¿Tienes SIDA? Preguntas para entrar en un balneario

datos-masivosUn balneario de Madrid requiere a sus clientes responder múltiples preguntas sobre su salud antes de poder acceder a las piscinas; entre estas preguntas, de respuesta obligatoria, nos encontramos con preguntas sobre si se tiene SIDA, hepatitis, enfermedades oncológicas, estar tomando algún medicamento (cuál), y en general si se tiene alguna enfermedad. Planteado ante la Agencia Española de Protección de Datos si un establecimiento privado como un balneario puede exigir responder a estas preguntas para acceder a él, esto es lo que ha respondido.

Antes de entrar en el fondo de la cuestión conviene hacer un breve inciso normativo. La Ley Orgánica de Protección de Datos, como su propio nombre indica, tiene como pretendida finalidad la de proteger nuestros datos de carácter personal; esta protección se consigue en base a varios principios que emanan de esta propia Ley Orgánica. Entre estos principios existe el denominado principio de calidad de datos, que viene contemplado en el artículo 4 de esta norma.

Este principio de calidad de datos tiene diversas vertientes, la que nos interesa aquí es la que expresa el artículo 4.1 que dice así:

«Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.»

Esto es lo que se conoce como principio de proporcionalidad; y parece razonable entender que solo podrán tratar nuestros datos personales si éstos son adecuados y no excesivos para la finalidad que se persiga, en otras palabras, que sean idóneos. Como principio que es, será necesario acudir a cada caso concreto para determinar si una recogida de datos es idónea o no.

Un ejemplo de lo que hablo lo podemos encontrar en el vídeo que la Agencia Vasca de Protección de Datos realizó en el año 2010, donde se dramatizan estos principios relativos a la protección de datos.
A partir del minuto 2:22 vemos la escena en la que el protagonista pretende hacer check in en el hotel donde se va a alojar; la recepcionista comienza a hacerle varias preguntas habituales; hasta ahí todo bien, pero de pronto la chica le pregunta que si puede facilitarle su número de píe… tras un momento de asombro, le responde; la chica sigue rellenando el formulario y termina por preguntarle la orientación sexual, y bueno, lo mejor es verlo.

Esta es una escenificación, exagerada lógicamente, de lo que pretende proteger ese principio de proporcionalidad ¿hace falta conocer el número de píe para hacer check in en un hotel? ¿Y la orientación sexual?

Volvamos a la historia real del balneario. Acompañados con unos amigos fui a un balneario de Madrid; a la hora de hacer el pago para acceder a la piscinas me asombró que todos tuviéramos que rellenar un formulario con nuestros datos personales (en otros balnearios en los que he estado no tienes ni que identificarte); el formulario en cuestión es este.

Cuestionario 1
Formulario 1

En primer lugar me asombró que no solo me pidieran mi nombre y apellidos, sino también mi domicilio, teléfono, email, fecha de nacimiento, y DNI. Todos los datos a completar obligatoriamente.

Pero lo que me dejó fuera de servicio fueron las preguntas en el reverso del folio, todas ellas encabezadas con el título «Cuestionario de Salud».

Cuestionario 2
Formulario 2

Como se puede leer, preguntan, entre otras cosas, si se tiene Hepatitis, SIDA o alguna enfermedad transmisible; enfermedad respiratoria como asma, neumonía; si se tiene alguna alergia o se es alérgico a algún medicamento. Si se padece alguna enfermedad en la piel, como hongos, dermatitis; enfermedades oncológicas, crónicas, etc, etc. Todo esto, recordemos, para acceder a las piscinas del balneario.

Llegados a este punto le indiqué a la recepcionista si era necesario responder a todas las preguntas para entrar a las piscinas, su respuesta lógicamente fue que sí. Intenté dialogar con ella para hacerle ver que para meterme en una piscina parecía ser un cuestionario un tanto excesivo, que ese cuestionario era el mismo que para el resto de actividades que se podían realizar en el balneario (en la primera hoja se puede marcar a qué vas al balneario), pero eran las normas del local.

