AEPD sanciona con 20.000 euros a un centro médico por vulnerar la confidencialidad de las pruebas Covid de una trabajadora

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 20.000 euros a Laboratorios González, S.L., por haber comunicado al Ayuntamiento de Calpe, Alicante, los resultados de las pruebas serológicas de anticuerpos COVID-19, realizadas a 24 trabajadores del área de servicios sociales, sin contar con su autorización.

Algunos de esos trabajadores a los que se les hicieron las pruebas prestaban ayuda domiciliaria a empresas vulnerables.

En esta resolución, que acaba de hacerse pública –la PS/00323/2021– la Agencia Española de Protección de Datos (AEPD) indica que dicho centro infringió el artículo 5.1 f) del Reglamento General de Protección de Datos (RGPD) en cuanto a vulnerar el deber de confidencialidad.

La denuncia fue presentada ante la AEPD por una trabajadora de dicho Ayuntamiento que argumentó que ella nunca prestó consentimiento para que se comunicara al Consistorio los resultados de dichas pruebas, por lo que a ella concernía.

Laboratorios González argumentó, en su defensa, que, en el contrato con el Ayuntamiento figuraba el siguiente requisito: «Los trabajadores deben de saber que este laboratorio enviara una copia de dicha analítica a la dirección de la empresa, para que ésta tenga constancia del estado de salud de sus trabajadores en relación a una posible infección por COVID-19».

«Si algún trabajador no está de acuerdo en que dichos resultados se comuniquen a la empresa, lo debe de manifestar en el momento de la extracción de sangre, aportando un correo electrónico donde comunicarle el resultado».

El centro médico dice que lo hizo «por si hay algún caso positivo tomar las medidas pertinentes, por si se diera el caso que el trabajador es un inconsciente».

De acuerdo con la AEPD, no consta que sobre esto último ni el Ayuntamiento ni el Laboratorio informaran a la reclamante.

«El día de la toma de muestras», refiere la Agencia, «se dice al personal que está “reunido en una sala, que los resultados se remitirán al Concejal de turno y al interesado, no mostrando ninguno su posición verbal o escrita a realizar la prueba y a que se comunicasen los resultados”.

También se señala que este centro médico, más allá de los datos que debía tratar por la prestación del servicio al Ayuntamiento, es responsable del tratamiento al estar obligado a conservar la historia clínica de los pacientes y es quien debe proporcionar la información sobre el tratamiento de datos personales.

UTILIZAR LA INFORMACIÓN MÍNIMA ES ESENCIAL

José Leandro Núñez, socio del despacho Audens, destaca que la resolución de la AEPD, entra dentro de lo que indica en sus guías “desde un punto de vista de la normativa dentro de la empresa cuando realizas controles de salud en las empresas, se pueden hacer, pero tiene que estar restringido el acceso a la información sólo a las personas encargadas de ellos.

También revela que “la AEPD insiste en que la información que se tenga de un trabajador a través de un informe médico sea el tipo de examen que sea, debe cumplir con el principio de minimización. Esto supone darle a la empresa la mínima información necesaria para que pueda cumplir con su función. En este caso se trata evitar que se expanda la pandemia”.

A este respecto “lo que habría que facilitar es únicamente avisar a la empresa si hay positivo. Aquí el laboratorio mando el certificado médico completo con toda la información de un negativo, tanto a la concejal del área, en vez de mandársela a la persona encargada de prevención de riesgos laborales. Es ahí donde está el problema».

Este experto señala que con anterioridad a este fallo, la AEPD aplicaba el principio de confianza legitima: “confías en que si la Administracion te pide algo es legal, pero en este caso no lo validó porque es un centro médico que debe hacer un tratamiento de datos personales con unas medidas elevadas de seguridad de por sí. Y por eso mismo no lo admite”.

Fuente: Confilegal