La Agencia Española de Protección de Datos ha impuesto mediante resolución administrativa una sanción de 10.000 euros al propietario de una clínica en la que se llevó a cabo una cirugía estética en 2017, y que ha sido posteriormente divulgada en redes sociales sin el consentimiento expreso de la paciente.
El derecho a la protección de datos se configura como un derecho fundamental reconocido en distintos instrumentos jurídicos, tales como la Constitución Española y la Carta de los Derechos Fundamentales. Además, el RGPD de la UE regula los datos de salud como una categoría de datos especiales de “carácter sensible”, puesto que estos pueden afectar de manera más profunda a la privacidad de la persona que es titular de los mismos. Para el tratamiento de este tipo de datos, el responsable debe contar con el consentimiento informado, explícito y específico del paciente, aspectos que no tuvo en cuenta el propietario de la clínica cuando difundió las imágenes de la paciente en las redes sociales.
La mujer que acudió a la clínica en 2017, prestó el consentimiento informado a la cirujana que le realizó la intervención y quién tenía arrendada la clínica al ahora sancionado y propietario de la misma. Si bien es cierto que inicialmente se prestó dicha autorización, ésta se limitaba a fines médicos, científicos o educativos, sin que en ningún caso pudiera ser revelada la identidad de la paciente.
No fue hasta pasados unos años, que la paciente descubrió las fotografías en las redes sociales de la clínica, y en las que pudo identificar su rostro, cuando decidió interponer una reclamación ante la mencionada autoridad, la cual ha constatado la ausencia de autorización explícita de la paciente a fines publicitarios. Es en el marco de esta extralimitación, cuando se han visto vulnerados los principios de minimización, limitación y confidencialidad que deben regir el tratamiento de los datos. Estos principios establecen que los datos deben ser limitados a aquello necesario en relación con los fines para los cuales son tratados y solo pueden ser recogidos por finalidades específicas, explicitas y legitimas, no debiendo tratarse ulteriormente de manera incompatible con dichas finalidades.
A la vista de lo expuesto, el propietario del centro recurrió la sanción alegando no ser responsable del tratamiento de las imágenes y, además, asumiendo que la cirujana contaba con el consentimiento expreso de la paciente para compartir las imágenes. Sin embargo, la AEDP confirmó la sanción inicial, subrayando que la responsabilidad en el tratamiento de los datos personales recae en quién los publica, pues es éste quien determina los fines y medios del tratamiento de los mismos, independientemente de que sea o no el profesional que realizó la intervención. Además, expone la resolución, que aun existiendo un acuerdo de tratamiento de datos de 2020 entre la cirujana y el propietario, dicho acuerdo no le exime de su responsabilidad respecto la divulgación indebida, ya que éste era posterior a la operación.
El ilegítimo tratamiento de los datos personales por parte de sus responsables puede derivar en consecuencias legales, como demandas por daños y perjuicios y sanciones administrativas. En Bufete Marín Fonseca ofrecemos asesoramiento especializado sobre la protección de sus derechos personales e información sobre el tratamiento de los mismos. Para cualquier cuestión pueden ponerse en contacto con nosotros.
Comments