miércoles, 17 de enero de 2007

Los colegios pueden difundir en internet los datos personales y la titulación de los médicos sin su consentimiento

La Agencia Española de Protección acaba de hacer pública en su web la Memoria 2005. Al repasar las actividades emprendidas durante ese año, la Agencia subraya cómo archivó una denuncia que cuestionaba la difusión en internet de los datos básicos de los médicos colegiados. La Ley de Ordenación de las Profesiones Sanitarias, razona la Agencia, habilita a las corporaciones a llevar a cabo esta tarea de interés público, por lo que un facultativo no puede exigir la retirada de tal información.

La Memoria destaca, asimismo, cuatro actuaciones sancionadoras que considera especialmente relevantes en relación con la protección de datos sanitarios o de profesionales de la salud. Por su interés, reproducimos los textos pertinentes de la Memoria:


- Resolución de 26 de septiembre de 2005, por la que se acordó el archivo del expediente de actuaciones previas E/00975/2004, al entender que la publicación de la lista de colegiados en una página de Internet sin consentimiento de los mismos, se encontraba habilitada por lo previsto en la Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias, que prevé la necesidad de establecer registros públicos de profesionales sanitarios accesibles a la población.


- Resolución R/00262/2005, Procedimiento Sancionador PS/00149/2004, en la que se analiza si es acorde con la LOPD la situación en la que una determinada empresa contrata con otra para que le ayude a controlar el absentismo laboral de sus empleados, lo que en dicho contrato se denomina la "prestación de un servicio de asistencia médico complementario", consistente en el seguimiento de la marcha de los estados de enfermedad común del personal de la empresa. Ante tal situación, la Agencia consideró que la empresa contratada para controlar el absentismo laboral carecía del consentimiento de los trabajadores para tratar sus datos, sin que exista habilitación legal para realizar dichos reconocimientos médicos ni por su parte ni como encargado del tratamiento de la empresa, ya que nadie puede convertir en encargado a otro si no tiene habilitación legal para tratar los datos sin consentimiento de los afectados.
Por tanto, se consideró que se había infringido el art. 7.3. de la LOPD, al no haber quedado acreditado el consentimiento de los trabajadores a los que se les sometió a un reconocimiento médico paralelo.


- Resolución R/00740/2004*, Procedimiento Sancionador PS/00016/2005, por la que se sanciona a una Mutua de Accidentes de Trabajo y Enfermedades Profesionales de la Seguridad Social, por la cesión de datos que poseía de un trabajador por un reconocimiento practicado en otra empresa, sin su consentimiento, a la empresa en la que estaba en período de prácticas. A consecuencia de la cesión de dichos datos, cuando además el trabajador se había sometido voluntariamente a un reconocimiento rutinario (audiometría, visión, electrocardiograma y espirometría), dicho trabajador fue despedido.
Por tanto, se considera que la Mutua se ha extralimitado en la información facilitada a la empresa, pues utilizó sin consentimiento del trabajador datos que poseía de un reconocimiento anterior realizado en otra empresa.


Vulneraciones del deber de secreto por la Administración

- Resolución R/00095/2005, Procedimiento AA.PP./00019/2004, en la que se declaró la vulneración del deber de secreto respecto de datos de salud de una Administración Pública porque, cuando concedía una ayuda sanitaria , en la transferencia bancaria comunicaba a la entidad el concepto por el que se concedía dicha prestación. Por dicha actuación se declaró la infracción del art. 10 de la LOPD, tipificada como muy grave en el art. 44.4.g) de la citada Ley Orgánica.

- Resolución R/00397/2005, Procedimiento AA.PP./00028/2004, en la que se analizó la posible infracción del artículo 10 de la LOPD por la divulgación de los datos personales de un trabajador, incluidos en una lista de turnos de enfermería, en un departamento que no era aquel en que prestaba sus servicios el interesado. Al final del citado procedimiento, se declaró la infracción del citado art. 10 por parte del correspondiente Centro Hospitalario.


Más información:
Memoria 2005. Agencia Española de Protección de Datos.


* Probablemente se trate de una errata de la Memoria y quiera decir R/00740/2005