Entonces me fijé en la cláusula sobre protección de datos para ver cuál es la finalidad del tratamiento de esos datos; en la cláusula como se puede apreciar pone que la finalidad es «gestión fiscal, administrativa, comercial y contable«. Además me advierten que mis datos podrán ser cedidos a las empresas del grupo EL BOSQUE. ¿Qué empresas son esas? (luego las veremos).

En vista del percal, me negué a pasar por el aro. Me negué a seguirle el juego a una empresa que sabía que estaba realizando un tratamiento excesivo de datos personales para una finalidad indebida y con unos posibles destinatarios desconocidos en ese momento para mí.

Ya en casa decidí cuestionar a la Agencia Española de Protección de Datos (AEPD) sobre lo sucedido para que se pronunciara sobre si efectivamente pueden exigir responder este tipo de preguntas para acceder a un balneario o en caso de no responder denegar el acceso. Es importante destacar el hecho de que el formulario es el mismo para todos, vayas a lo que vayas allí. De hecho era obligatorio que respondiera a la pregunta de si estoy embarazado…

La respuesta no se hizo esperar; en la Resolución E/03232/2013 se resuelve, en un par de páginas, el asunto, en base a lo siguiente:

a) Que en la Ley 6/1994, de 24 de noviembre, de balnearios y de aguas minero-medicinales y/o termales, se adjudica la condición de «centro sanitario» a los balnearios.
b) Que no se identifican qué datos de los solicitados considero excesivos y que no aporto informe de facultativo competente que acredite el carácter de excesivo de esos datos solicitados.
c) Que la AEPD no es competente para evaluar la negativa del centro a prestar el servicio si no se aportan esos datos.
d) Que el formulario respeta lo estipulado en el artículo 5 de la LOPD en lo relativo a la finalidad de la recogida de datos.

Dado que no estaba conforme con la interpretación y con el fin de aclarar algunos aspectos, presenté recurso de reposición, en base a los siguientes motivos:

a) Que la Ley 6/1994, de 24 de noviembre, de balnearios y de aguas minero-medicinales y/o termales ha sido indebidamente aplicada, toda vez que el artículo 1 de esta Ley delimita su ámbito de aplicación territorial a los balnearios de la Comunidad Autónoma de Extremadura, y este es un balneario en Madrid.

Frente a esto, la AEPD respondió invocando la definición de la RAE de la palabra «balneario» y el concepto de «termalismo», todo ello para atribuir la condición de centro sanitario al balneario, amparándose en lo dispuesto en el Real Decreto 1277/2003 de 10 de octubre.

b) Que en el escrito que presenté sí que identifico los datos que considero excesivos (todos los de salud y algunos identificativos, como el DNI, teléfono, domicilio, etc). Que no se me puede exigir aportar documento de facultativo que apoye mi teoría toda vez que lo que pretendo es que precisamente la AEPD se pronuncie sobre la cuestión, en la inteligencia de que es ella la que tiene esa competencia y conocimientos adecuados sobre la materia.

Frente a esto, la AEPD vuelve a repetir que no aporto elemento documental o informe de facultativo competente que acredite el carácter excesivo de los datos y que aquellos que entiendan que el contenido de los cuestionarios tiene un carácter excesivo para la prestación para la que se recogen los datos, son los que cuentan con la carga de acreditar dicho carácter excesivo.

Añade por último que dado que nos encontramos ante un servicio de balneario y que dada sus características puede tener efectos para la salud de los clientes, a juicio de esta Agencia nos encontramos ante una solicitud de datos que no consta que sea inadecuada.

c) Que no se pronuncian sobre la cesión de los datos a las empresas del grupo.

Frente a esto la AEPD indica que no se acredita por mi parte que se haya producido dicha cesión.

