Búsqueda avanzada

Resoluciones

Resolución del Defensor del Pueblo de Navarra (Q17/143) por la que se recuerda al Departamento de Salud el deber legal de garantizar la protección de los datos de carácter personal de las personas, impidiendo que tales datos se traten sin el consentimiento inequívoco y específico de los interesados.

18 abril 2017

Protección de datos

Tema: Creación grupo de whatsapp para citar a maestros a revisiones médicas vulnerando LOPD.

Protección de datos personales

Consejero de Salud

Señor Consejero:

  1. El 13 de febrero de 2017 esta institución recibió un escrito del señor don […], en representación del sindicato AFAPNA, mediante el que formulaba una queja frente al Departamento de Salud y al Departamento de Educación, por la creación de un grupo de whatsapp por parte del Instituto de Salud Pública y Laboral de Navarra con el fin de citar a maestros en prácticas a revisiones médicas, en el que aparecen los números de teléfono de los participantes en el grupo.

    En dicho escrito, exponía que:

    1. El Instituto de Salud Pública y Laboral de Navarra ha creado un grupo de whatsapp con el fin de comunicar las revisiones médicas que va a realizar a los maestros, tras su periodo de prácticas.
    2. En el mencionado grupo, aparecen todos los números de teléfono sin el consentimiento de sus titulares.

      Por ello, solicitaba que se reconociera que se ha vulnerado la normativa de protección de datos personales de los maestros en prácticas.

  2. Seguidamente, esta institución se dirigió al Departamento de Educación y al Departamento de Salud, solicitando que informaran sobre la cuestión suscitada.

    El 14 y 29 de marzo de 2017 se recibieron los informes solicitados, de los que se traslada copia al interesado.

  3. Como ha quedado reflejado, la queja se encuentra relacionada con el derecho a la protección de los datos personales de personas aspirantes que superaron las pruebas selectivas para el acceso al Cuerpo de Maestros. En el escrito de queja se pone de manifiesto la creación de un grupo de whatsapp por el Instituto de Salud Pública y Laboral de Navarra, en el que aparecen los números de teléfonos de los aspirantes con los que dicho instituto no había podido contactar por no responder los interesados a las llamadas telefónicas efectuadas previamente. La creación de dicho grupo de whatsapp respondía al propósito de comunicar a dichos interesados una citación para la realización de las correspondientes revisiones físicas.

    Por su parte, el Departamento de Salud y el Departamento de Educación exponen en sus informes las razones que justifican su actuación.

    También informa el Departamento de Salud que el Instituto de Salud Pública y Laboral de Navarra se compromete a que, en el futuro, en el caso de utilizar las aplicaciones de mensajería instantánea para comunicarse con determinadas personas, esa comunicación se realizará individualmente, sin crear grupos colectivos, para que de esta forma quede asegurada la protección de datos de carácter personal (en este caso, el número de teléfono particular del aspirante a empleado público).

  4. La medida establecida por el Instituto de Salud Pública y Laboral de Navarra, aun cuando pueda calificarse de efectiva para el propósito perseguido de comunicar a los interesados las citaciones para las revisiones médicas, no puede adoptarse al margen de la normativa que protege los datos de las personas físicas, con mayor motivo si existen alternativas para conseguir los mismos resultados sin dar a conocer el número de teléfono del resto de los aspirantes sin su consentimiento.
  5. El artículo 6 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (en adelante, LOPD), establece que:
    1. “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.
    2. No será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado en los términos del artículo 7, apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado. El tratamiento de datos sin consentimiento constituye un límite al derecho fundamental a la protección de datos”.

      La LOPD, además de exigir el consentimiento para el tratamiento de los datos personales por parte de los afectados, regula en su artículo 4 el denomiado principio de calidad de los datos. El apartado 2 del citado artículo 4 dispone que: Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos.

      Por su parte, el Tribunal Constitucional, en su Sentencia 292/2000, de 30 de noviembre, ha perfilado este derecho al consentimiento del afectado: consiste en un poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse a esa posesión o uso. Estos poderes de disposición y control sobre los datos personales, que constituyen parte del contenido del derecho fundamental a la protección de datos se concretan jurídicamente en la facultad de consentir la recogida, la obtención y el acceso a los datos personales, su posterior almacenamiento y tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un particular (...).

