//
Archivos

consentimiento informado

Esta etiqueta está asociada a 6 entradas

La importancia de la información por capas en el Reglamento General de Protección de Datos

El marco aplicable a partir del 25 de mayo de 2018 obliga a proporcionar a los ciudadanos más información de la que exige expresamente la actual Directiva, de la que emana la LOPD.

La obligación de informar a los interesados cuanto se van a recabar, usar o almacenar datos personales ya estaba recogida en la Directiva 95/46/CE (Directiva de la que emana la actual LOPD). Sin embargo, el nuevo Reglamento General de Protección de Datos (RGPD) concede una mayor importancia a la información que se debe proporcionar a los ciudadanos cuyos datos van a tratarse, y contempla una lista exhaustiva de los contenidos que deben ser expuestos.

Esta obligación debe estar en consonancia con otro importante mandato: el de informar de forma concisa, inteligible y con un lenguaje claro y sencillo. En la actualidad abundan los casos de cláusulas informativas o políticas de privacidad cuya lectura puede prolongarse durante horas y que no se caracterizan por su claridad y concisión. La tarea de aunar ambas obligaciones representa todo un reto, puesto que cumplir la primera sin tener en cuenta la segunda debilitaría el derecho de los interesados a recibir una información adecuada y comprensible recogido en el nuevo Reglamento y podría llegar a considerarse una infracción de sus disposiciones.

La Agencia Española de Protección de Datos presentó recientemente nuevos materiales para ayudar a las pymes a cumplir con el nuevo Reglamento, en colaboración con las autoridades catalana y vasca de Protección de Datos. Entre ellos se incluía la Guía para el cumplimiento del deber de informar, en la que se ofrecen recomendaciones y soluciones prácticas sobre los modos de proporcionar esta información dando así cumplimiento al nuevo marco normativo.

Una de las propuestas contenida en la Guía sugiere presentar la información que exige el Reglamento por capas: una primera que incluya un nivel básico de la información requerida, de forma estructurada y muy concentrada, para remitir posteriormente a otra capa que contenga esa información más detallada. El enlace entre capas dependerá del medio en que se proporcione la información.

En muchos casos la forma más adecuada será ofreciendo en la primera capa un enlace a otras direcciones web. En otros casos la primera capa podrá dirigir a una segunda que se encuentre impresa en el reverso de un formulario. En todo caso, el objetivo central es que en el primer bloque de información no falte ningún aspecto relevante, aunque sea expuesto de forma sintética, y que para el interesado resulte evidente y sencillo el modo de acceder a la información completa en las siguientes capas.

Podemos encontrar claros ejemplos que ponen de manifiesto la utilidad de presentar la información mediante capas, como es el caso de los avisos de cámaras de videovigilancia. De otra forma no sería posible condensar toda la información relevante sobre el tratamiento de datos. Otro ejemplo son los avisos de cookies en páginas web, en los que se informa del tratamiento de datos de los usuarios efectuado mediante estos dispositivos y del seguimiento que se hace de los lugares visitados, remitiendo a una capa adicional para obtener más información.

La propuesta de presentar la información por capas sugiere que el cumplimiento de esta obligación podría llevarse a cabo a través de tablas informativas visualmente similares a las tablas nutricionales de los productos que compramos en el supermercado. El Reglamento, de hecho, prevé que la información pueda ir acompañada de iconos, que la hagan más comprensible, accesible e intuitiva.

Esta iniciativa presentada por la AEPD y las autoridades autonómicas se alinea con la intención del legislador europeo de buscar fórmulas que promuevan la presentación de información de manera más sencilla y simplificada.

Fuente: AGPD

La instalación de un GPS en el vehículo de la empresa sin conocimiento del trabajador no vulnera su intimidad.

Así lo ha dictaminado la Sala de lo Social del Tribunal Superior de Justicia de Cataluña en su Sentencia de 5 de marzo de 2012.

Los hechos.

Una empresa, debido a los comentarios de empleados y encargados en relación a que un trabajador no cumplía su jornada laboral, decide instalar un GPS en el vehículo de la empresa que utiliza así como contratar un detective privado.

