Saltar al contenido

Multa de la AEPD por ceder datos de salud de un empleado

LA AEPD MULTA CON 50.000 EUROS A UNA CONSTRUCTORA QUE CEDIÓ DATOS DE SALUD DE UN EMPLEADO SIN SU CONSENTIMIENTO

La cesión de datos de salud de un trabajador a un tercero sin consentimiento a otra empresa es una falta grave. Vulnera el Reglamento General de Protección de Datos y la Ley Orgánica de Datos Personales y garantía de los derechos digitales. Descubre las consecuencias de un mal tratamiento de estos datos en esta noticia que te hacemos llegar desde Rapinformes.

Te contamos los detalles de la multa

Sobre esta base legal, la Agencia Española de Protección de Datos multó con 50.000 euros a la constructora IZA al revelar datos personales de uno de sus jefes de obra. El denunciante manifiesta que la entidad reveló, sin su consentimiento, datos de salud a otra empresa, así como su dirección de correo personal. En la resolución PS00324/2021 se indica que se ha producido el tratamiento de una categoría especial de datos personales, como son los datos de salud, de conformidad con el artículo 9 del RGPD.

Se recuerda que los datos de los trabajadores gozan de una doble protección. Concretamente, se encuentran amparados tanto por el Reglamento de protección de datos, como por la propia normativa laboral (Estatuto de los Trabajadores). En este sentido, la empresa tenía habilitado el tratamiento interno de determinada información, pero no estaba legitimada para cederla o transferirla a terceros.

Cuando se traten datos sensibles, como son los datos de salud, no solo se requiere que la cesión de datos a terceros cuente con una base jurídica que lo legitime. Además, es necesario el consentimiento del interesado.

Pero es que, incluso, en muchas ocasiones el consentimiento podría no ser valido. Ello se debería a la relación desigual entre empresas y personas trabajadoras, como ha indicado la AEPD. Pues bien, en el caso concreto, se considera infringido el principio de minimización de los datos, según el cual, los mismos deben ser “adecuados, pertinentes y limitados a lo estrictamente necesario”, ya que se consideró que los datos cedidos fueron excesivos. Además, otro principio que también se viola es el principio de limitación de finalidad. Aunque la empresa estaba habilitada para tratar los datos de salud dentro del marco de la relación laboral, se pudo comprobar que la cesión de esos datos excede del propósito original.

Es deber de las empresas tomar medidas para evitar estas situaciones

Por todo ello, y para evitar este tipo de sanciones, Eduard Blasi, abogado experto en privacidad, considera que las empresas deben de extremar las medidas de seguridad cuando se faciliten datos de trabajadores a terceras empresas. Aún más cuando se trate de datos de salud, los cuales rara vez se podrán comunicar a terceros. Por otro lado, Pere Vidal, abogado laboralista, indica que tanto el RGPD como la LOPDGDD tienen por objeto garantizar el derecho a la protección de los datos personales amparado por el artículo 18.4 de la Constitución.

Hay que reiterar que la empresa, respecto de los ficheros o tratamientos que tengan relación con los datos personales de sus empleados, está sujeta a lo que dispone la normativa de protección de datos. Por tanto, debe velar por el cumplimiento de los principios y obligaciones establecidos en la misma. Y ello supone prestar especial atención a las categorías especiales de datos (artículo 9.1 del RGPD), como lo son los datos de salud.

En este sentido, Vidal recuerda que el “uso de datos de salud con el consentimiento de su titular no queda amparado si los datos cedidos son excesivos en relación con la finalidad”.

En cualquier caso, “a falta de consentimiento de los afectados, deberá solicitarse su aportación ante el órgano judicial ante el que los datos se quieren presentar, a quien corresponde resolver el latente conflicto
de intereses, atendiendo al caso concreto, pues es el órgano judicial a quien, por Ley, corresponde ponderar este conflicto”. Como conclusión, Vidal recuerda que cuando el órgano judicial requiera aportar
datos sensibles a un procedimiento judicial. Es recomendable subrayar, mediante el correspondiente escrito, el carácter confidencial de la información. Deberá solicitarse su exhibición en sede judicial, sin que pueda
obtenerse duplicado, y solicitando que se adopten las medidas de seguridad necesarias.

Asegura el correcto tratamiento de los datos de salud en tu empresa con Rapinformes

Los datos de salud, como ya hemos mencionado, están sometidos a un mayor nivel de seguridad que otros tipos de datos. En Rapinformes te asesoramos para que puedas implementar una política de protección de datos eficaz y así cumplir con la legalidad, dando un mayor valor añadido a tu empresa.

Puedes solicitar más información, además de un presupuesto personalizado, a través de este enlace: Formulario de Presupuesto LOPD.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Política de Privacidad, RGPD y Protección de Datos
De conformidad con las normativas de protección de datos, le facilitamos la siguiente información del tratamiento:
Responsable: RAPINFORMES ON LINE, S.L.
Fines del tratamiento: mantener una relación comercial y enviar comunicaciones de productos o servicios.
Derechos que le asisten: acceso. rectificación, portabilidad, supresión, limitación y oposición.

Abrir chat
1
¿Necesita ayuda?
RAPINFORMES
Hola, ¿en que podemos ayudarte?