Utilizar el derecho a la protección de los datos personales como venganza por la publicación de una mala reseña en Google de una entidad no es una buena idea. Y si no, que se lo digan a uno de los protagonistas de esta resolución que pasamos a analizar.
Pues bien, la Agencia Española de Protección de Datos (en adelante AEPD) en expediente EXP202206316 de 26 de octubre de 2023 ya condenó a un Instituto Oftalmológico a una sanción de 7.000 euros por infracción del artículo 5.1.f) del Reglamento General de Protección de Datos (en adelante, RGPD) y el artículo 32 del RGPD y le requirió al cese definitivo e inmediato en la publicación de los datos personales de la parte reclamante.
Como hechos probados en el citado expediente quedó constancia de los siguientes:
- Publicación de datos personales de la reclamante. En concreto, su nombre, apellidos, DNI, número de teléfono, así como datos personales de salud y datos relativos a infracciones cometidas por plagio de documentos.
- La parte reclamada indica que no posee página web propia, ni ha sido propietaria de la página web que denuncia la denunciante y que no tiene personal propio médico ya que se dedica al alquiler de servicios médicos y gestión patrimonial de locales, sin relación directa con pacientes y que, por tanto, nunca ha tenido relación directa con la parte denunciante.
La clínica oftalmológica no se conformó con esta terminación e interpuso el 3 y 5 de diciembre de 2023 recurso de reposición.
Por su parte, el Instituto oftalmológico aduce, además de las alegaciones ya formuladas durante la tramitación de procedimiento, que el proceso ha caducado (la apertura del expediente se produce el 22 de junio de 2022, la resolución en 8 de septiembre de 2022 y es nuevamente abierto en junio de 2023) y que se han sancionado dos conductas que son contradictorias e incompatibles, no pudiéndose exigir ambas a la vez. De hecho, determina que, por un lado, se sanciona una conducta negligente por inexistencia de medios que eviten la filtración de los datos personales; y, por otro lado, se sanciona una conducta dolosa por revelación de datos personales. Considera la parte recurrente del recurso que debe imponerse una única sanción por cuanto un mismo comportamiento no puede ser negligente y doloso a la vez.
Asimismo, se alega por el Instituto una vulneración del principio de non bis in ídem, dado que se castiga la revelación intencionada de datos personales y este mismo criterio se utiliza como agravante. Igualmente indica que no ha existido actividad probatoria ya que se sanciona con las simples manifestaciones de la reclamante y con fotocopias, sin prueba pericial que garantice su autenticidad, sancionando a la sociedad por los hechos cometidos por un médico sin pruebas.
Por último, señala la parte recurrente del recurso que los datos de la reclamante presuntamente revelados están publicados en Internet, indicando que el DNI de la interesada ha sido publicado por la misma Generalitat Valenciana, así como su nombre, apellidos y condición de puesto de trabajo extraídos de una resolución publicada por la que se conceden ayudas económicas para la formación de idiomas.
Por tanto y, por resumir los hechos acaecidos, ha de tenerse en cuenta que la denuncia objeto del procedimiento sancionador fue presentado por la paciente contra la clínica porque, tras escribir una reseña en Google, la contestación de la entidad, la parte reclamada, consistió en la publicación de sus datos personales, en concreto, de su nombre y apellidos, DNI, número de teléfono, así como datos personales de salud y datos relativos a infracciones cometidas por plagio de documentos.
La parte recurrente del recurso señala como apertura del expediente el día 22 de junio de 2022, que no corresponde a la fecha de apertura del procedimiento sancionador que dio lugar a la resolución impugnada, sino realmente a la fecha en que fue notificado el acuerdo de admisión a trámite de la reclamación inicial. Posteriormente, en fecha 2 de septiembre de 2022, tras analizarse dicha reclamación, se acordó por parte de la AEPD archivo de las actuaciones. Dicha resolución fue notificada a la parte recurrente en fecha 8 de septiembre de 2022.
Tras estos acontecimientos, la paciente interpuso recurso de reposición contra la resolución recaída en fecha 24 de septiembre de 2022, alegando los siguientes puntos:
- La parte reclamada se hace llamar en Internet tanto Instituto Oftalmológico como Centro Oftalmológico, teniendo “ambas clínicas” la misma dirección postal.
- El teléfono móvil desde el que se envió un WhatsApp solicitando la eliminación de comentario publicado en Google es el mismo facilitado para el contacto con la clínica denunciada.
- La contestación a la reseña no aparece en Google actualmente, pero, no obstante, Google la registro y la notificó a la parte recurrente vía correo electrónico.
- Considera que la parte reclamada es responsable de la divulgación de sus datos personales de forma dolosa, por lo que está sujeta al régimen sancionador, debiéndose imponer una multa contra el responsable y establecer una indemnización por los daños y perjuicios causados.
- Se aporta copia del extracto de movimientos bancarios en la que se acredita que el Instituto Oftalmológico fue el que realizó el cargo de los servicios médicos realizados.
- Por último, solicita la reclamante que sus datos personales sean suprimidos.
La AEPD resuelve estimar el 1 de febrero de 2023 el recurso de reposición interpuesto por el cliente al apreciar indicios racionales de una posible vulneración de las normas en el ámbito de las competencias de la AEPD.
