sábado, 20 de abril de 2013

Tratamiento de datos personales en clínicas veterinarias

Todos los establecimientos que obtengan datos de carácter personal en el desarrollo de su trabajo, tienen que cumplir con la Ley Orgánica 15/1999, de 13 de diciembre de protección de datos de carácter personal y su Reglamento de desarrollo, eso nos lleva a considerar que prácticamente en su totalidad los comercios tienen que cumplir con esta Ley, pues casi todos tendrán si no datos de empleados, datos de sus clientes.
Las clínicas veterinarias se encuentran dentro de este tipo de establecimientos que tienen que adaptar su negocio a la normativa. ¿Por qué? Según la Ley Orgánica de Protección de Datos, son datos de carácter personal, “cualquier información concerniente a personas físicas identificadas o identificables”. Hablamos de aspectos tales como nombre, apellidos, teléfonos, dirección, D.N.I…. y en definitiva, cualquier otro dato con aptitud para identificar a una persona física.
En este sentido los veterinarios, recogen diferentes datos sobre los animales que atienden. Estamos ante un documento en el que, junto a las características del animal, figuran otros datos concernientes a su dueño, “datos de carácter personal”.
La única sanción en el ámbito veterinario, de la Agencia Española de Protección de Datos, fue a una clínica veterinaria de A Coruña, denunciada porque aparecía un archivo informático compartido en el entorno eMule, en Internet, con datos relativos a nombres, apellidos, dirección y teléfono, contenidos en una tabla denominada “clientes”. Después de la oportuna investigación, se le aplicó una multa de 3.000 euros por una infracción del artículo 9 de la citada Ley Orgánica (seguridad de los datos).
¿Por qué pueden sancionar a un veterinario? Por ejemplo, por incumplimiento de alguna de las siguientes obligaciones:
DEBER DE INSCRIPCIÓN DE FICHEROS
Todos los ficheros en los que obren datos de carácter personal deben ser convenientemente inscritos, de forma previa a su creación, en el Registro dependiente de la Agencia Española de Protección de Datos, así como cualquier modificación que afecte al contenido de la inscripción o su eventual cancelación.
DEBERES RELACIONADOS CON EL PRINCIPIO DE CALIDAD
Bajo este principio citado en el artículo 4 de la LOPD, se engloban las siguientes obligaciones:
- Los datos de carácter personal sólo podrán ser recogidos y utilizados cuando sean adecuados, pertinentes y no excesivos con relación a los fines para los que se hubiesen obtenido
- Los datos de carácter personal no podrán ser empleados para finalidades incompatibles con aquellas para las que se hubiesen recabado inicialmente.
- Los datos deben estar actualizados. En caso de constatar su inexactitud, se procederá a su sustitución.
- Los datos de carácter personal deberán ser cancelados cuando hayan dejado de ser necesarios o pertinentes con los fines para los que fueron recogidos. Por otro lado, no deben ser mantenidos más tiempo de lo estrictamente necesario, si bien hay que tener en cuenta que determinadas disposiciones sectoriales obligan a mantener ciertos datos durante un período mínimo de tiempo, citando a modo de ejemplo, el deber de conservar las facturas, impuesto por la normativa fiscal, durante un período mínimo de cuatro años, o la obligación establecida por la legislación laboral de conservar información relativa a los empleados incluso después de finalizada la relación de trabajo
- En relación con lo anterior, recordamos que las clínicas veterinarias tienen la obligación de archivar los protocolos clínicos y los elementos materiales de diagnóstico durante un plazo mínimo de tres años desde la última anotación en la historia clínica, según establece el artículo 20.2 del Código Deontológico para el ejercicio de la Profesión Veterinaria.
DEBER DE INFORMACIÓN
Este deber, impuesto al responsable del fichero, consiste en informar a los afectados, en el momento de la recogida de sus datos personales, sobre los siguientes extremos:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
- De la identidad y dirección del responsable del fichero
- Del carácter obligatorio o facultativo de su respuesta a las preguntas planteadas, así como de las consecuencias de su obtención o de la negativa a suministrar los datos.
NIVELES DE SEGURIDAD Y MEDIDAS TÉCNICAS
Este aspecto aparece minuciosamente detallado en el Título VIII del Real Decreto 1720/2007.
- La disposición reglamentaria establece, en primer lugar, la obligación del responsable del fichero o tratamiento de elaborar un “documento de seguridad” en el que consten las medidas de índole organizativa y técnica empleadas para garantizar la seguridad de los datos de carácter personal y que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
- El contenido mínimo de dicho documento aparece desglosado en los apartados 3 y 4 del artículo 88 del Real Decreto anteriormente mencionado, y deberá encontrarse siempre actualizado y adaptado a la normativa vigente.
- Centrándonos en el concreto ámbito de las medidas de seguridad exigidas, observamos que la normativa las agrupa en tres niveles (básico, medio y alto) en atención a la mayor o menor sensibilidad de los datos personales recabados.
- En la actividad habitual de una clínica veterinaria, los datos recogidos no revestirán una especial entidad, por lo que en la inmensa mayoría de los casos quedarán circunscritos a las medidas propias del nivel de seguridad básico, que se implementarán ante datos como: nombres y apellidos, números de teléfono, currículums, etc…
ADEMÁS…
Los sistemas de videovigilancia, cada vez más frecuentes en todo tipo de establecimientos mercantiles, son por definición instrumentos aptos para la recopilación de datos de carácter personal, y por ello, objeto de aplicación de la normativa que venimos enunciando.
Sin embargo, su particular configuración los ha hecho merecedores de varias previsiones específicas, recogidas en la Instrucción de la Agencia Española de Protección de Datos 1/2006.
En primer lugar, las cámaras deberán estar ubicadas en lugares en los que la vigilancia no pueda obtenerse por otros medios menos intrusivos para la intimidad de las personas, y no podrán captar imágenes de espacios públicos, salvo que resulte absolutamente imprescindible o no pueda impedirse por razón de su ubicación, en cuyo caso deberán abarcar el mínimo indispensable. Además se establece la exigencia de colocar en las zonas videovigiladas un distintivo en un lugar suficientemente visible en el que figuren la razón y el domicilio social del responsable del tratamiento.
Se debe recordar el tratamiento que desde las clínicas se hace de dichos datos para el recordatorio de vacunaciones de los animales o la utilización de los mismos con carácter comercial (ofreciéndoles nuevos servicios y productos a los dueños), así como la colaboración con programas públicos tales como los registros de identificación de animales de compañía, normativamente desarrollados.
En definitiva, el sector veterinario esta igualmente obligado a cumplir con la Ley Orgánica de protección de datos de carácter personal, pues tratan datos de carácter personal y están expuestos a las sanciones de la Agencia, aunque no sean numerosas en esta materia.