Medidas de seguridad a adoptar sobre los datos médicos

Los datos médicos de las personas están especialmente protegidos por la Ley de Protección de Datos de Carácter Personal (LOPD), que establece las mayores sanciones (de hasta 600.000 euros) en caso de incumplimiento. El artículo 8 de esta norma establece y regula los datos relativos a la salud, señalando que las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos.

Fuera de estos casos, es preciso el consentimiento expreso de los titulares de los datos o la existencia de una Ley que permita el tratamiento de dichos datos, tal y como establece el artículo 11 de la LOPD. Este precepto autoriza la cesión de datos de carácter personal relativos a la salud cuando “sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica”.

Por tanto, todo acceso indebido a datos médicos puede ser sancionado y además con dureza. Recientemente, el servicio de inspección de Instituciones Penitenciarias emprendió una investigación con el objetivo de esclarecer si personal de laboratorios farmacéuticos privados habían tenido acceso al historial clínico de presos enfermos de hepatitis, lo que como hemos visto prohíbe expresamente la Ley de Protección de Datos.

La AEPD sanciona la publicación de las retribuciones de los trabajadores

Los datos de los salarios de los trabajadores es algo que solo deben conocer tanto la empresa como el trabajador. Si esta información traspasa este ámbito, los afectados pueden reclamar a la Agencia Española de Protección de Datos (AEPD) que actúe. Y es que dar publicidad a las retribuciones de los empleados está considerado como una sanción grave por la Ley de Protección de Datos de Carácter Personal (LOPD).

Un caso de este tipo se dio en 2011, año en que la AEPD multó con 3.000 € a la Federación Española de Trabajadores de la Enseñanza de UGT (FETE UGT) por dar publicidad de las retribuciones de los empleados. La Agencia consideró la publicidad de las retribuciones de los empleados como una sanción grave según lo establecido en el artículo 6.1 de la LOPD.

La resolución de la Agencia, en su relato de hechos probados, explica que FETE UGT envió a sus afiliados en marzo de 2010 un correo con un documento adjunto, en el que se detallaban las gratificaciones acordadas por la Universidad Complutense de Madrid en el marco del programa Gratificaciones del Aula a Distancia y Abierta de la Comunidad de Madrid.

Dicho correo motivó que seis personas denunciaran la publicidad de sus retribuciones ante la AEPD. El documento en sí criticaba que las gratificaciones conllevaran la no renovación de contratos de personal y la reducción de plantilla. Se informaba de la cuantía general y se desglosaba persona a persona en seis casos, que fueron las denuncias registradas en la Agencia.

En un primer momento, la Agencia abrió expediente sancionador. En su escrito de alegaciones FETE UGT se defendió señalando que esta información formaba parte de su actividad sindical y que iba dirigida exclusivamente a sus afiliados. Además, alegaba que todo trabajador de la Universidad Complutense tenía acceso a estos datos sobre los salarios, ya que las gratificaciones forman parte de acuerdos del consejo de gobierno de la UCM, de naturaleza públicos. Y concluía su escrito indicando que las gratificaciones publicadas debían de tratarse como de funcionarios públicos, pese a que eran empleados.

El director de la AEPD, en su resolución, señalaba que nunca hubo consentimiento de los denunciantes antes de que se hicieran públicas sus retribuciones. La Agencia estimó que dar publicidad a sus salarios vulneraba la Ley de Protección de Datos de manera grave, por lo que impuso a esta federación de UGT una sanción de 3.000 €.

En este sentido, el artículo 6 de la LOPD establece que el tratamiento de los datos de carácter personal requerirá el “consentimiento inequívoco del afectado”. Ninguna de las excepciones de la norma era de aplicación en este caso, ya que la Ley señala que no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias.