AEPD sanciona con 20.000 euros a un centro médico por vulnerar la confidencialidad de las pruebas Covid de una trabajadora
Laboratorios González, S.L., envió los resultados de una prueba de una empleada al concejal del área del Ayuntamiento de Calpe, sin autorización. Es la base de la sanción de la AEPD.

AEPD sanciona con 20.000 euros a un centro médico por vulnerar la confidencialidad de las pruebas Covid de una trabajadora

El Ayuntamiento de Calpe fue el contratista
|
09/5/2022 01:30
|
Actualizado: 09/5/2022 01:54
|

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 20.000 euros a Laboratorios González, S.L., por haber comunicado al Ayuntamiento de Calpe, Alicante, los resultados de las pruebas serológicas de anticuerpos COVID-19, realizadas a 24 trabajadores del área de servicios sociales, sin contar con su autorización.

Algunos de esos trabajadores a los que se les hicieron las pruebas prestaban ayuda domiciliaria a empresas vulnerables.

En esta resolución, que acaba de hacerse pública –la PS/00323/2021– la Agencia Española de Protección de Datos (AEPD) indica que dicho centro infringió el artículo 5.1 f) del Reglamento General de Protección de Datos (RGPD) en cuanto a vulnerar el deber de confidencialidad.

La denuncia fue presentada ante la AEPD por una trabajadora de dicho Ayuntamiento que argumentó que ella nunca prestó consentimiento para que se comunicara al Consistorio los resultados de dichas pruebas, por lo que a ella concernía.

Laboratorios González argumentó, en su defensa, que, en el contrato con el Ayuntamiento figuraba el siguiente requisito: «Los trabajadores deben de saber que este laboratorio enviara una copia de dicha analítica a la dirección de la empresa, para que ésta tenga constancia del estado de salud de sus trabajadores en relación a una posible infección por COVID-19».

«Si algún trabajador no está de acuerdo en que dichos resultados se comuniquen a la empresa, lo debe de manifestar en el momento de la extracción de sangre, aportando un correo electrónico donde comunicarle el resultado».

El centro médico dice que lo hizo «por si hay algún caso positivo tomar las medidas pertinentes, por si se diera el caso que el trabajador es un inconsciente».

De acuerdo con la AEPD, no consta que sobre esto último ni el Ayuntamiento ni el Laboratorio informaran a la reclamante.

«El día de la toma de muestras», refiere la Agencia, «se dice al personal que está “reunido en una sala, que los resultados se remitirán al Concejal de turno y al interesado, no mostrando ninguno su posición verbal o escrita a realizar la prueba y a que se comunicasen los resultados”.

También se señala que este centro médico, más allá de los datos que debía tratar por la prestación del servicio al Ayuntamiento, es responsable del tratamiento al estar obligado a conservar la historia clínica de los pacientes y es quien debe proporcionar la información sobre el tratamiento de datos personales.

UTILIZAR LA INFORMACIÓN MÍNIMA ES ESENCIAL

José Leandro Núñez, socio del despacho Audens, destaca que la resolución de la AEPD, entra dentro de lo que indica en sus guías “desde un punto de vista de la normativa dentro de la empresa cuando realizas controles de salud en las empresas, se pueden hacer, pero tiene que estar restringido el acceso a la información sólo a las personas encargadas de ellos.

También revela que “la AEPD insiste en que la información que se tenga de un trabajador a través de un informe médico sea el tipo de examen que sea, debe cumplir con el principio de minimización. Esto supone darle a la empresa la mínima información necesaria para que pueda cumplir con su función. En este caso se trata evitar que se expanda la pandemia”.

A este respecto “lo que habría que facilitar es únicamente avisar a la empresa si hay positivo. Aquí el laboratorio mando el certificado médico completo con toda la información de un negativo, tanto a la concejal del área, en vez de mandársela a la persona encargada de prevención de riesgos laborales. Es ahí donde está el problema».

Este experto señala que con anterioridad a este fallo, la AEPD aplicaba el principio de confianza legitima: “confías en que si la Administracion te pide algo es legal, pero en este caso no lo validó porque es un centro médico que debe hacer un tratamiento de datos personales con unas medidas elevadas de seguridad de por sí. Y por eso mismo no lo admite”.

seguridad
Según José Leandro Núñez, el problema ha estado en que el Laboratorio envió los resultados a la concejal de área en vez de hacerlo a la responsable de riesgos laborales.