Con posterioridad, le envía una carta en que le recuerda que debe cumplir con las obligaciones del puesto de trabajo así como que en virtud del artículo 20.3 del Estatuto de los Trabajadores, el empresario puede adoptar las medidas oportunas de vigilancia y control para verificar el cumplimiento de esas obligaciones, si bien no se menciona la instalación del GPS, y obviamente, menos aún que se haya contratado un detective.

Dos meses después, y en base a la información recogida en el GPS, el empresario decide despedir al trabajador por la “supuesta  comisión de una falta de transgresión de la buena fe contractual y abuso de confianza en el desempeño del trabajo”.

Los fundamentos de derecho.

El trabajador alega la vulneración por parte de la empresa de los siguientes artículos de la LOPD: 6 (consentimiento); y 5.1 (derecho de información); y que por tanto se ha producido una recogida de datos de manera fraudulenta (4.7).

El Tribunal considera que el derecho a la intimidad no es absoluto y que “hay que tener en cuenta el poder de dirección del empresario, imprescindible para la buena marcha de la organización productiva (organización que refleja otros derechos reconocidos constitucionalmente en los artículos 33 y 38 CE ) y reconocido expresamente en el artículo 20 ET , atribuye al empresario, entre otras facultades, la de adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento del trabajador de sus obligaciones laborales. Mas esa facultad ha de producirse en todo caso, como es lógico, dentro del debido respecto a la dignidad del trabajador, como expresamente nos lo recuerda igualmente la normativa laboral – artículos 4.2.c ) y 20.3 ET .”

Asimismo, el sistema utilizado, la implantación del GPS, es proporcional a la finalidad perseguida, que no es otra que “averiguar si cumplía su jornada laboral y si la actividad que durante la misma realizaba coincida o no con los partes de trabajo que facilitaba a la empresa”.

En este sentido, el sistema instalado cumple con los tres “juicios” para limitar un derecho fundamental según la doctrina del Tribunal Constitucional: “juicio de necesidad”, “juicio de proporcionalidad”, y “juicio de idoneidad”.

En cuanto a la información recibida por el trabajador al respecto, estima suficiente la comunicación que se realizó con posterioridad a su instalación, si bien, como ya se ha comentado anteriormente, no se especificó los medios utilizados.

Fallo.

Por lo tanto, se desestima el recurso interpuesto por el trabajador (ya había habido sentencia previa de 25 de marzo de 2011 dictada por el Juzgado de lo Social nº 28 de Barcelona), si bien no es firme y cabe Recurso de Casación para la Unificación de la Doctrina ante el Tribunal Supremo, Sala de lo Social.

¿Qué datos puede recabar un GPS?

Pues usando la Resolución de Archivo de la AEPD del E-742/2008 podemos decir que los siguientes:

Hora de arranque de la furgoneta;

Hora de aparcamiento de la furgoneta;

Puntos de paso y paradas de la furgoneta;

Velocidad de las furgonetas, tanto máxima como media;

Consumos del vehículo, siendo esto una simulación en función de los kilómetros recorridos;

Horas de funcionamiento de la furgoneta y horas en las que está parada;

Kilómetros realizados por jornada;

Desviación de horas de la furgoneta en función de un horario de trabajo configurable.

¿Qué dice la AEPD sobre la instalación de GPS para estas finalidades?

Informe 0193-2008:

“El artículo 20.3 del Estatuto de los Trabajadores (ET) dispone que “El empresario podrá adoptar las medidas que estime más oportunas de vigilancia y control para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, guardando en su adopción y aplicación la consideración debida a su dignidad humana y teniendo en cuenta la capacidad real de los trabajadores disminuidos, en su caso”.

 “No obstante, la existencia de esta legitimación no excluye el cumplimiento del deber de informar, por parte del empresario previsto en el artículo 5.1 de la Ley Orgánica”.

 “En consecuencia, la actuación descrita en la consulta, genera el correspondiente fichero y en todo caso, será obligatoria su inscripción en el Registro General de Protección de Datos, conforme a lo establecido en el artículo 26 de la Ley Orgánica.”

¿Hay que informar al trabajador a efectos laborales o no de la instalación del GPS?

