El mes pasado comentaba el caso de un procedimiento de la AEPD contra la aseguradora Aresa. El asunto a tratar no era tanto la sanción en si misma, ya que es un tema de gran empresa que excede los propósitos de este blog (que se explican bajo el título donde dice: "...Las resoluciones y noticias aquí citadas se refieren siempre a autónomos, micropymes o pymes...") sino analizar la cuestión de quién pagaría finalmente el importe de la sanción habida cuenta de que Aresa fue adquirida en su momento por Mutua Madrileña.
Ahora que la resolución ya ha sido publicada hay que señalar al menos dos aspectos:
En el procedimiento sancionador PS/00331/2007, instruido por la Agencia Española de Protección de Datos a la entidad ARESA SEGUROS GENERALES, S.A., y a DON X.X.X., vista la denuncia presentada por DOÑA G.G.G., que denunció que ARESA cuenta con unos informes médicos suyos emitidos por el profesional que la trata en la actualidad. Dichos informes se refieren a una fecha anterior a la contratación de la Póliza de seguro médico con Aresa. La denunciante manifiesta no haber autorizado al facultativo para el tratamiento de sus datos.
GGG solicitó de ARESA un intervención médica para solucionar un problema de varices, que le fue denegado en base a un informe médico aportado por el facultativo que la trataba (XXX) y de ahí nace la denuncia.
La Agencia inicia el procedimiento imputando a la Compañía Aresa Seguros la infracción a lo establecido en el artículo 7.3 de la LOPD. Este artículo dice:
En el presente caso, está clara la autorización, por parte de la denunciante a Aresa Seguros, para el tratamiento de los datos que le ha facilitado, incluidos los datos de salud que ella misma incluyó en el cuestionario de salud. Esa autorización no es aplicable al tratamiento de los datos de salud obtenidos por los médicos que tienen una relación mercantil con la compañía aseguradora.
Alega Aresa Seguros Generales que el tratamiento de los datos de salud de la denunciante no requiere su consentimiento ya que existe una habilitación legal que lo justifica. En este sentido, debe analizarse la naturaleza de la transmisión de datos que podría ser considerada una cesión o comunicación de datos o la prestación de un servicio por parte del profesional de la medicina (dr. X.X.X.) en nombre y por cuenta de la propia entidad aseguradora. Y de tal análisis la Agencia declara que sólo sería una cesión legítima según lo indicado en el artículo 11.2 c):
Puesto que la Ley reguladora del Contrato de Seguro impone a la entidad aseguradora la obligación de satisfacer el gasto de asistencia sanitaria efectuado como consecuencia de la enfermedad del asegurado, lo que exigirá conocer cuál será éste, dado que la asistencia se realizará generalmente por terceros ajenos a la propia entidad aseguradora, esta obligación parecería incluir un indicio de la necesidad de comunicación a la aseguradora de los datos necesarios para conocer la actividad asistencial realizada. Pero la tesis de la resolución es que lo dispuesto en el artículo 11.2 c) de la LOPD nunca podrá resultar de aplicación en caso de que nos encontremos ante la cesión de datos especialmente protegidos, y en consecuencia no es aplicable a la cesión efectuada por profesionales de la medicina a las entidades aseguradoras, que sólo será posible si el interesado ha prestado su consentimiento a la cesión o la misma aparece habilitada por lo dispuesto en una norma con rango de Ley.
Este tema termina: PRIMERO:
Pero a lo que nosotros nos importa es que la Agencia imputa a Don X.X.X. la cesión de datos de la denunciante sin su consentimiento y sin que se acrediten ninguno de los supuestos contemplados en el artículo 11.2 de la LOPD.
Alega el doctor que en cuanto a la cesión de los datos a la compañía de seguros, se produce una colisión de derechos: el de protección de datos y el derecho a que se comunique al asegurador la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, derecho amparado por la Ley de Contratos. La propia LOPD establece que no se exigirá el consentimiento en el caso que una Ley disponga otra cosa. La comunicación de los datos pretendía obtener un beneficio para la paciente, protegiendo su salud.
La Agencia responde que la Póliza suscrita por la denunciante y la Ley de Contrato de Seguros obligan al asegurado a que comunique la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, pero no al médico que trata a los pacientes. En consecuencia, no existe consentimiento de la afectada para la cesión de los datos de salud por parte del Dr. X.X.X. a la compañía aseguradora ni existe norma legal que habilite tal cesión.
Y por ello:
¿Y cual es la lección? La misma de siempre: la debilidad del microempresario, en especial cuando está dentro de una estructura superior. Seguro que XXX hubiera dicho a cualquier consultor: "¿LOPD?, yo cumplo, estoy en Aresa (o en esta franquicia, o con este asesor, etc) y ellos me han dicho que está todo bien". Sí, claro, qué te van a decir ellos, pero ahora explícaselo a la Agencia... y después toma el camino del banco y mira a ver de dónde sacas los 60.000€ que te va a pedir Hacienda vía Recaudación ejecutiva.
Ahora que la resolución ya ha sido publicada hay que señalar al menos dos aspectos:
- A diferencia de los casos con los que se comparaba en la nota señalada, la Mutua no ha absorbido Aresa, sino que ésta se mantiene en el mercado con su marca propia, por lo que es obvio que la sanción recae en Aresa. Sin embargo el resultado final es el mismo: pagarán al fin y al cabo los actuales propietarios, es decir la Mutua, salvo que más tarde pudieran ejercer cláusulas que hubieran previsto en el contrato de compraventa.