En cuanto a la infracción “es por la falta de consentimiento a la hora de ceder la información a terceros. También debería ser sancionado el Ayuntamiento en cuestión, pero en nuestro país las instituciones públicas no reciben multas económicas de la AEPD y solo apercibimientos. De este desequilibrio se queja mucha gente, pero así está nuestra normativa en estos temas”.

Este jurista recomienda que las empresas tengan ultimado un protocolo en el caso de que tengan un positivo “para ello deben tener en cuenta las opiniones de sus expertos en salud laboral y en prevención de riesgos. Desde el punto de protección de datos hay que utilizar el principio de minimización y no tratar más datos de los que sean necesarios y solo utilizarlos para estas finalidades por el personal autorizado”.

TRATAMIENTO DE DATOS DE SALUD ES RESTRINGIDO

Para Eduard Blasi, abogado experto en privacidad, y profesor del posgrado de Protección de Datos de la Universidad Oberta de Catalunta, «esta resolución llama la atención en primer lugar por tratarse de una situación en el marco de la pandemia llevada sin la debida diligencia por parte de un laboratorio de análisis clínicas”.

Este jurista indica que “tal como recordó la AEPD a los inicios de la pandemia, el COVID-19 no redujo ni aminoró el derecho a la protección de datos en ningún momento”.

Conviene insistir que, en términos generales, el tratamiento de datos de salud por parte de las empresas se encuentra muy limitado.

“En particular, las empresas sólo pueden tener conocimiento de las conclusiones derivadas de los reconocimientos, en relación a la aptitud de la persona trabajadora”.

En lo que respecta al tratamiento de salud para hacer frente a la pandemia, las empresas podían de forma excepcional tratar datos de salud relativos a los positivos en covid cuando se estableciera por parte de los servicios de prevención como una medida para evitar la propagación del virus.

Blasi señala que “no obstante, el laboratorio de análisis clínicas no actuó conforme a la normativa enviando el resultado al interesado y a la persona responsable del Ayuntamiento que contrató el servicio”.

Se ha infringido, por lo tanto, el deber de confidencialidad. “Se envió esta comunicación de datos sensibles a la responsable del Ayuntamiento, juntamente con el interesado. Son terceros no interesados en esa información”.

Eduard Blasi afirma que “tal como recordó la AEPD a los inicios de la pandemia, el COVID-19 no redujo ni aminoró el derecho a la protección de datos en ningún momento”.

“Con buen criterio la AEPD arguye que los resultados deberían haberse enviado sólo al interesado y, en el caso de obtener algún resultado positivo, podrían haberse articulado mecanismos para trasladar la información mínima (sin adjuntar la analítica completa) para que el Ayuntamiento pudiera tomar medidas de protección frente a estos casos”, indica

Llama la atención también que los resultados se envían por correo electrónico y en ningún caso se hace mención de un cifrado o capa de protección. “Los datos resultantes de la analítica son datos de salud y el correo puede ser reenviado (a veces por error) a terceros y ello suponer un grave perjuicio para el interesado”.

Para este experto, “esta resolución muestra que la AEPD revisa con detalle las situaciones que afloraron durante la pandemia y que implican tratamientos de datos sensibles. No sería de extrañar que en los meses posteriores aparecieran nuevos casos parecidos a este. La situación sobrevenida de la pandemia y la urgencia en la implementación de las medidas supuso un reto importante para las empresas”.

De cara al futuro, este jurista recuerda que «debe prestarse atención a la desescalada de medidas. Las empresas implementaron medidas y que implicaban tratamientos de datos de salud”.

“El tratamiento que se contemplaba debía entenderse como algo excepcional, ya que la norma general, la empresa debe conocer la información indispensable del trabajador. Ahora habrá que revisar lo implementado y hacer alguna consulta a la AEPD en caso de duda. Su canal de Delegados de Protección de Datos (DPD) funciona bastante bien”.

En esta noticia se habla de:

Noticias Relacionadas:
Lo último en Tribunales