Según la Resolución de Archivo del E-2778-2010 de la AEPD:

“En el presente caso, ha quedado acreditado que LOGISLAND había informado al denunciante que los vehículos destinados a la realización de su función profesional y comerciales contaban con un sistema de localización y seguridad mediante GPS al haber aportado escrito en el que figura el recibí suscrito por el correspondiente denunciante.

 Es cierto que la información sobre el hecho de que los vehículos están dotados de GPS no implica necesariamente que se informe de su utilización a efectos de un posible despido.”

¿Cuál es la postura del Supervisor Europeo de Protección de Datos?

Aunque no hay un Dictamen específico sobre GPS (o bien yo no lo he encontrado) podemos hacernos una idea en el siguiente informe sobre la

la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se modifican el Reglamento (CEE) n o 3821/85 del Consejo, relativo al aparato de control en el sector de los transportes por carretera, y el Reglamento (CE) n o 561/2006 del Parlamento Europeo y del Consejo:

“El uso de aparatos de control en el transporte por carretera implica el tratamiento de datos personales relativos a los conductores profesionales. Una gran parte del tratamiento está basado en el uso de aparatos de geolocalización y medios de comunicación a distancia, que son tecnologías que tienen un impacto considerable sobre la intimidad y la protección de datos de las personas”.

 “….aclarar los objetivos específicos y legítimos para los que se llevará a cabo una geolocalización constante. Debería especificarse claramente en la propuesta que no se permite la instalación y el uso de dispositivos con el fin directo y principal de permitir a los empresarios controlar a distancia y en tiempo real las acciones y el paradero de sus empleados”.

¿Y el Grupo del Artículo 29 de las Autoridades Europeas de Protección de Datos?

En el Dictamen 13/2011 sobre los servicios de geolocalización en los dispositivos móviles inteligentes se analiza la utilización de los GPS, pero más bien, como dice el nombre del informe en “dispositivos móviles”. No obstante, recomiendo también su lectura.

Conclusión:

Hay tratamiento de datos y no es necesario el consentimiento. Más dudas me ofrece la información a “efectos laborales”,  y posiblemente haya que distinguir entre dos situaciones diferentes:

–      El vehículo de la empresa lleva instalado un GPS desde el inicio de la prestación laboral del trabajador. Se tendría que informar de la citada instalación.

–      Se instala con la finalidad descrita en los hechos de la sentencia. Bastaría la información sin especificar la instalación, ya que de lo contrario perdería su finalidad.

Fuente: Privacidad Lógica

Publicado el 16 de octubre de 2012 por 

Endesa Energía es sancionada por protección de datos por usar datos personales sin consentimiento para activar un contrato de suministro de energía.

Según informa la AEPD en su PS/00613/2011, Endesa Energía ha sido sancionada por usar sin consentimiento los datos personales y activar un contrato de suministro de energía, cuando en realidad el denunciante tenía el servicio con GAS NATURAL y se le ha impuesto una multa de 50.000€.

Endesa Energía aportó el contrato de suministro, así como las facturas de suministro por el consumo. Consta en su sistema informático la reclamación del denunciante por la disconformidad de la contratación el 27/04/2010; que no abrió ningún expediente por este supuesto; y que la contratación se realizó a través de un distribuidor, ESTRUCTURA DE VENTA DIRECTA SL, quién obtuvo los datos del denunciante mediante el sistema de visita domiciliaria de sus comerciales.

Quedando como hechos probados mas relevante los siguientes:

1.- El denunciante consta como cliente de Endesa Energía.

2.- Los datos del denunciante provienen de un formulario de “Solicitud de suministro” que fue cumplimentado por un agente comercial del distribuidor, en la que se puede constatar la existencia de una firma con el nombre completo del denunciante que no coincide con la firma del denunciante.

3.- En el posterior control de calidad, la grabación de la conversación para verificar la veracidad de la contratación deja en evidencia a Endesa: no consta el número al que se llama, ni el día, ni la hora, ni quien llama, ni quien atiende la llamada, y, desde luego, la voz no es identificable con el denunciante, ni el acento ni el tono.

4.- El denunciante comunicó su disconformidad con el contrato por teléfono a Endesa, indicando que no había firmado ningún contrato y los datos eran erróneos (teléfono y cuenta).