Y ello a pesar de que se le facilitó a la AEPD el listado de las empresas que forman parte del grupo, a saber:

  • EL BOSQUE MADRID SIERRA SL
    Objeto Social: LA REALIZACION DE ESTUDIOS POR CUENTA PROPIA O AJENA Y ASESORAMIENTO TECNICO A EMPRESAS, SOBRE TODA CLASE DE OPERACIONES MERCANTILES
  • EL BOSQUE ADVANCE SA
    Objeto Social: REALIZACION DE ESTUDIOS POR CUENTA PROPIA O AJENA Y ASESORAMIENTO TECNICO A EMPRESAS, SOBRE TODA CLASE DE OPERACIONES MERCANTILES E INDUSTRIALES. ADQUISICION, ARRENDAMIENTO, EXPLOTACION Y VENTA DE TERRENOS, EDIFICIOS.
    CNAE 2009: 6810 Compraventa de bienes inmobiliarios por cuenta propia
  • EL BOSQUE DEVELOPMENT SL.
    Objeto Social: LA REALIZACION DE ESTUDIOS POR CUENTA PROPIA O AJENA Y ASESORAMIENTO TECNICO A EMPRESAS, SOBRE TODA CLASE DE OPERACIONES MERCANTILES E INDUSTRIALES,
    CNAE 2009: 5510 Hoteles y alojamientos similares
  • EL BOSQUE INTEGRA SL
    Objeto Social: LA PROMOCION DE SERVICIOS DE BIENESTAR, ASISTENCIALES Y DE CRECIMIENTO PERSONAL
    CNAE: 702 Actividades de consultoría de gestión empresarial
  • EL BOSQUE PONTECALDELAS, SL
    Objeto Social: LOS SERVICIOS DE HOSTELERIA Y RESTAURACION. LOS SERVICIOS DE BALNEARIO. LA EXPLOTACION TURISTICA DE PUBS, CAFETERIAS Y BARES.
    CNAE 2009: 5610 Restaurantes y puestos de comidas

Por todo lo anterior, se desestima igualmente el recurso de reposición.

Aquí la resolución desestimatoria.
Y aquí el recurso de reposición desestimado.

Comments
  • jose
    Posted 9 enero 2014 09:41 0Likes

    Yo se que esta feo, pero en estos casos lo mejor es mentir, y poner lo que te parezca, por ejemplo, que estas embarazado.
    Si tienes el VIH, ¿te van a prohibir entrar en las piscinas? Que yo sepa ademas, no es contagioso de esta manera.

    • samuel
      Posted 9 enero 2014 10:36 0Likes

      El asunto fue más espinoso de lo que he comentado; he preferido quitar algunos pasajes porque podría parecer que me lo estaba inventando por lo increíble de lo sucedido, pero para que te hagas una idea, llegó a intervenir la Guardia Civil.

      Por otro lado, el problema de mentir en ese cuestionario es que entonces tenías que ir a ver a un facultativo que te autorizara a entrar en el balneario.

      • Olga
        Posted 9 enero 2014 13:12 0Likes

        Me ha parecido increíble. En fin, en el caso de estar enfermo a pesar de no poder transmitirse en esas condiciones (¿qué enfermedades se transmiten por el agua!?), ¿te deniegan el acceso?
        Ojú…
        Lo comparto.

        • Superpoblación
          Posted 20 junio 2015 17:20 0Likes

          Hongos principalmente, pero hay que tener en cuenta que las actividades acuaticas comportan un riesgo. Acaso alguien conoce una piscina que no tenga su botiquín. Resbalones y rozaduras son frecuentes. Así que efectivamente, preguntar por esas enfermedades que contagian por fluidos es proporcionado. Más si como dicen no separan el servicio de piscina del resto al decidir que preguntas necesitan hacer. Ya que en algunas actividades podria haber contacto corporal, o espacios mas pequeños, o elementos compartidos. En cualquier caso, lo que mas rechina, es la cesion a esas otras empresas que nada tienen que ver. Eso, y la pirueta utilizada para considerarlo centro sanitario estando fuera de extremadura. Aunque aqui lo que me extraña es que de hecho no se consideren centros sanitarios todos los balnearios nacionales, de forma inequivoca en alguna disposicion nacional. Pero insisto, no me concuerda que un centro sanitario pueda ceder datos recogidos con finalidad sanitaria, a empresas que no tienen el reconocimiento de centro sanitariol. Significa eso acaso que un hospital privado puede ceder datos sanitarios a una empresa de construcciones.

