Resumen de Multa por no atender debidamente un derecho de acceso, deficiencias de seguridad en un grupo hospitalario, no eliminación de datos personales en el traslado de documentación y envío de nóminas de trabajadores a un tercero

F. Javier Sempere

• español

  La LOPDGDD, siguiendo el mismo modelo que la LOPD, ha configurado dos procedimientos diferentes para tramitar las reclamaciones: uno cuando se refiere a vulneraciones del RGPD, y otro el relativo al ejercicio de derechos, que anteriormente se conocía como tutela de derechos. Éstos, en la mayor parte de los casos, no finalizan con un procedimiento sancionador. Analizamos uno de ellos que, en cambio, sí ha concluido con una multa al responsable, tratándose además de un procedimiento de carácter transfronterizo.

  Por otra parte, uno de los sectores en los que se requiere una mayor diligencia es el sanitario, debido al tipo de datos y la finalidad del tratamiento, y que son calificados dentro del grupo de las categorías especiales de datos. Analizamos una resolución tramitada contra un ente hospitalario en las que se encontraron deficiencias, principalmente, de seguridad.

  También abordamos dos resoluciones sobre dos tipos de incumplimientos que suelen ocurrir con frecuencia consistente en enviar documentación sin quitar o enmascarar determinados datos personales, así como el envío, de manera errónea, a un tercero de información referente a múltiples personas. En ambos casos, afectaron a datos personales que exigen una especial protección, como son el DNI y datos de carácter financiero como son las nóminas.

• English

  The LOPDGDD, following the same model as the LOPD, has set up two different procedures to process complaints: one when it refers to violations of the GDPR, and the other related to the exercise of rights, which was previously known as protection of rights. These, in most cases, do not end with a sanctioning procedure. We analyse one of them which, on the other hand, has concluded with a fine for the person responsible, being also a cross-border procedure.

  On the other hand, one of the sectors in which greater diligence is required is healthcare, due to the type of data and the purpose of the processing, and which is classified within the group of special categories of data. We analyzed a resolution processed against a hospital entity in which deficiencies were found, mainly in safety.

  We also address two resolutions on two types of breaches that frequently occur, consisting of sending documentation without removing or masking certain personal data, as well as the erroneous sending of information regarding multiple people to a third party. In both cases, they affected personal data that require special protection, such as the ID card and financial data such as payslips.