IMFarmacias_118

Cámaras de videovigilancia (Procedimiento Sancionador PS/00156/2020) Sanción de 3.000 euros a Comunidad de Propietarios. La Comunidad de Propietarios tenía un sistema de videovigilancia en funcionamiento, pero: a) No tenía el cartel informativo de “zona videovigilada” expuesto al público; b) Captaba imágenes de la vía pública de forma innecesaria. Por lo tanto, se vulneraban los principios de necesidad, proporciona- lidad, idoneidad e información. Datos biométricos (Informe 47/2021 AEPD) Los datos biométricos, como son el reconocimiento facial, sola- mente tendrán la consideración de datos de categoría especial cuando se sometan a un tratamiento técnico cuya finalidad sea la identificación unívoca de la persona (“uno-a-varios”), pero no cuando la finalidad de su tratamiento sea la simple verificación o autenticación de una persona concreta sin compararla o cotejarla con otros (“uno-a-uno”). Publicación de datos o imágenes en internet o redes sociales (PS/00205/2021) Sanción de 6.000 euros a un particular. Por la difusión de imágenes de una supuesta víctima de violencia de género en las redes sociales. La AEPD considera que no existe legitimación para publicar dichas fotos de la víctima y de un menor que la intentó ayudar, a pesar de que el reclamado manifestó que la publicación de las imágenes tenía como intención sensibilizar a la población de este problema social. Cookies en la página web (PS/00118/2021) Sanción de 2.000 euros (1.600 por pago voluntario) a una empresa de radio. Por no permitir la no aceptación de las cookies no necesarias en su página web y, en concreto, en el banner de cookies que debería salir en la página de inicio cuando un usuario se conecta a la web. Ficheros de información creditícia (morosos) (PS/00140/2021) Sanción de 20.000 euros (reducidos por pago voluntario) a una em- presa de formación a distancia. Por la ilicitud del tratamiento y la falta de legitimación del mismo, al incluir en un fichero de información crediticia al reclamante, cuando éste había solicitado previamente la resolución de la controversia mediante un procedimiento arbitral. Por lo tanto, no se cumplía el requisito para incluir a un moroso en el fichero ya que: (1) la deuda no era vencida, (2) no era líquida, y (3) todavía no era exigible. Insistimos, hay muchos más procedimientos sancionadores tramitadospor laAEPDdurante estos últimos meses, algunos de ellos resuel- tos con importantísimas sanciones a grandes empresas, pero conestepequeño resumen ya podremos hacernos a la ideade la importancia de cumplir con todos los aspectos relaciona- dos con la Protección de Datos. sanciones ha aumentado un 500% en lo que va de año respecto a los 3 años anteriores. Viendo todo esto, y las sanciones millonarias impuestas a empresas como Vodafone, Equifax, Air Europa y varias entidades financieras (y dejando de lado procedimientos todavía en curso, como el de Merca- dona), es fácil adivinar que el importe de las sanciones impuestas por la AEPD irá in crescendo . En este informe, haremos un pequeño resumen de algunas de las resoluciones más interesantes que se han publicado este año, que nos ayudarán a interpretar mejor el alcance de los derechos y de las obligaciones que impone la normativa de Protección de Datos, en aspectos tan importantes y cotidianos como son la videovigilancia, la política web de cookies, el derecho a la intimidad o el acceso a las historias clínicas de los/las pacientes. Acceso a la historia clínica del paciente (PS/00250/2021) Sanción de apercibimiento al Servicio Extremeño de Salud (SES). Por el acceso a la historia clínica de un paciente por parte de una en- fermera, en diversas ocasiones, sin legitimación constatada. Según la AEPD, faltaron medidas de seguridad: registrar los perfiles de acceso, hacer un Análisis de Riesgos o establecer medidas de seguridad téc- nicas y organizativas adecuadas al tratamiento de datos de categoría especial. 1. (Consulta de la Autoritat Catalana de Protecció de Dades, ACPD, CN517/2021) En el dictamen, emitido a petición del Centro Sanitario, la ACPD consi- dera que lamadre puede acceder a la historia clínica de su hijamenor de edad y mayor de 14 años (la hija tenía 16 años), cuando el acceso se debe a motivos legítimos concretados en los deberes que impone la potestad parental. El Centro Sanitariodebe valorar las causas y la legitimidadde lamadre, caso por caso. Datos de salud en las relaciones laborales (Procedimiento inspector E/06828/2020) Sedesestima recursode reposición interpuestopor unparticular contra la falta de sanción a la empresa. El trabajador aportó los datos relativos a su salud, como consecuencia de una baja médica, a los Servicios Médicos de la empresa, que lo despidió. Según la AEPD, la empresa tiene el derecho a tratar esos datos personales, en cumplimiento de la normativa de Riesgos Laborales. Brechas de seguridad (Procedimiento EJ04070/2021) No se sanciona a una clínica de salud de Pontevedra, que sufrió una brecha de seguridad consistente en un virus informático descargado al abrir un correo electrónico infectado. La AEPD considera que la em- presa actuó bien: notificó la brecha de seguridad, informó al personal y posteriormente realizó formaciones específicas a los empleados/as para intentar evitar que volviera a suceder en el futuro. ENTRE LOS MESES DE ENERO Y MAYO DE 2021, LA AEPD HA IMPUESTO SANCIONES POR VALOR DE MÁS DE 23 MILLONES DE EUROS