  • ROBERTO SUÁREZ
    Posted 9 enero 2014 10:16 0Likes

    Habiendo algunas cosas poco claras, como la explicitación de la finalidad y, especialmente, la propia de la cesión a terceros, sobre el resto no acabo de entender el «escándalo».
    ¿Cómo va a ser excesivo recoger el DNI, por ejemplo? Y en cuanto a los datos de salud, y dado que es un centro compartido que requiere de medidas higiénicas, parece razonable. Asunto distinto es que el tratamiento de dichos datos se ajuste estrictamente a lo reglamentado.
    Por último, es perfectamente comprensible que la AEPD aclare que no es de su competencia dilucidar si es legítimo recabar datos previo consentimiento en un local privado. Si no se está conforme no se entra y listo.

    • samuel
      Posted 9 enero 2014 10:33 0Likes

      Si no te parece excesivo que te pidan el número de DNI ¿podrías indicarme para qué lo necesitan? Dado que es un dato que hay que cumplimentar obligatoriamente, tendrá una finalidad específica que impediría prestarme el servicio si no aporto ese dato ¿no?

      Respecto a que es comprensible que la AEPD aclare que no es de su competencia dilucidar si se trata de una petición de datos excesiva o no, no estoy de acuerdo, de hecho, es que es la AEPD el órgano que realmente puede pronunciarse sobre ese asunto pues es la autoridad de control.

    • Leopoldo
      Posted 9 enero 2014 19:22 0Likes

      Roberto, si nos ceñimos a la finalidad de la recogida de datos «gestión fiscal, contable administrativa y comercial», es evidente el incumplimiento del principio de proporcionalidad.
      Lo que es un escandalo es el desgano y la desidia del inspector de turno sea de la AGPD.
      No entro en lo de las cesiones porque me da risa.

  • Mª Eugenia
    Posted 9 enero 2014 11:24 0Likes

    Me parece que el carácter excesivo de los datos es incuestionable pero lo que me parece realmente grave es la respuesta de la AEPD, ¿qué ocurre? ¿han pasado del todo a la nada y yo no me he enterado? ¿se acabó la rigurosidad (excesiva en mi opinión en muchos casos) en la aplicación de la LOPD? ¿qué hay de todas esas Resoluciones, informes,…en las que la AEPD precisamente se dedica a sancionar porque considera excesivos los tratamientos? no recuerdo que en ningún caso se pidiera informe de tercero ni que se acreditara el carácter excesivo, son los inspectores de la AEPD los que se personan, investigan y valoran.

    A simple vista no sólo se ve que son excesivos en relación no sólo con la finalidad declarada en la cláusula informativa que trascribes, sino también con la finalidad real de usar una piscina.

    Entiendo que para determinados tratamientos del balneario pueden ser necesarios algunos de estos datos de salud pero en tal caso deberían informar al interesado de qué datos son necesarios para cada finalidad. La AEPD lo ha indicado así en varias ocasiones.

  • Keti Crespo
    Posted 9 enero 2014 16:38 0Likes

    Yo dividiría este caso en tres partes:

    1º El balneario_ Desde el punto de vista que no es un centro sanitario, no se entiende a qué pedir tantos datos. Además es absurdo, porque no he leído que le pidieran justificante médico de si lo que afirmas es verdad. Por lo tanto, puedes tener sida y mentir. No obstante, esta enfermedad no es contagiosa, así que no viene al caso por parte de los responsables saber si la padeces.
    2º El usuario_ Está en su perfecto derecho a negarse a ceder estos datos, siempre y cuando no se ajusten a la finalidad para la que son recogidos, y no hay por qué negarle la entrada, que esto no sé si sucedió.
    3º La AEPD_ Se supone que esta Entidad está para aclarar las dudas sobre la protección de datos y, sinceramente, en las respuestas dadas no aclara ninguna.

