Me voy... y de paso me llevo el fichero

El procedimiento sancionador PS/00613/2009 se inició tras tener entrada en la Agencia Española de Protección de Datos (AEPD) una reclamación interpuesta por D. A.A.A., (el denunciante, en lo sucesivo) poniendo de manifiesto lo siguiente :
El día 24 de octubre recibió por correo un escrito de la empresa EPIDERMOS ofreciendo sus servicios, ignorando quien es, no habiendo estado en sus consultorios.
Jamás les ha facilitado sus señas ni autorización alguna para dirigirse a él.

En el repertorio de abonados a servicios telefónicos no aparecían los datos personales del denunciante, pero la empresa denunciada aseguró que sólo había realizado el mailing a pacientes de su consulta y aportó una copia de la ficha con los datos personales del denunciante, aunque éste volvió a asegurar que no había mantenido ninguna relación con la denunciada y en referencia a la actuación médica referida en la citada ficha: "con quien yo concerté dicho chequeo fue únicamente con el INSTITUTO DEXEUS, S.A."

Lo que en realidad había ocurrido era que Epidermos había prestado durante un tiempo un servicio de chequeos dermatológicos para Dexeus, tratando entre otros pacientes al denunciante. En este caso Epidermos sería desde el punto de vista de la LOPD un Encargado del Tratamiento, que sólo puede usar los datos según las indicaciones del Responsable del Fichero, y que al terminar la relación entre ambas compañías (2006) debería haber destruido o al menos bloqueado tales datos.

Así lo expresa la Resolución sus Fundamentos de Derecho:
La relación profesional entre el Dr. y Dexeus no habilita a aquel para la realización del tratamiento de datos personales de aquellos pacientes ad livitum. Pues de lo contrario se estaría abonando una zona de impunidad para aquellos “profesionales” que prestan sus servicios a una entidad, y utilizan los datos de los clientes de esa entidad, en beneficio propio, pues no se puede olvidar que “el responsable del fichero” tiene que tener el consentimiento del interesado para el tratamiento o acreditar circunstancia que lo dispense, y en el presente caso, el responsable del fichero en el año 1997, era DEXEUS y no las personas individuales que prestaban servicios en él.
(...)
EPIDERMOS S.L trató datos personales del denunciante, sin poder acreditar ninguna circunstancia que legitime dicho tratamiento de datos, por tanto la actuación de la denunciada no es incardinable en ningún supuesto a la excepción a la prestación del consentimiento que recoge el artículo 6.2 de la LOPD, considerando vulnerado dicho precepto.

Y por lo tanto:
El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad B.B.B.., por una infracción del artículo 6 de la LOPD, tipificada como grave en el artículo 44.3 d) de dicha norma, una multa de 12.000 € (doce mil euros) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.