La LOPD establece: “Artículo 6. Consentimiento del afectado
“1. El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa.

Son pues elementos característicos del derecho fundamental a la protección de datos personales los derechos del afectado a consentir sobre la recogida y uso de sus datos personales y a saber de los mismos.

Carece de consentimiento Endesa Energía SAU para tratar los datos personales –nombre apellidos DNI y domicilio- de la persona denunciante incorporándolos a su fichero de clientes, emitir contrato de suministro, después facturas y más tarde reclamarle los importes de esa facturas, y encargar su cobro a una entidad especializada. Todo ello sin haber obtenido el consentimiento del denunciante.
Para que el tratamiento de los datos de la persona denunciante resultara conforme con los preceptos de la LOPD, hubieran debido concurrir en el procedimiento examinado alguno de los supuestos contemplados en el artículo 6 de la Ley mencionada. Sin embargo, nunca hubo consentimiento para el tratamiento de sus datos. Tampoco concurre ninguno de los supuestos exentos de prestar tal consentimiento, de modo que se considera infringido el citado artículo 6.1 de la LOPD.

Endesa Energía SAU dice que los datos del denunciante habían sido proporcionados por la empresa de servicios que tenia contratada para la captación de clientes, que una vez recibidos encargo el control de la calidad de la misma a una tercera empresa que por medio de conversación telefónica grabada obtuvo de la persona denunciante la confirmación de contratación, el buen trato recibido por el comercial, la información escrita completa de la oferta ventajosa y la exactitud de todos los datos proporcionados.

La realidad que se obtiene de la apreciación conjunta de todos los documentos obrantes en el expediente es muy distinta. La verdad es que inmediatamente que tiene conocimiento del contrato que le envían para su firma se pone en contacto con Endesa para manifestar su desacuerdo con la contratación, que él no ha firmado ningún formulario de contratación del gas y mantenimiento. Los mismos empleados de atención de la compañía dicen que ante los documentos de identidad presentados con el escrito de reclamación del denunciante se deduce que no ha firmado el formulario de contratación y le envían la carta para tramitar la baja. No solamente no es la firma del denunciante la que figura en el formulario tampoco lo es el teléfono de contacto y el número de la cuenta bancaria para domiciliación de pagos.

La imputada no ha acreditado que obrara con diligencia suficiente para cumplir su propio procedimiento para tramitar nuevas altas por canales presenciales del gran público. En el texto aportado se han descrito una serie minuciosa de tareas a realizar sobre el material remitido por los captadores para dar el visto bueno a los contratos y las medidas de verificación y control a ejecutar, incluso por personal externo certificador.

La primera reclamación del denunciante a Endesa se produce por teléfono el 27/04/10 la siguiente, escrita, el 30/04/10 y le contestan que tras comprobaciones todo esta correcto, que no hay nada de lo que denuncia. En las grabaciones de los contactos con el cliente, aportados también con las alegaciones al acuerdo de inicio, queda constancia de que él no firmó los contratos –como se hace constar en el hecho 6, pero emitió posteriormente las dos facturas que dice haber anulado y devuelto el importe el 02/03/11.

Ha transcurrido casi un año desde que tuvo el conocimiento de la primera reclamación del denunciante y copia de su DNI. Muy poca diligencia para poner fin a la situación, como exige el apartado 5.b) del artículo 45 de la LOPD, si tenemos en cuenta que las facturas por el suministro se emitieron después de comprobar que no era su firma la de los contratos.

Estas razones ha llevado a que la AEPD imponga una multa de 50.000€ (cincuenta mil euros) a Endesa Energía SLU por infracción del artículo 6.1 de la LOPD, tipificada como grave en el artículo 45.2 y 4 de la citada Ley.

De este procedimiento será interesante extractar la lección que debemos recoger todos, en especial cuando uno cuenta con un departamento comercial, propio o externo:

1.- No basta con contar con un protocolo de calidad (que hay que tener); este debe ser creíble y para ello debe estar alerta para detectar posibles errores y/o fraudes en la contratación.

2.- Es un ejercicio sencillo y elemental el contrastar la firma de los documentos con la firma que aparece en el documento identificativo del cliente (p.e. su DNI, pasaporte, etc..).

