Subtítulo de Post
En el procedimiento sancionador PS/00387/2014 de la AEPD podemos ver la sanción que sufren dos clínicas, una de las cuales (P.L. SL) adquirió la base de datos de clientes de la otra (S.E.N. SL) mediante un contrato, con motivo del cese de actividad de la segunda y sin haber informado previamente a los afectados.
CESIÓN DE DATOS ENTRE ENTIDADES SIN PERMISO DEL CLIENTE
Es muy frecuente que una clínica dental, por ejemplo, o centro médico por cierre de la actividad quiera traspasar su lista de pacientes a otra clínica y ésta quiera seguir con los tratamientos de los pacientes de la clínica original. Esto es posible pero deben de tomarse una serie de medidas tanto por parte de la clínica que cede los datos como de la que los recibe en cuanto a la protección de datos. A continuación os dejamos un caso en la que no se hizo correctamente, una paciente denunció el caso en la Agencia Española de Protección de Datos y ésta sancionó a ambas clínicas:
Según los hechos, la denunciante afectada, cliente de la clínica S.E.N. SL recibió una llamada de la entidad cesionaria P.L.SL en la que se la citaba para seguir con el tratamiento que contrató inicialmente con S.E.N. S.L. además de para ofrecerle otro tipo de servicios propios de la clínica adquirente de la base de datos.
Quedando acreditado que P.L. SL tenía los datos personales de la denunciante, incluido su historial médico, la denunciante solicitó su historial a P.L. SL, el cual le fue denegado alegando que “un historial médico no puede salir nunca de la clínica”.
COMPRA DE BASE DE DATOS ILEGÍTIMA
Ante esta supuesta “compra de base de datos” inconsentida, la denunciante lo pone en conocimiento de la AEPD iniciándose un procedimiento de inspección en la sede de la entidad adquirente que efectuó la llamada a la denunciante (P.L.SL).
La comunicación de datos se realizó mediante un contrato entre ambas empresas, sin haber recabado el consentimiento previo de los titulares afectados, lo que supone la imposición de una sanción muy grave por vulnerar la LOPD.
Resultado: Sanción de 40.001 € a cada una de las entidades por infracción de la LOPD.
Si no deseas que te ocurra algo similar en nuestro Dpto. de Protección de Datos te asesoramos cómo debes actuar en estos casos.