- Pero lo más importante para nosotros es que al leer la resolución me encuentro con que hay un "tercero" en el asunto: un médico individual al que también han sancionado con 60.000 euros.
En el procedimiento sancionador PS/00331/2007, instruido por la Agencia Española de Protección de Datos a la entidad ARESA SEGUROS GENERALES, S.A., y a DON X.X.X., vista la denuncia presentada por DOÑA G.G.G., que denunció que ARESA cuenta con unos informes médicos suyos emitidos por el profesional que la trata en la actualidad. Dichos informes se refieren a una fecha anterior a la contratación de la Póliza de seguro médico con Aresa. La denunciante manifiesta no haber autorizado al facultativo para el tratamiento de sus datos.
GGG solicitó de ARESA un intervención médica para solucionar un problema de varices, que le fue denegado en base a un informe médico aportado por el facultativo que la trataba (XXX) y de ahí nace la denuncia.
La Agencia inicia el procedimiento imputando a la Compañía Aresa Seguros la infracción a lo establecido en el artículo 7.3 de la LOPD. Este artículo dice:
Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
En el presente caso, está clara la autorización, por parte de la denunciante a Aresa Seguros, para el tratamiento de los datos que le ha facilitado, incluidos los datos de salud que ella misma incluyó en el cuestionario de salud. Esa autorización no es aplicable al tratamiento de los datos de salud obtenidos por los médicos que tienen una relación mercantil con la compañía aseguradora.
Alega Aresa Seguros Generales que el tratamiento de los datos de salud de la denunciante no requiere su consentimiento ya que existe una habilitación legal que lo justifica. En este sentido, debe analizarse la naturaleza de la transmisión de datos que podría ser considerada una cesión o comunicación de datos o la prestación de un servicio por parte del profesional de la medicina (dr. X.X.X.) en nombre y por cuenta de la propia entidad aseguradora. Y de tal análisis la Agencia declara que sólo sería una cesión legítima según lo indicado en el artículo 11.2 c):
Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros.
Puesto que la Ley reguladora del Contrato de Seguro impone a la entidad aseguradora la obligación de satisfacer el gasto de asistencia sanitaria efectuado como consecuencia de la enfermedad del asegurado, lo que exigirá conocer cuál será éste, dado que la asistencia se realizará generalmente por terceros ajenos a la propia entidad aseguradora, esta obligación parecería incluir un indicio de la necesidad de comunicación a la aseguradora de los datos necesarios para conocer la actividad asistencial realizada. Pero la tesis de la resolución es que lo dispuesto en el artículo 11.2 c) de la LOPD nunca podrá resultar de aplicación en caso de que nos encontremos ante la cesión de datos especialmente protegidos, y en consecuencia no es aplicable a la cesión efectuada por profesionales de la medicina a las entidades aseguradoras, que sólo será posible si el interesado ha prestado su consentimiento a la cesión o la misma aparece habilitada por lo dispuesto en una norma con rango de Ley.
Este tema termina: PRIMERO:
IMPONER a la entidad ARESA SEGUROS GENERALES, S.A., por una infracción del artículo 7.3 de la LOPD, tipificada como muy grave en el artículo 44.4.c) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.
Pero a lo que nosotros nos importa es que la Agencia imputa a Don X.X.X. la cesión de datos de la denunciante sin su consentimiento y sin que se acrediten ninguno de los supuestos contemplados en el artículo 11.2 de la LOPD.
Alega el doctor que en cuanto a la cesión de los datos a la compañía de seguros, se produce una colisión de derechos: el de protección de datos y el derecho a que se comunique al asegurador la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, derecho amparado por la Ley de Contratos. La propia LOPD establece que no se exigirá el consentimiento en el caso que una Ley disponga otra cosa. La comunicación de los datos pretendía obtener un beneficio para la paciente, protegiendo su salud.
La Agencia responde que la Póliza suscrita por la denunciante y la Ley de Contrato de Seguros obligan al asegurado a que comunique la ocurrencia de un siniestro y/o las circunstancias que agraven el riesgo de un siniestro, pero no al médico que trata a los pacientes. En consecuencia, no existe consentimiento de la afectada para la cesión de los datos de salud por parte del Dr. X.X.X. a la compañía aseguradora ni existe norma legal que habilite tal cesión.
Y por ello:
SEGUNDO: IMPONER al DOCTOR DON X.X.X., por una infracción del artículo 11 de la LOPD, tipificada como muy grave en el artículo 44.4.b) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euros con veintiún céntimos) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.
¿Y cual es la lección? La misma de siempre: la debilidad del microempresario, en especial cuando está dentro de una estructura superior. Seguro que XXX hubiera dicho a cualquier consultor: "¿LOPD?, yo cumplo, estoy en Aresa (o en esta franquicia, o con este asesor, etc) y ellos me han dicho que está todo bien". Sí, claro, qué te van a decir ellos, pero ahora explícaselo a la Agencia... y después toma el camino del banco y mira a ver de dónde sacas los 60.000€ que te va a pedir Hacienda vía Recaudación ejecutiva.