Buscador de resoluciones, dictámenes e informes

La Agencia de Salud Pública de Cataluña comunicó a los Servicios de Prevención de Riesgos Laborales de la empresa càrnica donde presta servicios el aquí denunciando, la relación del personal que no disponía de la pauta completa de vacunación contra la Covid-19. Esta comunicación se llevó a cabo en el marco de una campaña de vacunación del Departamento de Salud. Al respeto, la referida comunicación no contraviene la normativa de protección de datos, en la medida en que, tanto la normativa de prevención de riesgos laborales, como la normativa de salud pública, facultan las autoridades sanitarias para establecer mecanismos de colaboración con los servicios de prevención de riesgos laborales de empresas privadas.

Se resuelve desestimar la petición de la aquí reclamante dado que restringir el acceso a los datos de salud de la aquí reclamante, a todo el personal administrativo, informático y de gerencia ciudadana del Departamento de Salud, que puede necesitar acceder en el ejercicio de sus funciones, supondría una grave distorsión por el funcionamiento y organización del sistema sanitario. Así mismo, en la medida que la persona reclamante también pretendía que el Departamento hiciera efectivo su derecho de oposición "de manera global y no de manera individual", en relación a los datos referentes a su salud, que se traten en todos los Hospitales de Cataluña y Centros de Atención Primaria, se resuelve desestimar también esta pretensión, en la medida que, el Departamento de Salud no es el responsable de todos los tratamientos que señala el aquí reclamante.

La normativa de protección de datos personales no impide la difusión de información relativa a las personas difuntas. Las actas de las sesiones del pleno, en cuanto a los actos debatidos, se tienen que publicar en la sede electrónica del Ayuntamiento sin incluir categorías de datos especialmente protegidos, o que afecten el honor o la intimidad o que requieran una especial protección. En este caso habría que disponer del consentimiento de los afectados para poder difundir las actas, o bien difundir la información anonimizada. Una vez transcurridos 30 años pueden entrar en juego las previsiones del artículo 36 de la Ley 10/2001. No hay una base jurídica que habilite la difusión, con un alcance general, de la información contenida a los padrones municipales de habitantes en el web del Ayuntamiento, sin perjuicio de la difusión de información anonimizada del padrón.

Se resuelve sancionar Badalona Servicios Asistenciales por la infracción del principio de confidencialidad, dado que la entidad denunciada ha confirmado que una trabajadora del Hospital Municipal de Badalona, gestionado por Badalona Servicios Asistenciales S.A, habría accedido indebidamente a la historia clínica de una tercera persona. La sanción propuesta es de 2.000 euros.

Se resuelve archivar la presente denuncia dado que el Ayuntamiento denunciado y, en concreto, el Inspector en Jefe de la Policía Local, incluyó referencias en los datos de salud de la persona denunciando - que ostenta la condición de agente local - dado que estas eran necesarias para dirimir la conveniencia de iniciar un expediente disciplinario contra su persona, por un presunto abandono de servicio por motivos de salud. Así pues, esta Autoridad concluye que el tratamiento de datos personales controvertido restaba amparado por el artículo 6.1 e) - tratamiento realizado en el ejercicio de poderes públicos - y que concurrían las circunstancias previstas a los apartados f) y g) del artículo 9.2 RGPD, que levantan la prohibición de tratar datos de salud del artículo 9.1 RGPD.

El denunciante se queja del hecho que le hicieron enviar documentación médica por email y que esto propiciaría el accès a datos médicos por parte del personal administrativo no sanitario. Se dicta RA dado que se trataba de un envío excepcional puesto que el paciente pidió asistencia urgente por teléfono para la prescripción de medicación por el dolor y como el último informe médico todavía no constaba en el HC3, dado que había sido emitido aquel mismo día en otro centro médico, se le pidió que lo envíes por correo electrónico para poder llevar a cabo la prescripción médica. Estos correos los gestiona el personal administrativo que tiene encomendadas estas funciones y, además, la gestión no implica acceder a la documentación médica; únicamente si acontece imprescindible para la realización de sus funciones. Arte. 16 Ley 41/2022.

Se prepara RA dado que la persona denunciando fue la que en uno en torno a trabajo, reveló sus resultados de COVID (y los de su mujer) a otros compañeros. Lo hizo a efectos organizativos. A la vez, su jefe comunicó los resultados (y los de su esposa) a una compañera encargada de llevar a cabo funciones organizativas. A pesar de que no era necesario revelar los datos sobre los resultados de su esposa, resultaría desproporcionado hacer responsable de este hecho a la entidad denunciada, cuando fue el propio denunciante quién reveló la información en un entorno voluntario, de confianza entre compañeros. Así mismo, hay que resaltar que el responsable denunciado confirmó que había efectuado una auditoría de accesos y confirmó que no se había producido ningún acceso a los datos del denunciante.

Dado que la normativa insta la Administración pública a facilitar el uso del “nombre sentido” por parte de las personas trans (arte. 23.1 Ley 11/2014),  el tratamiento de este dato no resulta excesivo a los efectos del principio de minimización, y puede resultar lícito si se lleva a cabo sobre la base jurídica del consentimiento de la persona afectada. El tratamiento del “nombre sentido”, como dato identificativo relativo a la identidad o expresión de género de una persona física no implica, en principio, el tratamiento datos de categorías especiales. Hay que tratar también la información identificativa de la persona afectada que consta en documentos oficiales (DNI/NIE o pasaporte), para asegurar la identificación y, entre otros, el principio de exactitud de la información y su trazabilidad.

El hospital podría comunicar datos pseudonimitzades relativas a la salud de los pacientes tratados con medicamentos de uso compasivo en el laboratorio farmacéutico que facilita el medicamento para fines de investigación clínica (artículo 9.2.j) RGPD y apartado 2.d) de la DA 17.ª LOPDGDD) en base al interés legítimo perseguido por el laboratorio.