Una clínica recibe una multa por responder un crítica de un paciente en Google My Business con la divulgación de sus datos personales.

La denunciante aclara que tras escribir una reseña en Google, la contestación del Instituto Oftalmológico ha consistido en la publicación de sus datos personales, en concreto, su nombre y apellidos, DNI, número de teléfono, datos personales de salud, datos relativos a infracciones cometidas por plagio de documentos.

La clínica expone al procedimiento sancionador indicando que no posee página web propia, no ha sido propietaria de la página web que denuncia la denunciante, no tiene personal propio médico ya que se dedica al alquiler de servicios médicos y gestión patrimonial de locales, no tiene relación directa con pacientes, por tanto nunca ha tenido relación directa con la denunciante.

Las actuaciones de investigación previas realizadas por la AEPD, verifican que la parte reclamada ha estado tratando datos personales de la parte reclamante como el nombre y apellidos, DNI, número de teléfono, así como datos personales de salud y datos relativos a infracciones cometidas por plagio de documentos.

Los hechos suponen vulneraciones a los artículo 5.1 f) del RGPD, por infringir el deber de confidencialidad de los datos personales que trata al haberse constatado la publicación en abierto de datos personales de la reclamante; y al artículo 32 del RGPD, porque el hecho de que se hayan publicado los datos personales objeto de la presente reclamación, supone la ausencia de medidas de seguridad en el tratamiento o el quebrantamiento de las mismas.

Además queda comprobado que, no se emplearon las medidas de seguridad adecuadas, como afirma el Tribunal Supremo, en su Sentencia de 15/02/2022 (STS 543/2022), no es suficiente el diseño de los medios técnicos y organizativos necesarios, sino que también resulta necesaria su correcta implantación y utilización de forma apropiada, de manera que el responsable también responderá por la falta de la diligencia en su utilización y aplicación.

Finalmente, la AEPD concluye imponiendo una sanción de 5.000 euros por la infracción del artículo 5.1 f) del RGPD y 2.000 euros por la infracción del artículo 32 del RGPD, lo que hace un total de 7.000 euros.

EXP202206316
Más información consulte nuestra página de servicios