La Agencia Española de Protección de Datos impone una sanción de 7.000 euros a una clínica oftalmológica que hizo un uso indebido de los datos personales de un cliente después de que este escribiera una reseña en el sitio web de la clínica.
La resolución dictada por la presidenta de la AEPD, Mar España, (acceder en el botón ‘Descargar Resolución) afirma que la empresa sancionada vulneró las normas de protección de datos, en concreto infringió el deber de confidencialidad al que está sujeta a la hora de tratar los datos de sus clientes.
En el presente caso, un cliente de la citada clínica dejó una reseña en el perfil de Google My Businees del centro oftalmológico, a lo que el propietario respondió publicando una gran cantidad de datos personales de esa persona: su nombre y apellidos, DNI, número de teléfono, así como datos personales de salud y datos relativos a infracciones cometidas por plagio de documentos.
El cliente afectado presentó una reclamación ante la AEPD para que se abriera un procedimiento sancionador contra la empresa oftalmológica por el uso indebido de sus datos personales. A pesar de que la contestación a la reseña no aparece actualmente en Internet, Google la registró y en la reclamación presentada por el cliente éste aportó una impresión de dicha publicación.
Publicó los datos de forma consciente y deliberada
La Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador por la presunta infracción de los artículos 5.1.f) y 32 del RGPD; procedimiento que ha finalizado con una resolución dictada por la Agencia confirmando que la clínica vulneró las normas en el ámbito de las competencias de la AEPD.
A pesar de la empresa aseguraba que no poseía página web propia, ni ha sido propietaria de la página web que denuncia la denunciante, ni tenía personal propio médico ya que se dedica al alquiler de servicios médicos y gestión patrimonial de locales, sin relación directa con pacientes, y por tanto nunca ha tenido relación directa con la denunciante; la AEPD ha rechazado dichas alegaciones.
La Agencia afirma que en el presente caso y sin perjuicio de lo que resulte de la instrucción, se han tenido en cuenta como agravante la intencionalidad y negligencia de la clínica “porque la intencionalidad en el tratamiento no legitimado es clara, ya que ha publicado consciente y deliberadamente los datos del reclamante”.
Asimismo, la AEPD considera como agravante la categoría de datos tratados ya que se tratan, además de nombre, apellidos, DNI y teléfono, otros datos especiales protegidos, como son los datos de salud y datos de infracciones penales.
Por todo ello, se considera que la sanción correspondiente de imponer es de 5.000 euros por infringir el artículo 5.1 f) del RGPD, y 2.000 euros por la infracción del artículo 32 del RGPD, lo que hace un total de 7.000 euros de sanción.
Fuente: economistjurist.es