La AEPD impuso el 25 de febrero de 2020 una multa de 48.000 euros a la empresa HM HOSPITALES 1989, S.A. (“HM Hospitales”) por no obtener debidamente el consentimiento de un paciente para tratar sus datos personales.

HM Hospitales es un grupo hospitalario privado, que según su resumen ejecutivo de 2018, cuenta con 41 centros, 16 hospitales, y más de 4.600 trabajadores.

Hechos:

La reclamante acudió el 8 de noviembre de 2018 al servicio de urgencias de HM Hospitales donde solicitó su ingreso. Para formalizar el mismo, la reclamante tuvo que cumplimentar la “Solicitud de Ingreso Urgente” de HM Hospitales, la cual decía lo siguiente (la negrita es nuestra):

“[…] (el paciente) autoriza la comunicación a su Entidad Aseguradora, arriba indicada, de todos los gastos que sean necesarios para la cobertura de los gastos ocasionados. La negativa a dicha comunicación implica que el abajo firmante se compromete a satisfacer personalmente dichos gastos”.

“De conformidad con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal […]. Si no desea que se facilite esta información a terceros, marque esta casilla [_]”.

“Asimismo, y salvo indicación expresa, autorizo al responsable del fichero HM Hospitales 1989, S.A. a la utilización de los datos personales del paciente para el envío de información de sus productos y servicios, pudiendo revocar dicho consentimiento en cualquier momento. Si no desea autorizar el envío de publicidad, marque esta casilla [_]”.

La reclamante no marcó las casillas del formulario, y HM Hospitales remitió el informe médico a Mapfre, su compañía aseguradora, para solicitar el pago de los costes.

Según la resolución de la AEPD, el 23 de noviembre de 2018, Mapfre le denegó a la reclamante el pago de una prueba medica en base al informe médico que le fue remitido por HM Hospitales, y dado que su ingreso hospitalario no estaba autorizado, Mapfre “iba a solicitar el reingreso del importe y, aprovechándose de estas circunstancias, recalcular el importe de la prima de la póliza de seguro”.

Infracción:

El consentimiento debe ser una manifestación de voluntad inequívoca mediante una declaración o una clara acción afirmativa. El considerando 32 del RGPD dice: “[…] el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.

Puesto que “no marcar una casilla para otorgar el consentimiento” no puede considerarse una manifestación de voluntad inequívoca, el consentimiento obtenido por HM Hospitales de la reclamante estaba viciado, y HM Hospitales trató sus datos personales de forma ilícita.

La AEPD concluyó que HM Hospitales infringió el artículo 5.1.a) del RGPD: «1. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»).

Conclusión:

Si bien la cuantía de la presente sanción no es de las más elevadas impuestas por la AEPD hasta la fecha, sí es el primer caso que hemos visto en donde una empresa recibe una multa por emplear una fórmula de consentimiento obsoleta y no ajustada al RGPD.

Los hospitales, que tratan datos personales de carácter sensible como son los datos médicos de sus pacientes, deberían extremar el cuidado en dicho tratamiento, y con 21 meses desde la entrada en vigor del RGPD, y 14 meses desde la entrada en vigor de la LOPDGDD, deberían tener todos sus procesos y documentos (incluidos los formularios de ingreso de pacientes), adaptados a la nueva normativa de protección de datos.

En relación con la redacción de formularios para recabar el consentimiento de un interesado, recordamos lo que hemos indicado más arriba: “[…] el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”. (Considerando 32 del RGPD).

Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en Europa, por favor no dudes en suscribirte.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.