La Autoridad de control establece que el procedimiento, cuyo acuerdo de inicio fue firmado el 8 de junio de 2023, tendrá una duración máxima de 12 meses a contar desde la fecha de inicio, de conformidad con lo dispuesto en el artículo 64.2 de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPD). Transcurrido ese plazo, se producirá la caducidad y, en consecuencia, el archivo de actuaciones.
Una vez esclarecidos los tiempos del procedimiento, la AEPD aclara que, al iniciarse el procedimiento sancionador en junio de 2023, no puede considerarse que el tiempo de tramitación del procedimiento sancionador objeto del recurso haya superado el plazo de 12 meses establecido y, por tanto, se concluye que no se ha producido la caducidad del procedimiento.
Respecto a la posible incompatibilidad de sancionar dos conductas que son contradictorias e incompatibles (una negligente y otra dolosa), la AEPD señala que en el presente caso se sanciona por las infracciones que resultan del incumplimiento de lo establecido en los artículos 5.1.f) del RGPD y 32 del RGPD. Precisamente porque la confidencialidad y la seguridad de los datos tienen su reflejo en dos preceptos aislados e independientes del RGPD.
- El artículo 5 recoge el principio de integridad y confidencialidad y determina que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas y organizativas apropiadas. Establece una obligación de resultado, no objetiva.
- El artículo 32 del RGPD reglamenta cómo ha de articularse la seguridad del tratamiento en relación con las medidas de seguridad concretas que hay que implementar, de tal forma que, el responsable y encargado del tratamiento aplicarán medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo que incluya, entre otras cuestiones, la capacidad de garantizar la confidencialidad de los datos.
La AEPD considera que ambos preceptos persiguen objetivos autónomos y su vulneración resulta de conductas diferentes susceptibles de una sanción separada, no resultando determinante a estos efectos el ánimo que pueda apreciarse en la comisión de las infracciones, es decir, si las infracciones son consecuencia de una conducta dolosa o negligente.
En cuanto a que la AEPD castiga por la revelación de datos y se utiliza esto mismo como agravante, la Autoridad de control mantiene que esta circunstancia no tiene relación con el principio non bis in ídem invocado por el recurrente. En este sentido, el artículo 83.2 del RGPD dispone que “al decidir la imposición de una multa administrativa y su cuantía se tendrá debidamente en cuenta (…) b) la intencionalidad o negligencia en la infracción”. Entre las circunstancias que aboga el precepto se encuentra la de la intencionalidad o negligencia, que fue, precisamente, apreciada como concurrente en el caso presente. Por tanto, la revelación de datos constituye el hecho infractor, pero no la circunstancia valorada para fijar el importe de la multa.
Por otro lado, respecto a que no ha existido actividad probatoria y que la AEPD está sancionando con las meras manifestaciones de la reclamante y con fotocopias, sin prueba pericial que garantice su autenticidad, la AEPD considera que se aportó en la reclamación captura de pantalla en la que se contenían ambos comentarios, la reseña y la respuesta mediante la que se acreditó que permanecían publicados a fecha 19 de abril de 2022.
Finalmente, y sobre la manifestación de que los datos de la interesada presuntamente revelados están publicados en Internet por la Generalitat Valenciana, con su condición del puesto de trabajo, la AEPD dispone que esta circunstancia no legitima por sí misma la utilización de los datos de la parte reclamante por un tercero. Además, no alcanza a todos los datos relativos a la parte reclamante que fueron insertados en el comentario divulgado.
Tras diversas pruebas, cotejos y accesos al Registro Mercantil y comprobar los datos obrantes en la base de datos de la Agencia Estatal de la Administración Tributaria, así como correspondencia por email aportada por la afectada con el médico que la operó, de la que se deduce que el Instituto o clínica oftalmológica es la propietaria de la web y que la dirección de email para relacionarse con la afectada es el mismo que el documentando presentado por registro electrónico, se concluye que estos hechos supondrían que el Instituto Oftalmológico estaría vulnerando el artículo 5.1.f) del RGPD al haberse constatado la publicación, en abierto, de datos personales de la interesada.
Además, se considera que la entidad habría vulnerado el artículo 32 del RGPD pues el hecho de que se hayan publicado los datos personales supone la ausencia de medidas de seguridad en el tratamiento o el quebrantamiento de las mismas, ya que el Instituto optó por publicarlo sin tener en cuenta aspectos básicos como la necesaria confidencialidad que debe guardar en relación con los datos de identificación y de salud de los pacientes que trata. En este sentido, se alega por la AEPD una sentencia del Tribunal Supremo 543/2022 que refleja que no es suficiente el diseño de los medios técnicos y organizativos necesarios, sino que también resulta necesaria su correcta implantación y utilización de forma apropiada, de manera que el responsable también responderá por la falta de la diligencia en su utilización y aplicación.
Con todo lo expuesto, finalmente, la AEPD considera desestimar el recurso de reposición interpuesto por la clínica.
Por tanto, se puede extraer de esta resolución, que, pese a que no siente bien una mala reseña en Internet sobre nuestra entidad, no a cualquier precio es válida cualquier reacción, y más, cuando tal reacción comprende un uso indebido de datos personales que entraña, en todo caso, una vulneración a la normativa en materia de protección de datos.
Para saber más sobre opiniones y críticas en Internet, puedes consultar esta entrada anterior de nuestro blog.