Ricardo Martínez Platel. Madrid
La Sala de lo Contencioso del Tribunal Supremo ha desestimado el recurso de casación de una empresa que fue condenada por la Audiencia Nacional por ceder indebidamente datos de sus trabajadores a una entidad dedicada a la medicina laboral.
Los trabajadores, al incorporarse a la empresa, firmaban un documento de declaración de consentimiento para el tratamiento automatizado de los datos de carácter personal, aceptando la cesión y transmisión de datos identificativos y de salud (historial clínico y reconocimientos médicos) a los clientes (fundamentalmente centrales termonucleares) con los que la empresa guarda compromisos contractuales.
Sin embargo, la entidad cedió los datos a una organización dedicada a la prestación de servicios de apoyo a trabajadores de empresas en situación de baja por incapacidad temporal. Los ficheros automatizados recogían las fechas de baja y alta y en alguno de ellos consta el diagnóstico médico.
Aunque los datos comunicados eran personales, no pueden considerarse datos personales de la salud. La sentencia aprecia que los empleados no dieron ninguna autorización a la empresa a la que se cedió su información ya que no es cliente, ni se dedica a las centrales termonucleares. La Sala explica que el consentimiento debía haber sido previo.
La tipificación de las infracciones que resulta de la ley 2/2011, indica que se considera infracción muy grave cuando afecta a datos especialmente privilegiados, como es caso de los datos de salud, mientras que las demás cesiones que no tengan por objeto esta clase de datos se tipifican como falta grave. En el presente caso se considera falta grave, declarando procedente la sanción esta apreciada por el artículo 45.2 LOPD para dichas faltas, en su cuantía mínima de 40.001 euros.