    Por lo tanto, alabo la actitud del usuario de denunciar este tipo de hechos, y desapruebo tanto la de la AEPD y el balneario por no aclarar convenientemente qué debemos hacer los titulares de los datos en estos casos.
    ¿Se supone entonces que a cualquier piscina que vayamos, pública o no, en las que también a veces se dan tratamientos personales, debemos ceder todos estos datos?

  • Rafael Varela Tabarés
    Posted 9 enero 2014 17:03 0Likes

    Hola Samuel.
    Gracias por tu labor, en la que estoy seguro has gastado mucho tiempo, saliva y paciencia. Me parece muy mal la respuesta de la AEPD, no solo por su contenido, también por la desgana que deja patente en la misma.
    Sobre las cuestiones de incumplimiento, creo que están dichas todas, algunas cuestionables pero otras muy claras como datos excesivos, cesión masiva o finalidad.
    En fin, gracias y feliz privacidad

  • Ramon
    Posted 10 enero 2014 11:12 0Likes

    El vídeo tan estupendo sobre protección de datos del gobierno vasco, está incompleto. Es una pena porque los minutos finales redondean la exposión.

    • Samuel Parra
      Posted 10 enero 2014 11:16 0Likes

      Hola Ramón. Es verdad, está cortado al final, aquí tienes la versión completa: http://www.avpd.euskadi.net/s04-5248/es/contenidos/informacion/documentos_difusion/es_difusion/luces.html

      • Superpoblación
        Posted 20 junio 2015 17:09 0Likes

        Pero Sr. Parra. Entiendo que el ayuntamiento publica dichos edictos habitualmente en papel, en un tablón de anuncios. Y que estos se han impreso a partir de una base de datos de caracter personal para la que el ayuntamiento tiene autorizacion legal o legitimidad. Ahora bien, la pagina web que lo duplica esta revertiendo el proceso de papel a base de datos y tratandolos de forma automatizada, sin tener ninguna autorizacion para ostentar esta base de datos, ni haber conocimiento por parte de los titulares, ni comunicacion o existencia a estos de los derechos que les corresponderian para cancelar estos datos. Tampoco hay aviso ni acuerdo de cesion por parte del ayuntamiento a esta pagina web que simplemente los copia.

        Es de todo punto una vulneracion legal. De hecho usted mismo recomendo a un usuario no publicar fotografias sin censurar la matricula de los vehiculos. Como vamos a hora a pasar por alto la publicacion fuera del ambito geografico del ayuntamiento que se trate, y con caracter internacional de todos esos datos.

        • Samuel Parra
          Posted 21 junio 2015 01:00 0Likes

          Hola!
          No entiendo tu respuesta en relación a mi comentario anterior (al que respondes) 🙁

  • Marina
    Posted 10 enero 2014 12:18 0Likes

    Samuel, lo del balneario me ha llevado a cuestionar seriamente la competencia de la AEPD y ha comprender el fracaso de la Ley que ya comentaste una vez. No es extraño cuando se nos puede atropellar de esta manera y la AEPD dice que es correcto.

    Hoy justamente, me encontrado con una WEB en donde se publican nombres, apellidos, DNI de personas y sus resoluciones respecto a prestaciones de desempleo.
    Te ruego que lo veas, si esto no es vulneración, entonces ya no entiendo nada…

    el anlace:

    http://legislacion.derecho.com/resolucion-18-setiembre-2013-direccion-provincial-del-servicio-publico-de-empleo-estatal-de-la-rioja-5198565

    • Samuel Parra
      Posted 10 enero 2014 12:39 0Likes

      Hola Marina.
      Ese enlace que me has enviado es una notificación edictal, esto es, como no pueden notificar a los afectados por esos expedientes lo hacen vía boletín oficial o tablón de edictos del Ayuntamiento por ejemplo. Esa web lo que hace es duplicar el documento de notificación publicado originalmente, por ejemplo, en el BOE, y ponerlo ahí.
      En principio es una práctica legal, pero si se dan los requisitos adecuados los afectados por esa publicación pueden solicitar que se elimine.

