente, señalaba que el diagnóstico de las lesiones que sufrió en un accidente no era correcto y que las imágenes que constaban en él eran borrosas y estaban cortadas. Durante la tramitación de la reclamación, el hospital acreditó que la información de la historia clínica de la persona reclamante era correcta, que no había habido modificación posterior a la fecha del accidente y que las imágenes no eran borrosas ni estaban cortadas. Se archiva el procedimiento, dado que no se puede atribuir al hospital ningún hecho punible desde el punto de vista de la protección de datos ni ninguna responsabilidad por los hechos denunciados y no acreditados.

Título: infracción del principio de confidencialidad por 9 accesos indebidos en la historia clínica.
Resumen: la denunciante se quejaba de 9 accesos indebidos en su historia clínica que no estaban relacionados con ninguna actuación asistencial o de diagnóstico, ya que nunca había sido atendida en el centro ni por la facultativa que había efectuado los accesos controvertidos. La denunciante también se quejaba de que, en el marco de una reunión de una asociación vecinal, la facultativa había difundido algunos datos de salud de la denunciante. Esta supuesta divulgación de datos se archivó en el acuerdo de iniciación, ya que no se acreditaron los hechos. En cuanto a los 9 accesos indebidos acreditados, se sanciona a la entidad por la vulneración del principio de confidencialidad con una multa de 30.000 €, como responsable de una infracción prevista en el artículo 83.5.a en relación con el artículo 5.1 .f, ambos del RGPD. La entidad ha pagado la sanción de forma anticipada (24.000€).

La historia clínica de la fundación denunciada está configurada de forma que, desde el diseño y por defecto, los médicos propios y externos de la fundación pueden acceder a ella, a través de los sistemas de información de la fundación. Este hecho provocó que un médico externo que atendió a la persona denunciante en el marco de una asistencia sanitaria privada accediera a su historia clínica, sin su consentimiento explícito ni ninguna otra base jurídica que legitimara este tratamiento. En este caso, no se imputa la vulneración del deber de la protección de datos desde el diseño y por defecto, dado que existe un concurso ideal de infracciones y sólo se imputa la infracción más grave; es decir, la vulneración del principio de licitud (calificada como muy grave). Tampoco se imputa la vulneración del principio de limitación de la finalidad, al quedar subsumida en la infracción relativa al principio de licitud.

Teniendo en cuenta la normativa aplicable, se puede considerar que existe base jurídica suficiente para la publicación y difusión de las calificaciones académicas del colectivo de estudiantes universitarios (ej. art. 6.1, apartados e) y f) RGPD), sin perjuicio del necesario cumplimiento del resto de principios y garantías de la normativa de protección de datos. Dado el principio de minimización debería difundirse únicamente los datos necesarios para dar cumplimiento a la finalidad pretendida, teniendo en cuenta los parámetros y orientaciones derivadas de la disposición adicional séptima del LOPDDDD.

Procede amonestar el Ayuntamiento, dado que este no informaba debidamente sobre el tratamiento de imágenes captadas por las cámaras de videovigilancia instaladas en los puntos de control de acceso a zonas de tráfico restringido, puesto que, aparte de la información que consta a los carteles informativos, en la información complementaria que estaba disponible a la página web del consistorio, el Ayuntamiento no informaba sobre el derecho a presentar una reclamación ante esta Autoridad, y por tanto, el Ayuntamiento no informaba de todos los extremos previstos en el artículo 13 del RGPD.

Procede amonestar el Ayuntamiento por 1) captar imágenes de la vía pública a través del sistema de cámaras de videovigilancia situadas en unas islas de contenedores que no se encontraban cerradas ni delimitadas; y 2) tratar las imágenes captadas por este sistema de videovigilancia situado a la vía pública, para ejercer la potestad sancionadora contra vecinos del municipio. Se aprecia un concurso medial entre ambas infracciones, pero solo procede sancionar la infracción principal, que es la vulneración del principio de licitud en cuanto a la instalación de un sistema de videovigilancia a la vía pública.

Se amonesta en un Ayuntamiento como responsable de una infracción por vulneración del principio de licitud, por haber enviado a un inspector del cuerpo de la policía de la Generalitat-Mossos d'Esquadra dos instancias con datos personales sin base jurídica, en concreto, antes de la apertura de una información reservada contra el agente denunciando, y sin que concurriera un peligro real para la seguridad pública o la investigación y persecución de un delito.

La entidad reclamada no ha acreditado que haya respondido la solicitud de rectificación ejercida por la persona reclamante.

Procede estimar la reclamación, dado que el ICS no respondió en plazo la solicitud de la persona reclamante. Respecto del fondo, no procede efectuar ningún pronunciamiento ni requerir ninguna actuación, puesto que el ICS ha acreditado que ha entregado la documentación a la persona reclamante en los términos solicitados, es decir, ha hecho efectivo el derecho ejercido por la persona reclamante, a pesar de que extemporáneamente.

Se estima la reclamación por la desatención del derecho de supresión de datos contenidos en carpetas compartidas en el ámbito laboral, a las cuales la persona reclamante ahora no tiene acceso, y que incluyen correos electrónicos de carácter personal.