DPA italiana: 45.000 euros de sanción a la app de diabetes de SENSEONICS INC
El pasado 13 de octubre, se hizo pública la resolución por la cual, el “Garante Per la Protezioni dei Dati Personali” (en adelante, “DPA italiana”) sancionaba al pago de 45.000 euros a la sociedad, Senseonics Inc, titular de la app de diabetes Eversense XL, por la infracción de los artículos 5. 1 a), 5. 1 f), 6, 7, 9, 12, 13 y 27 del Reglamento General de Protección de Datos (en adelante, “RGPD”).
La resolución trae causa en una campaña de información realizada por la organización, en la cual, un empleado de Senseonics INC, envío una cadena de emails (a 2.000 pacientes diabéticos italianos) en el campo “Cc”; no utilizando la modalidad de copia oculta (“Cco”). Debido a ello, cada destinatario pudo tener acceso a las direcciones de los demás destinatarios, produciéndose un acceso no autorizado a datos de salud.
Se exponen a continuación las valoraciones realizadas por la DPA italiana:
- Infracción de los artículos 5.1 a), 5.1 f) y 9 del RGPD
La DPA italiana entiende que a la luz de la definición de datos personales otorgada en el RGPD, las direcciones de correo han de ser consideradas como tal, y que incluso si “parte de las direcciones de correo electrónico estuvieran desprovistas de referencias al nombre completo de los destinatarios o, en cualquier caso, a otros datos que identifiquen directamente a los interesados, se trata de información de carácter personal, sujeta, como las demás, a la aplicación de la normativa en materia de protección de datos personales.”
Asimismo, entiende que este caso, están en juego datos pertenecientes a categorías especiales, ya que la información contenida en los correos, “aunque se refiere a una comunicación de servicio, siendo dirigida a los usuarios del sistema de monitorización de glucosa Eversense XL, constituye un dato de carácter personal relativo a la salud”.
En este sentido la DPA italiana defiende la presencia de datos de salud inferidos en la comunicación, independientemente de si la misma iba dirigida a pacientes o a sus cuidadores; ya que la comunicación hace referencia a una patología, la diabetes; y los correos utilizados eran los que los pacientes habían facilitado para este tipo de comunicaciones.
Sostiene la DPA italiana que se ha visto vulnerado el artículo 5.1 a) del RGPD, (principio de licitud, lealtad y transparencia) en conexión con el artículo 9, ya que “la normativa sobre protección de datos de carácter personal prevé -en el sector sanitario- que la información sobre el estado de salud sólo puede ser comunicada al interesado y sólo puede ser comunicada a terceros sobre la base de una base jurídica adecuada o sobre la indicación del interesado previa autorización por escrito de este último (artículo 9 del RGPD)”.
Por otro lado, considera infringido el artículo 5.1 a) f del RGPD (principio de integridad y confidencialidad), ya que se ha producido un acceso no autorizado a datos de salud, siendo evidente que en el presente caso las medidas técnicas y organizativas no eran adecuadas, si tenemos en cuenta la brecha de seguridad producida.
- Infracción del artículo 5.1 a) y b) del RGPD
La DPA italiana considera que en el caso que nos ocupa, se ha vulnerado además el principio de licitud del tratamiento (artículo 5.1 a), ya que los usuarios con un solo “clic“ en el botón “aceptar“, aceptaban tanto “los términos del contrato de licencia con el usuario final“ como “la política de privacidad y condiciones de uso de Senseonics, autorizando simultáneamente la conservación, la transmisión y el uso de datos, incluidos, entre otros, el almacenamiento en el Reino Unido, la transmisión en los EE. UU. para fines limitados (por ejemplo, ingeniería y atención al cliente) según los términos del EULA y la política de privacidad“.
Tal y como indica la DPA italiana “la aceptación global de las condiciones generales de contrato/servicio no puede ser considerada como una acción positiva inequívoca a los efectos de consentir el uso de datos personales”.
Asimismo, la DPA entiende que el consentimiento otorgado no es ningún caso específico, yendo en contra del principio de limitación de finalidad (artículo 5.1 b), ya que las finalidades no se encuentran bien delimitadas.
- Infracción del artículo 5.1 a) y 12 y 13
La DPA italiana constata que no se ha cumplido con el principio de transparencia del artículo 5.1. a), ni con los requisitos de información interpuestos en los artículos 12 y 13.
La DPA italiana encuentra que en el documento analizado (“Política de privacidad y condiciones de uso”):
-Existen múltiples secciones que no se refieren al tratamiento de datos personales. Ej.: política hacia menores, copyright, marcas registradas y uso…
-Los fines de tratamiento no están claramente identificados.
-No se indican las bases jurídicas respecto a los fines perseguidos.
-No se indican los tiempos de conservación ni los criterios seguidos para ello.
-No se incluye el derecho a revocar el consentimiento.
-Los derechos de los interesados de conformidad con los artículos 15 a 22 del RGPD, y en particular el derecho de acceso a los datos, no están claramente indicados en la información general.
-Tampoco se incluye el derecho a presentar una reclamación ante la autoridad de Control.
- Infracción del artículo 27
La DPA italiana constata Senseonics Inc debía haber nombrado un representante en la Unión Europea en virtud del artículo 27 y que, por lo tanto, “la falta de designación de este representante hasta el 29 de junio de 2021, fecha siguiente al inicio de la investigación preliminar por parte del Garante, integra por tanto un incumplimiento del art. 27 del Reglamento”.
- Medidas correctivas y sanción pecuniaria
La DPA italiana establece que la organización ha de reelaborar, en un plazo de 90 días desde la resolución, su “Política de privacidad y condiciones de uso”:
-Eliminando toda cuestión que no se refiera a los tratamientos de datos llevados a cabo.
-Informando sobre todos los puntos recogidos en el artículo 13 del RGPD, identificando las finalidades perseguidas junto a su base de legitimación (con especial incidencia en las categorías especiales de datos, cuya base sea el consentimiento).
-Informando de los derechos existentes de conformidad con los artículos 15 a 22 del RGPD.
-Permitir en su caso, que los interesados sean informados sobre el derecho a presentar una reclamación ante la Autoridad de Control.
Por otro lado, la DPA italiana interpone una sanción pecuniaria de 45.000,00, por haberse demostrado la infracción de los artículos 5, 1. a), b) y f), 6, 7, 9, 12, 13 y 27 del RGPD; en los términos anteriormente expuestos.
Carlos Cuesta Hernández, Senior Privacy Counsel, Legal Army