3.- De sabio es rectificar: a la primera llamada del denunciante en el que este comunica a Endesa que no ha firmado ningún contrato deberían saltar todas las alarmas, no solo verificar electrónicamente las firmas en ese momento y darle la razón al cliente (parece que así se actuó); sino que que debe actuar con mas dinamismo, ya que se está evidenciando un error/fraude en el contrato. La acción de Endesa fue pasiva, se limitó a enviar a un documento de solicitud de baja… he aquí mi asombro; si la supuesta acción de captación fué presencial, si el denunciante no acudió a Endesa, ¿por qué es ahora el denunciante el que debe esperar a que le envíen el documento de baja y cumplimentarlo y reenviarlo? ¿por qué Endesa, en su departamento de calidad, no envió inmediatamente a un inspector o agente autorizado a verificar los hechos a casa del denunciante y proceder a anular unilateralmente el contrato que nunca debió activar?.

4.- ¡Cuidado con el equipo comercial de campo!. Aquí nos encontramos con otro de los elementos peligrosos: la captación de personal con baja cualificación en los departamentos de ventas; la falta de formación de estos equipos; la falta de concienciación sobre los pasos a dar en las visitas comerciales y en la contratación; la obligación de que los mismos realicen el primer check list de verificación de datos (¿no nos piden el DNI cuando pagamos con tarjeta de crédito? ¿qué impide que miremos y revisemos el DNI o documento identificativo a ver si realmente es la persona que tenemos enfrente?); y por último, la presión que las empresas realizan sobre su fuerza de ventas obligando a esta a cumplir objetivos, ha llevado a algunos comerciales a no prestar la debida diligencia en la acción comercial, ha llevado a otros a entregar contratos cerrados en aquellas situaciones en las que solo realizaron una “propuesta comercial personalizada” falsificando luego la firma, y, por último, y no menos grave, la avaricia de querer cobrar un incentivo o comisión extra por una visita que no se ha cerrado de forma positiva sino en un  “ya veremos” o “ya lo estudiaremos”.

Quizás me esté dejando atrás alguna otra lección, pero me ha parecido importante destacar estos aspetos.

Fuente: AEPD

Las autoridades europeas de protección de datos han adoptado un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies

Las autoridades europeas de protección de datos, reunidas en el Grupo de Trabajo del artículo 29, han adoptado un dictamen sobre la exención a la obtención del consentimiento para el uso de cookies durante su sesión plenaria de los días 6 y 7 de junio de 2012 en Bruselas. El dictamen explica cómo la Directiva revisada sobre la privacidad y las comunicaciones electrónicas afecta al uso de las cookies y tecnologías similares. Más concretamente, en su dictamen las autoridades europeas de protección de datos han analizado las exenciones del requisito de obtener el consentimiento informado en este contexto. El dictamen aborda las cookies que se puede colocar en determinadas circunstancias sin la necesidad de contar con el consentimiento informado. Además, proporciona directrices para decidir si una cookie está exenta del principio del consentimiento informado.

El Artículo 5.3 revisado (la llamada “Ley de cookies”) de la Directiva sobre la privacidad y las comunicaciones electrónicas ha reforzado la protección de los usuarios de redes y servicios de comunicaciones electrónicas al establecer como requisito la obtención del consentimiento informado antes de que se almacene o se acceda a la información en el dispositivo terminal del usuario (o del abonado). El requisito se aplica a todos los tipos de información que se almacena o a la que se accede en el dispositivo terminal del usuario, aunque la mayor parte del análisis se ha centrado en el uso de las cookies.

El Artículo 5.3 permite que algunas cookies queden exentas del requisito de obtener el consentimieno informado, si cumplen uno de los siguientes criterios:

1.- Que la cookie se utilice “al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas”.

2.- “en la medida de lo estrictamente necesario a fin de que le proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario”.

En su dictamen, el Grupo de Trabajo del artículo 29 se ha concentrado en estas exenciones al principio del consentimiento informado  en el contexto de las cookies y tecnologías relacionadas. Las autoridades europeas de protección de datos ya habían examinado anteriormente los requisitos para la obtención del consentimiento informado de forma detallada en los dictámenes que emitieron sobre la publicidad en línea basada en el comportamiento (WP 171) y en la recomendación de buenas prácticas de EASA/IAB Europe sobre publicidad en línea basada en el comportamiento (WP 188).