  • Esther Botella
    Posted 10 enero 2014 13:29 0Likes

    Si eso no atenta contra el principio de calidad y de proporcionalidad que me explique a mi la Agencia para que se regula. En fin…..telita

  • mj
    Posted 10 enero 2014 14:51 0Likes

    La próxima vez, piénsalo dos veces antes de gastar el dinero de los contribuyentes en intervenciones de todos estos funcionarios públicos y administraciones.
    Por lo que cuentas se trata de un sitio privado, nadie te obligaba a entrar… Si no quieres dar esos datos que ellos han establecido, con irte es suficiente. No es así también en internet?

  • Xavier Cavallé
    Posted 15 enero 2014 14:18 0Likes

    Buenos días Samuel,

    Felicidades por el Blog!

    Definitivamente lo de la AEPD es de «traca»…

    No son competentes para dilucidar si la información requerida es excesiva (basta con contraponer el cuestionario, con la finalidad declarada del mismo…), pero en cambio, se arrogan la potestad de instar la retirada de unas cámaras simuladas,(unas carcasas de plástico)y acaban sancionado por no retirarlas…

    Igual me he perdido algo, pero no me constan competencias de la AEPD… en materia de paisaje urbano…

    En fin…

    Saludos!

    • Samuel Parra
      Posted 15 enero 2014 19:19 0Likes

      Gracias Xavier por tus palabras 🙂
      Sí, yo tampoco entiendo ni lo uno ni lo otro… :/

  • Unai Aberasturi
    Posted 6 marzo 2014 14:50 0Likes

    Buenas Samuel,

    a pesar de tratarse de una conversación ya desfasada, pues es de enero, quería felicitarte por tu blog, y comentarte que ésta es una de esas decisiones tan «particulares» de la AEPD, como la referida al carácter de las anotaciones de matrimonios homosexuales en el registro civil, por ejemplo.
    Yo creo que tu caso es uno de esos que ponen al descubierto la tan lamentable trasposición que se hizo de la Directiva, en la que el principio de proporcionalidad parece equilibrar mucho mejor que la LOPD las situaciones de indefensión o inseguridad que pueden generar las relaciones, sobre todo, privadas, en las que la solución muchas veces es: si no consientes la manipulación de tus datos, te quedas sin servicio, o sin acceso al trabajo, o lo que sea.
    Saludos
    Unai

  • Dolores
    Posted 9 agosto 2016 14:30 0Likes

    Hola Samuel,
    Tengo un caso parecido actualmente encima de la mesa. El balneario solicita el DNI del cliente (al que informa que es voluntario) para acceder a las instalaciones, al cliente no le parece bien que lo haga y presenta reclamación en consumo. En este caso, no se pide ningún dato más; antes no lo hacían pero empezaron a solicitarlos porque hubo robos en las taquillas y la policía les recomendó quedarse con ellos.
    El reclamante plantea varias cuestiones:
    1) En qué normativa se ampara el Balneario para solicitarle el DNI ya que únicamente está adquiriendo un servicio
    2) Nos indica que no nos autoriza al tratamiento, cesión de datos ni imágenes..(entiendo que quiere cancelar todo tipo de datos)

    Las dudas que se me plantean a raíz de todo esto son:
    ¿Puede el Balneario solicitar los datos del DNI amparándose en la finalidad de seguridad de las instalaciones?
    ¿Puede el balneario cancelar sus datos (en el caso de que los almacenasen) basándose en una solicitud hecha a través de una hoja de reclamación de consumo o es imprescindible que sea por medio de un escrito de derecho de cancelación por ejemplo???

    Pensé en mandar una consulta a la AEPD pero visto tú caso no sé si será muy efectivo. Agradecería mucho tú respuesta. Saludos,

Leave A Comment

Your email address will not be published. Required fields are marked *