Sanción a un laboratorio para comunicar a la entidad contratante los resultados de covid de las personas trabajadoras

07 Junio 2022

La Agencia Española de Protección de Datos ha sancionado un laboratorio privado con una multa de 20.000 €, reducida a 16.000 € por pago en período voluntario, por haber infringido la normativa vigente de protección de datos.

El 16 de abril de 2020, una persona trabajadora del Ayuntamiento de Calpe interpuso una reclamación ante la Agencia Española de Protección de Datos (AEPD) contra una clínica privada por haber compartido datos de carácter personal sin su consentimiento con la dirección de su empresa. La persona trabajadora expresó que no había sido informada de la comunicación de los resultados al consistorio contratante.

Precedida de una petición de la plantilla del área de servicios sociales, el 11 de abril de 2020, la Concejalía de Servicios Sociales del Ayuntamiento de Calpe propuso someterse de forma voluntaria a una prueba de anticuerpos COVID -19 a las personas que estaban prestando directamente servicios asistenciales a personas pertenecientes a los colectivos sensibles en materia de salud e integridad física.

Se contrató por parte del Ayuntamiento un laboratorio externo para que realizara las pruebas, consistentes en un análisis sanguíneo para la determinación serológica de los niveles de anticuerpos. Una vez realizado, se procedió a comunicar el resultado, mediante correo electrónico, a cada persona trabajadora y a la concejala delegada de Área, lo que originó malestar a la reclamante, quien envió una queja al laboratorio solicitando explicaciones de por qué se había transmitido un dato personal a un tercero sin su consentimiento y sin que nadie le hubiera informado de que esto sería así.

El laboratorio manifestó que, entre otras condiciones, estableció que el Ayuntamiento debía informar a las personas trabajadoras de que se enviaría una copia de la analítica a la dirección de la entidad y, si algún trabajador/a no estaba de acuerdo, debía manifestarlo en el momento de extracción de la sangre, justificando así que había habido un error logístico al suponer que el consentimiento informado lo había realizado el Ayuntamiento de Calpe. En el momento de la toma de muestras, se comunicó verbalmente al personal que los resultados se remitirían a la persona interesada, junto con la concejala de turno, sin que nadie expresara su oposición, pero al ser una prueba voluntaria, no se recogió el consentimiento en el momento de la extracción sanguínea.

Sin embargo, la condición de comunicación de datos de los resultados no fue informada por ninguna de las dos partes, ni por el Ayuntamiento ni por el laboratorio y, que la trabajadora se sometiera a la prueba de forma voluntaria no implica que aceptara expresamente que los resultados fueran comunicados a su responsable. La Agencia considera que comunicar unos resultados, con análisis completo, que además eran negativos y, por tanto, no podían perseguir una finalidad de prevención, no es necesario ni proporcional y, por eso, la AEPD acredita la infracción del artículo 5.1.f) del RGPD.

El tratamiento lícito de datos personales debe tener una base jurídica que se encuadre en alguno de los supuestos previstos en el artículo 6.1 RGPD y, en principio, los datos personales únicamente deben tratarse sobre la base de intereses vitales del interesado/a u otras personas físicas (art. 6.1.d) o en interés público (art.6.1.e). Sin embargo, no debe utilizarse una situación extraordinaria ni la lucha contra la situación de pandemia como un argumento para minorar el contenido de los derechos, puesto que la propia normativa de protección de datos personales contiene una regulación para estos casos extraordinarios que compatibiliza y pondera los intereses y derechos para el bien común (en todo caso deben continuarse aplicando todos los principios contenidos en el artículo 5 del RGPD y, entre ellos, el de tratamiento de datos personales con licitud, lealtad y transparencia, de limitación de la finalidad, principio de limitación del plazo de conservación y, sin duda, el principio de minimización de datos).

Más información:

Marc Bueno mbueno@pimec.org

Compartir: linkedin share button
Xat de PIMEC
Selecciona un departament
Un moment si us plau.