El análisis de este dictamen muestra que algunas cokies pueden quedar exentas del requisito de obtener consentimiento informado en determinadas circunstancias si no se utilizan para fines adicionales. Estas cookies incluyen por ejemplo las cookies de “entrada del usuario” (que se emplean para hacer un seguimiento de los datos introducidos por el usuario  cuando rellena formularios en línea o utiliza un carrito de la compra), también conocidas como cookies de identificación de sesión, las cookies de las sesiones de los reproductores multimedia y las cookies de la personalización de la interfaz del usuario (por ejemplo, las cookies de preferencia de idioma que permiten recordar el idioma seleccionado por el usuario).

No es probable que las cookies analíticas de primera parte generen un riesgo para la privacidad cuando se limitan estrictamente a fines de recopilación de información estadística agregada sobre los interesados, ni cuando las utilizan sitios web que ya proporcionan información clara sobre estas cookies en sus políticas de privacidad, así como salvaguardias de protección de la privacidad. Se espera que dichas salvaguardias incluyan un mecanismo de fácil utilización para que los usuarios puedan inhabilitar cualquier recopilación de datos y mecanismos de anonimización exhaustivos que se aplican a otra información recopilada identificable, como las direcciones IP.

Las autoridades europeas de protección de datos desean subrayar que para poder decidir si una cookie está exenta del principio de consentimiento informado es importante comprobar cuidadosamente si cumple uno de los criterios de exención que se definen en el Artículo 5.3 de la Directiva sobre la privacidad y las comunicaciones electrónicas. En caso de duda, los operadores de los sitios web siempre pueden, por supuesto, pedir el consentimiento del usuario, evitando así cualquier incertidumbre jurídica.

“Grupo de Trabajo del Artículo 29”

El grupo de autoridades europeas de protección de datos- Grupo de trabajo del Artículo 29- es el grupo consultivo compuesto por representantes de las autoridades nacionales de protección de datos de los Estados miembros, el Supervisor Europeo de Protección de Datos y la Comisión Europea. Está facultado para examinar cualquier cuestión que esté relacionada con la aplicación de las directivas en materia de protección de datos para contribuir a la aplicación uniforme de las mismas. Desempeña sus funciones emitiendo recomendaciones, dictámenes y documentos de trabajo sobre todas aquellas cuestiones relevantes que afectan a la protección de datos personales.

Fuente: AEPD

Nota de prensa. Versión AEPD (ES)

Nota de prensa del Grupo de Autoridades Europeas de Protección de Datos (EN)

Dictamen del Grupo de Autoridades Europeas de Protección de Datos sobre “cookies exentas de consentimiento” 

Una residencia de ancianos es sancionada por facilitar datos de ancianos a una farmacia.

El Tribunal Supremo confirma la sanción de la Agencia Española de Protección de Datos a una residencia de ancianos por facilitar a una farmacia un listado con datos personales de los residentes. El Alto Tribunal ratifica la multa de 300.506 euros a la residencia.

Tras una inspección en la farmacia, el titular de la misma reconoció que la residencia de ancianos le facilitó un listado con una relación de sus clientes. El objetivo era que la farmacia cargara en la propia cuenta de los residentes aquellos productos solicitados por la residencia que no estuvieran cubiertos por la Seguridad Social.

El titular de la farmacia reconoció que la residencia de ancianos es uno de sus principales clientes y que las órdenes de pedido se refieren tanto a productos cubiertos por la Seguridad Social como a no cubiertos. En este segundo caso, el Centro Residencial comunica, bien por teléfono o por escrito, la relación de los productos con indicación del residente para el que se solicitan.

