La Primera Multa del IFAI a una Persona Física

El IFAI inició su función como autoridad de protección de datos con sanciones a Responsables del Tratamiento de Datos Personales que fueron bastante mediáticas y causaron impacto lo mismo por la cuantía de la multa que por la visibilidad del multado; primero Farmacias San Pablo, luego Banamex (Grupo Banamex suma ya 5 multas) y Sport City.

Sin embargo la Ley Federal de Protección de Datos Personales en Posesión de Particulares no aplica solamente a grandes corporativos con grandes recursos; son Responsables de su cumplimiento todas las personas de derecho privado que den Tratamiento a Datos Personales por sí o a través de Encargados o Terceros, y las multas son impuestas considerando la capacidad económica del infractor.

Para muestra el caso en el procedimiento de imposición de sanciones PS 0001/13, en contra de un médico psiquiatra (de ahí que el nombre del infractor no figure en la versión pública, ya que son datos de naturaleza confidencial para el IFAI) quien habría expedido una constancia de “depresión y transtorno de personalidad recurrente y lupus eritematoso sistémico” y recetado medicamentos antidepresivos a una paciente (la Titular), y hecho entrega de esos documentos al marido de ésta sin su autorización, resultando de ahí una transferencia de Datos Personales Sensibles (y, según la regulación del sector salud, confidenciales).

Lo más delicado del asunto: de las constancias se infiere que la Titular y su marido estaban en una situación marital compleja, tanto que según las constancias del caso él inició el procedimiento de divorcio días después de la consulta al profesional de la salud, exhibiendo la antedicha constancia como probanza ante el respectivo Juzgado de lo Familiar.

Dentro del expediente de verificación consta que el IFAI requirió al profesional de la salud Responsable:

  • Manifestara por qué expidió el documento a favor del marido de la Titular dándole a conocer Datos Personales Sensibles de ésta (ojo: ello constituiría una confesión, pues procesalmente los hechos expresados en los documentos provenientes de una parte se tienen por confesados por ésta); explicación: que la Titular llegó a consulta por somnolencia debida a haberse automedicado, y que el marido requirió el documento “a fin de continuar con su atención y tratamiento médico”.
  • Señalar si contaba con el consentimiento de la Titular para la Transferencia de sus Datos Personales Sensibles a su marido; respuesta: no, debido a que la Titular se habría presentado en un estado alterado de conciencia por la ingesta del medicamento.
  • Señalar de forma pormenorizada los Datos Personales a los que da Tratamiento y adjuntar copia del documento que emplea para recabar el consentimiento expreso de sus pacientes para el Tratamiento de sus Datos Personales Sensibles; y aquí es donde se hubiera visto el trabajo de cumplimiento normativo bien hecho, de haberlo habido.
  • Medidas de seguridad que garanticen la confidencialidad de los Datos Personales que se le proporcionan;
  • Si cuenta o no con Aviso de Privacidad y cómo lo pone a disposición de sus pacientes; respondido afirmativamente y que en formato impreso.
  • Si él mismo se encarga de atender las solicitudes ARCO, también respondido afirmativamente.
  • Las Transferencias que realiza; respondido como sólo las autorizadas expresamiente por el Titular y las que por excepción permite la Ley, y
  • Pormenores de las medidas de seguridad físicas (resguardo bajo llave), administrativas (nadie más que el Responsable accede a o manipula sus expedientes), y técnicas (obtención personal de los Datos Personales si utilizar medios electrónicos y bajo la ética de la profesión); parecería un desatino del IFAI haber hecho públicos los detalles de las medidas de seguridad adoptadas por el Responsable, pues ello podría poner en riesgo su práctica profesional y los Datos Personales que trata en ella.

Lo anterior fue seguido por una visita de verificación en la cual el Responsable fue cuestionado sobre su práctica y las respuestas que dio por escrito, manifestando entonces que en el Aviso de Privacidad da oportunidad a los pacientes para aceptar expresamente o no la transferencia de sus Datos Personales, pero que no contaba con consentimiento expreso de la Titular denunciante para transferir sus Datos Personales, justificándolo en el estado en que habría llegado a consulta, y en que conforme a la NOM 168-SSA1-1998, que permitiría a los familiares solicitar el resumen clínico del paciente, además de que no habría dado a conocer al marido de la Titular las limitaciones al Tratamiento de los Datos Personales transferidos.

Las determinaciones relevantes en el proceso de verificación concluyeron que:

  • Hubo incumplimiento de la LFPDPPP por la transferencia de Datos Personales Sensibles sin consentimiento de la Titular y sin comunicar al Responsable receptor el las limitaciones al Tratamiento de esos Datos Personales;
  • El Aviso de Privacidad del Responsable no señala las opciones o medios para que los Titulares Limiten el uso o divulgación de sus Datos Personales, y
  • Tampoco señala los medios para dar a conocer los cambios al Aviso de Privacidad.

Dicho sea de paso, si la iniciativa de la denuncia al IFIA vino del abogado que representa a la Titular en su juicio de divorcio, decididamente ese colega es muy buen abogado, puesto que si el marido y su abogado pretendían fundamentar la causa de divorcio en la salud mental de la Sra., la probanza relevante para esos efectos se debería venir abajo como resultado de la verificación y sanción del IFAI, puesto que tal documento fue obtenido en contravención a la Ley Federal de Protección de Datos Personales, y las normas que rigen al proceso prohiben que en el mismo sean utilizadas probanzas contrarias a la ley.

Por ello el IFAI acordó iniciar el procedimiento de imposición de sanciones, remitiendo el Responsable copia simple de su declaración de impuestos por el ejercicio fiscal 2011 y una constancia de percepciones de 2013 para acreditar su situación financiera, y del que le derivaron las siguientes multas:

  1. Por omitir en su Aviso de Privacidad opciones y medios para que los titulares limiten el uso o divulgación de sus Datos Personales, así como la indicación del medio por el cual comunicaría a los titulares de cambios al aviso de privacidad, $5,982.00
  2. Por transferir datos a terceros sin comunicarles el aviso de privacidad con las limitaciones a que el Titular sujetó la divulgación de los Datos Personales, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.
  3. Recabar o transferir datos personales sin el consentimiento expreso del titular, cuando éste fuera exigible, $11,964.00, multa incrementada en un 50% (+$5,982.00) por tratarse de Datos Personales Sensibles.

En total, las omisiones de este médico en su cumplimiento normativo en materia de protección de Datos Personales le costaron $41,874.00, recursos que decididamente él podría haber dedicado a otra cosa. Algo más para considerar en cuanto al valor de la inversión en el cumplimiento normativo para protección de datos personales.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Compliance Report

Compliance and Ethics Powered by The Red Flag Group

TechCrunch

Startup and Technology News

Xavier Ribas

Derecho de las TIC Corporate Compliance

mkaz.com

Marcus Kazmierczak

Take To Task

Analyzing the Nonsense

Business & Money

The latest news and commentary on the economy, the markets, and business

CIDE-Comunicación

Canal de difusión con los medios.

Martha Salamanca Docente

Blog de TICs, Redes Sociales y Multimedia Educativo

Devil's Advocate Crib

Just another WordPress.com site