      Asimismo, en la misma sentencia, el Tribunal Constitucional se ha pronunciado sobre la vinculación entre el consentimiento y la finalidad para el tratamiento de los datos personales, en los siguientes términos: el derecho a consentir la recogida y el tratamiento de los datos personales (art. 6 LOPD) no implica en modo alguno consentir la cesión de tales datos a terceros, pues constituye una facultad específica que también forma parte del contenido del derecho fundamental a la protección de datos. Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aún cuando puedan ser compatibles con estos (art. 4.2 LOPD), supone una nueva posesión y uso que requiere el consentimiento del interesado. Una facultad que sólo cabe limitar en atención a derechos y bienes de relevancia constitucional y, por tanto, esté justificada, sea proporcionada y, además, se establezca por ley, pues el derecho fundamental a la protección de datos personales no admite otros límites. De otro lado, es evidente que el interesado debe ser informado tanto de la posibilidad de cesión de sus datos personales y sus circunstancias como del destino de éstos, pues sólo así será eficaz su derecho a consentir, en cuanto facultad esencial de su derecho a controlar y disponer de sus datos personales. Para lo que no basta que conozca que tal cesión es posible según la disposición que ha creado o modificado el fichero, sino también las circunstancias de cada cesión concreta. Pues en otro caso sería fácil al responsable del fichero soslayar el consentimiento del interesado mediante la genérica información de que sus datos pueden ser cedidos. De suerte que, sin la garantía que supone el derecho a una información apropiada mediante el cumplimiento de determinados requisitos legales (art. 5 LOPD) quedaría sin duda frustrado el derecho del interesado a controlar y disponer de sus datos personales, pues es claro que le impedirían ejercer otras facultades que se integran en el contenido del derecho fundamental al que estamos haciendo referencia.

      De lo expuesto, cabe concluir que para utilizar los datos de carácter personal en fines distintos de los que motivaron su recogida, se hace preciso nuevamente el consentimiento del interesado.

  6. La sentencia de la Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sección1ª) de 17 septiembre 2008, citada por el Departamento de Salud en su informe, reconoce que: Es claro que un número telefónico asociado a un nombre y apellidos es un dato de carácter personal pues nos proporciona información sobre una persona identificada. Es más, el propio número de teléfono, sin aparecer directamente asociado a una persona, puede tener la consideración de dato personal si a través de él se puede identificar a su titular. En el presente caso la Agencia Española de Protección de Datos no ha razonado, y menos ha acreditado, que a través del número de teléfono móvil se haya identificado al titular del mismo o que a partir del citado número fuese posible tal identificación, de forma que el citado número de teléfono ayuno de otras circunstancias que identifiquen o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en la definición legal de dato de carácter personal.

    Teniendo en cuenta que, en la aplicación de mensajería instantánea empleada, un número de teléfono puede ser vinculado fácilmente a su titular (a través de la foto del perfil, del nombre introducido como usuario…), no cabe duda de que, en este caso, el número de teléfono se configura como dato de carácter personal de los aspirantes incluidos en el grupo creado por el Instituto de Salud Pública y Laboral de Navarra, utilizado por esta sin su consentimiento.

    Por ello, esta institución considera oportuno recordar el deber legal que tiene la Administración pública de garantizar la protección de los datos de carácter personal, impidiendo que se traten sin el consentimiento inequívoco y específico de los afectados.

  7. En consecuencia, y de conformidad con las facultades que le atribuye el artículo 34.1 de la Ley Foral 4/2000, de 3 de julio, la institución del Defensor del Pueblo de la Comunidad Foral de Navarra ha estimado necesario:

    Recordar al Departamento de Salud el deber legal de garantizar la protección de los datos de carácter personal de las personas, impidiendo que tales datos se traten sin el consentimiento inequívoco y específico de los interesados.

De conformidad con el artículo 34.2 de la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de la Comunidad Foral de Navarra, procede que el Departamento de Salud informe, como es preceptivo, en el plazo máximo de dos meses, si acepta esta resolución, y, en su caso, las medidas adoptadas para su cumplimiento.

De acuerdo con lo establecido en dicho precepto legal, la no aceptación de la resolución podrá determinar la inclusión del caso en el Informe anual correspondiente al año 2017 que se exponga al Parlamento de Navarra con mención expresa de la Administración que no haya adoptado una actitud favorable cuando se considere que era posible.

A la espera de su respuesta, le saluda atentamente,

El Defensor del Pueblo de Navarra

Nafarroako Arartekoa

Francisco Javier Enériz Olaechea

Compartir contenido