Revenge LOPD, cuando la LOPD se convierte en un arma de venganza
Un pediatra es sancionado por vulnerar la protección de datos de algunos de sus clientes tras ser denunciado por su expareja sentimental; el pediatra envió a su entonces pareja varios mensajes de whatsapp con datos personales de sus clientes. La Agencia Española de Protección de Datos impone una multa de 6000 euros por facilitar esos datos a una persona ajena al ámbito profesional de la clínica.
La LOPD es una norma que se presta a la instrumentalización dado que vulnerarla es relativamente fácil. De hecho, constantemente estamos vulnerando la ley en nuestro día a día.
Este es el caso de un pediatra, que tras romper con su entonces pareja, fue denunciado por ésta por haberle enviado por whatsapp diversa información relativa a su actividad profesional, a saber:
- Un par de fotos con la agenda, en la que aparecen anotados 31 pacientes menores de edad, con sus nombres y apellidos y teléfonos de contacto.
- Un vídeo en el que se ven a dos menores con su madre en la consulta pediátrica.
Estos mensajes, afirma el pediatra, fueron enviados dentro del ámbito íntimo que tiene una persona con su pareja, sin que hayan transcendido a terceros o se hayan llegado a publicar.
Afirma el pediatra además que la denuncia no persigue proteger un derecho fundamental como es el de la protección de datos, sino un fin ilegítimo, vengativo tras la ruptura sentimental, dándose la circunstancia además que la denunciante es magistrada.
Igualmente, el pediatra pone de manifiesto que hayan transcurrido 2 años desde que sucedieron los hechos hasta que se presentó la denuncia, coincidiendo con la ruptura sentimental.
Pero la AEPD considera acreditado que el denunciado envió datos personales de carácter identificativo de sus pacientes a un tercero sin que conste el consentimiento para este tratamiento de datos realizado al enviar, por el sistema de mensajería whatsapp, fotografías de su agenda profesional e imágenes de sus pacientes a un tercero.
Esta conducta supone tratar los datos personales de los pacientes sin contar con el consentimiento pertinente; en otras palabras, el pediatra no disponía del consentimiento de los pacientes para remitir sus datos identificativos a un tercero, según argumenta la AEPD.
El pediatra aportó dos escritos manuscritos donde constaba el consentimiento para este tratamiento de tres de las menores que aparecen en las fotografías enviadas por whatsapp, pero la Agencia afirma que esos consentimientos se han obtenido transcurridos más de dos años después de enviar los mensajes y que los consentimientos están firmados por los padres cuando en una de las fotografías se ve a la menor acudir con su madre. Y en cualquier caso no se acredita el consentimiento para el resto de las personas que figuraban en los mensajes.
En conclusión, afirma la AEPD, el pediatra, con el envío de los mencionados mensajes, permitió el acceso por parte de terceros a datos personales relativos a sus pacientes, vulnerando así la confidencialidad a ellos debida. Indica igualmente la AEPD, que el deber de secreto que en este procedimiento se valora es el que tiene el responsable del fichero y del tratamiento, que en este caso es el denunciado, sin que pueda responsabilizarse del mismo a un tercero que no tiene deber de secreto para con esos datos porque no son responsabilidad suya, produciéndose así una nueva infracción, en esta ocasión la de vulnerar el deber de secreto debido.
Finalmente el pediatra es sancionado con una multa de 6000 euros.
Considero no obstante que la AEPD podría haber apreciado abuso de derecho por parte de la denunciante y no acabar en un procedimiento sancionador. El abuso de derecho es una figura que pretende corregir la situación en la que se ejerce un derecho legalmente reconocido pero con mala fe, excediendo los límites de ese derecho, para generar un perjuicio a un tercero, sin que exista una utilidad para el titular de ese derecho.
El artículo 7.2 del Código Civil lo recoge en estos términos: «La ley no ampara el abuso del derecho o el ejercicio antisocial del mismo. Todo acto u omisión que por la intención de su autor, por su objeto o por las circunstancias en que se realice sobrepase manifiestamente los límites normales del ejercicio de un derecho, con daño para tercero, dará lugar a la correspondiente indemnización y a la adopción de las medidas judiciales o administrativas que impidan la persistencia en el abuso.»
En este caso la mala fe de la denuciante es manifiesta, máxime cuando los datos personales no le afectaban a ella sino a terceros; aunque técnicamente se produce la vulneración de la normativa de protección de datos se hace dentro de un ámbito doméstico, en la supuesta intimidad familiar o sentimental que se tiene con tu pareja, y cuya afectación real a los afectados es mínima, porque no se han facilitado datos relativos a su intimidad (por ejemplo una historia clínica) sino datos meramente identificativos.
Es claro que la denunciante perseguía un fin antisocial, donde nada gana ella con la imposición de una multa al que era su pareja ni tampoco va a mejorar la situación de los menores afectados.
De hecho, la propia Audiencia Nacional ha reconocido en su sentencia de 1 de abril de 2011, en relación a este abuso de derecho en el ámbito de la protección, que «La importancia y trascendencia de la normativa de protección de datos y la relevancia de los derechos constitucionales que se encuentran en juego, aconsejan que no se pongan al servicio de rencillas particulares que deben solventarse en ámbitos distintos que deben tener relevancia solo en el ámbito doméstico que le es propio y no un ámbito como el jurisdiccional. La seriedad que conlleva el ejercicio de la potestad sancionadora aconseja que se pongan en marcha los mecanismos administrativos y jurisdiccionales correspondientes solo cuando se suponga que se ha producido una verdadera violación del derecho fundamental a la protección de datos.”.
La resolución a la que hago referencia en este artículo es la PS-00094-2018.
Comments
Pepe
La AEPD se cubre de gloria.
¿Y no hay nadie que la denuncie por los fallos en el procedimiento?.
Sixto
Además de guardarse los datos sin motivo justificado durante tanto tiempo. Eso también es sancionable.