El listado aportado por la residencia de ancianos contenía los siguientes campos de información de sus residentes: nombre y apellidos, número del Documento Nacional de Identidad, número de cuenta bancaria al que la residencia gira la factura y un campo de observaciones. En la residencia de mayores se verificó que en sus equipos informáticos se encontraba un fichero automatizado tipo hoja de cálculo Excel, cuyo formato coincide exactamente con el listado aportado a la inspección por el titular de la farmacia. Los datos contenidos en el fichero corresponden a 162 residentes del centro, los cuales figuran también en el listado aportado a la Inspección por el titular farmacéutico.

En los contratos suscritos entre la residencia y los residentes, tal y como quedó probado, no se informa a los mismos sobre los derechos que les asisten contemplados en la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Por su parte, la residencia de ancianos argumentó que presta a los residentes un servicio de atención integral, que permita cubrir todas sus necesidades, incluidas las de acceso a medicamentos y artículos de higiene personal. Añadiendo que “la prestación de esa concreta asistencia sólo puede realizarse mediante la confección de un pedido a la farmacia y con la facilitación de los datos de cada persona a los efectos de cobro”.

La Sala del Tribunal Supremos, mantiene que no está en condiciones de determinar el modo en que se debería proceder al suministro de medicamentos y productos de parafarmacia a las personas que se encuentran ingresadas en una residencia en la que reciben una asistencia integral. “No obstante, lo que sí se puede afirmar sin temor a error es que el mecanismo ideado para proceder a ese suministro produce claras infracciones de los derechos a la protección de datos de las personas ingresadas”, apunta.

El Supremo insiste en que la prestación del servicio farmacéutico por parte de la recurrente a sus residentes no fue precedido de una información expresa en la que se hiciese saber a los residentes la facilitación de sus datos de carácter personal a la oficina de farmacia. Según la Sala, tampoco puede sostenerse que la información requerida esté implícita en la relación jurídica aceptada por los residentes, aún cuando se admita que la relación de mención abarca una asistencia integral que incluye el servicio farmacéutico. Por todo ello, se desestima el recurso de casación interpuesto por la Residencia, contra sentencia de la Audiencia Nacional, que confirma la sanción de la Agencia Española de Protección de Datos de 300.506 euros. (TS 08/10/2010, Rº 4353/06).

Fuente: http://www.dlcarballo.com/2012/04/sancion-por-facilitar-datos-de-ancianos-a-una-farmacia/

 

Conservación de la historia clínica y firma electrónica del consentimiento informado

El régimen de protección de datos aplicable a las historias clínicas ha de complementarse necesariamente con las previsiones específicas recogidas en relación con las mismas por la normativa que las regula, y en particular por el Capítulo V de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

Las previsiones de la mencionada Ley dan respuesta expresa a algunas de las cuestiones que afecta a la forma en que la historia clínica debe conservarse. Esta cuestión fue comentada por al AEPD en su informe jurídico 0443/2010 que pasamos a editar y comentar:

Sigue leyendo

Estadística del blog

  • 110,343 Visitas

Agujero de seguridad; incidente de seguridad APEP ASNEF auditoría técnica cesión de datos sin consentimiento cifrado consentimiento informado conservación historia clínica cumplimiento lopd custodiar mal historias clínicas datos confidenciales deber de secreto denuncia destructoras de papel difundir lista de morosos envío de publicidad envío sin copia oculta estudio seguridad redes wifi facebook fichero de información y solvencia fondos de formación fraude fundación tripartita gestión de continuidad del negocio google Grupo de trabajo del Artículo 29 guía de protección de datos historia clínica incidencia de seguridad incluir a moroso sin requerir la deuda informe de auditoría infraestructuras en la pyme lista de morosos lista robinson lopd lopd canarias LOPD COSTE CERO LSSI marco legal marketing medidas de seguridad MOVISTAR plan de contingencia política de privacidad principio de calidad principio de consentimiento principio de seguridad privacidad privacidad objeto de garantía problema de seguridad propuesta de la Unión Europea protección de datos proteger menores publicación en internet publicación sin consentimiento de datos personales reconocimiento facial redes sociales redes sociales y menores reputación online robo de datos robo de identidad sancionada protección de datos Sanciones LOPD Canarias sanción seguridad seguridad en la nube seguridad informática servicios cloud smartphone smartphone con android usurpación de personalidad videovigilancia Whatsapp WhatsApp problemas seguridad wifi
A %d blogueros les gusta esto: