Seu Electrònica

Es sanciona a la Fundació Pere Tarrés per no haver adoptat les mesures i va posar a disposició de les famílies un formulari de preinscripció que per a poder-lo finalitzar condicionava l'acceptació de les condicions del servei a l'acceptació de la cessió i publicació d'imatges.

La persona reclamant va sol·licitar la traçabilitat a la seva història clínica i, durant la tramitació de la reclamació, l’entitat reclamada ha exposat que li va lliurar una còpia de la traçabilitat abans que hagués transcorregut un mes. També ha completat la informació inicialment lliurada, d’acord amb les precisions de la persona reclamant. Finalment, l'entitat reclamada ha argumentat els motius pels quals no consten uns accessos relacionats amb la vacunació de la covid i ha ofert la possibilitat de lliurar aquesta informació. Atès que la persona reclamant no ha comunicat que consideri que li falta més informació, es conclou que ja ha tingut accés a tota la informació inicialment sol·licitada.

S'arxiva la denúncia, atès que l'entitat denunciada argumenta que l'accés a la història clínica de la persona denunciant es va produir amb la finalitat de poder comprovar l’estat de les actuacions i en benefici del procés assistencial.

En el marc de l'assistència sanitària pública, l'hospital d'una fundació privada va proporcionar a 252 pacients uns dispositius per al seguiment i control dels nivells de glucosa, que comportaven la recollida de dades per part del laboratori privat que proporcionava els dispositius i l'aplicació de suport. El laboratori va recollir nombroses dades per a finalitats assistencials, comercials i de promoció i millora dels seus productes, així com d'investigació i estadístiques, sense informar-ne prèviament els pacients. A més, en el full de consentiment informat, es va supeditar l'accés al servei públic a l'acceptació del tractament de dades per a finalitats comercials. I en el contracte d'encarregat subscrit amb la fundació només s'assenyalava que el laboratori es limitaria a recollir les dades necessàries per a enviar els dispositius als usuaris. D'altra banda, el denunciant va sol·licitar l'accés a informació sobre les finalitats dels tractaments duts a terme pel laboratori privat, però la fundació es va limitar a reenviar la seva sol·licitud al laboratori, el qual no va donar-hi resposta satisfactòria. L'Autoritat va imposar una multa a la fundació per la comissió de 4 infraccions: 1) Infracció molt greu per vulneració del principi de lleialtat i transparència, i infracció molt greu per proporcionar informació parcial i errònia. 2) Infracció molt greu per manca de licitud o tractament il·legítim. 3) Infracció greu per manca de contracte d'encarregat. 4) infracció molt greu per manca d'atenció al dret d'accés.

El denunciant es queixava del fet que una supervisora de l'hospital on treballa com a infermer havia enviat un missatge de feina al seu correu particular, tot i que havia sol·licitat la supressió del correu particular i s'havia estimat. També es queixava del fet que se li requeria la seva adreça electrònica particular per desbloquejar la contrasenya d'accés al sistema d'informació. La denúncia s'arxiva per considerar que l'error que va cometre la supervisora va venir condicionat pel fet que, després de demanar-ne la supressió, el denunciant va enviar un correu laboral a la supervisora des del seu correu particular. Això va provocar que l'adreça s’emmagatzemés a la memòria cau de l'aplicació de correu. També, per considerar que a la sol·licitud de supressió no s'havia referit a l'aplicació de correu, i que l'emmagatzematge estaria emparat per l'interès legítim que l'hospital té per a la consecució del treball. També s'arxiva el fet denunciat referit a l'ús del correu privat per desbloquejar la contrasenya, per considerar que se'n fa un ús proporcionat i que també hi concorre l'interès legítim de l'hospital. No hi ha constància que, després de l'estimació de la supressió, l'hospital hagi tractat el correu particular del denunciant per desbloquejar la seva contrasenya.

Escau estimar la reclamació formulada contra la Fundació Institut d'Investigació Sanitària Pere Virgili, atès que l'entitat va respondre en el termini establert per la normativa aplicable, però no va lliurar a la reclamant tota la documentació en què consten les seves dades personals. En concret, no se li va entregar el document de conformitat emplenat pel responsable del servei de l'Hospital Universitari Verge de la Cinta.

La Fundació PM va enviar dos correus electrònics a diversos destinataris amb adreces corporatives de l'administració pública, en els quals adjuntava documents sobre si era escaient o no el retorn d'una persona a un centre gestionat per la Fundació. Aquest fet va comportar que es revelessin als destinataris d’aquests missatges les dades personals i de salut d'aquesta persona, contingudes als documents adjuntats.

La persona denunciant es queixava que l'entitat li enviava missatges electrònics comercials sense el seu permís i després que hagués sol·licitat que no els volia rebre. Es resol arxivar les actuacions perquè no hi ha prou elements que permetin imputar la comissió d'una infracció, ja que no s'ha constatat que la persona denunciant utilitzés els canals que li havien facilitat per cancel·lar una subscripció per rebre missatges electrònics comercials.

S'amonesta l'entitat infractora com a responsable d'una infracció prevista a l'article 83.5.a, en relació amb els articles 6 i 7 de l'RGPD, per no haver demanat el consentiment en relació amb la finalitat del tractament "elaboració de perfils", al registre d'usuaris en línia.

Una persona va denunciar que, en el marc d'una assistència sanitària privada, va rebre una carta en què se li comunicava la programació d'una prova mèdica on figurava el seu número de CIP i el seu domicili, tot i no haver-los facilitat a l'entitat privada. L'Autoritat va sancionar la fundació imputada amb una multa, per haver vulnerat el principi de licitud, en haver tractat dades provinents de l'assistència pública en el marc de la prestació d'assistència privada. També es van imputar dues infraccions més: una, per vulneració del principi de limitació de la finalitat, que no es va sancionar perquè queda subsumida en la vulneració del principi de licitud; i una altra per vulneració del deure de protecció de dades des del disseny i per defecte, que tampoc es va sancionar per concurs ideal d'infraccions.