Prácticamente todos los establecimientos veterinarios recogen en mayor o menor medida datos de carácter personal de sus clientes y por lo tanto están sujetos a lo estipulado en la Ley Orgánica 15/1999, de 13 de diciembre de Protección de Datos de Carácter Personal y su Reglamento de desarrollo. Los datos personales protegidos por esta ley no se limitan a los relativos a clientes sino que también incluyen a los de los propios trabajadores.
De acuerdo con la Ley Orgánica de Protección de Datos (LOPD), los datos de carácter personal son “cualquier información concerniente a personas físicas identificadas o identificables”. Esto incluiría datos como nombre, apellidos, teléfonos, dirección o D.N.I y cualquier otra información que pueda ser usada para identificar a una persona física.
¿Por qué tienen las clínicas veterinarias que adaptarse a esta normativa?
En el desempeño profesional de una clínica veterinaria, se recogen diferentes datos sobre los animales a los que se trata y dentro de estos se incluyen aquellos relativos a su dueño o dueña. El documento que la clínica elabora, por tanto, no sólo refleja las características e historial del animal sino que también recoge “datos de carácter personal”.
Esta recogida y almacenamiento de datos personales obliga a las clínicas veterinarias a cumplir con la LOPD.
El incumplimiento de la LOPD lleva a la aplicación de sanciones por parte de la Agencia Española de Protección de Datos que varían dependiendo de la gravedad del caso. Un ejemplo en el ámbito veterinario sería el de una clínica veterinaria de A Coruña, denunciada por la inclusión de un archivo informático en una red de intercambio de archivos P2P, de libre acceso. El archivo contenía una tabla denominada “clientes” con nombres, apellidos, dirección y teléfono de usuarios de la clínica. Tras la correspondiente investigación, la clínica recibió una multa de 3.000 euros por una infracción del artículo 9 de la LOPD.
¿Por qué puede ser sancionada una clínica veterinaria?
DEBER DE INSCRIPCIÓN DE FICHEROS
Todos los ficheros en los que obren datos de carácter personal deben ser convenientemente inscritos, de forma previa a su creación, en el Registro dependiente de la Agencia Española de Protección de Datos, así como cualquier modificación que afecte al contenido de la inscripción o su eventual cancelación.
DEBERES RELACIONADOS CON EL PRINCIPIO DE CALIDAD
Bajo este principio citado en el artículo 4 de la LOPD, se engloban las siguientes obligaciones:
- Los datos de carácter personal sólo podrán ser recogidos y utilizados cuando sean adecuados, pertinentes y no excesivos con relación a los fines para los que se hubiesen obtenido
- Los datos de carácter personal no podrán ser empleados para finalidades incompatibles con aquellas para las que se hubiesen recabado inicialmente
- Los datos deben estar actualizados. En caso de constatar su inexactitud, se procederá a su sustitución.
- Los datos de carácter personal deberán ser cancelados cuando hayan dejado de ser necesarios o pertinentes con los fines para los que fueron recogidos. Por otro lado, no deben ser mantenidos más tiempo de lo estrictamente necesario, si bien hay que tener en cuenta que determinadas disposiciones sectoriales obligan a mantener ciertos datos durante un período mínimo de tiempo, citando a modo de ejemplo, el deber de conservar las facturas, impuesto por la normativa fiscal, durante un período mínimo de cuatro años, o la obligación establecida por la legislación laboral de conservar información relativa a los empleados incluso después de finalizada la relación de trabajo
En relación con lo anterior, recordamos que las clínicas veterinarias tienen la obligación de archivar los protocolos clínicos y los elementos materiales de diagnóstico durante un plazo mínimo de tres años desde la última anotación en la historia clínica, según establece el artículo 20.2 del Código Deontológico para el ejercicio de la Profesión Veterinaria.
DEBER DE INFORMACIÓN
Este deber, impuesto al responsable del fichero, consiste en informar a los afectados, en el momento de la recogida de sus datos personales, sobre los siguientes extremos:
- De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información
- De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición
- De la identidad y dirección del responsable del fichero
- Del carácter obligatorio o facultativo de su respuesta a las preguntas planteadas, así como de las consecuencias de su obtención o de la negativa a suministrar los datos.
NIVELES DE SEGURIDAD Y MEDIDAS TÉCNICAS
Este aspecto aparece minuciosamente detallado en el Título VIII del Real Decreto 1720/2007.
La disposición reglamentaria establece, en primer lugar, la obligación del responsable del fichero o tratamiento de elaborar un “documento de seguridad” en el que consten las medidas de índole organizativa y técnica empleadas para garantizar la seguridad de los datos de carácter personal y que será de obligado cumplimiento para el personal con acceso a los sistemas de información.
El contenido mínimo de dicho documento aparece desglosado en los apartados 3 y 4 del artículo 88 del Real Decreto anteriormente mencionado, y deberá encontrarse siempre actualizado y adaptado a la normativa vigente.
Centrándonos en el concreto ámbito de las medidas de seguridad exigidas, observamos que la normativa las agrupa en tres niveles (básico, medio y alto) en atención a la mayor o menor sensibilidad de los datos personales recabados.
En la actividad habitual de una clínica veterinaria, los datos recogidos no revestirán una especial entidad, por lo que en la inmensa mayoría de los casos quedarán circunscritos a las medidas propias del nivel de seguridad básico, que se implementarán ante datos como: nombres y apellidos, números de teléfono, currículums, etc…
¿Qué otros elementos deben tener en cuenta las clínicas veterinarias?
Los sistemas de videovigilancia, cada vez más frecuentes en todo tipo de establecimientos mercantiles, son por definición instrumentos aptos para la recopilación de datos de carácter personal, y por ello, objeto de aplicación de la normativa que venimos enunciando.
Sin embargo, su particular configuración los ha hecho merecedores de varias previsiones específicas, recogidas en la Instrucción de la Agencia Española de Protección de Datos 1/2006.
En primer lugar, las cámaras deberán estar ubicadas en lugares en los que la vigilancia no pueda obtenerse por otros medios menos intrusivos para la intimidad de las personas, y no podrán captar imágenes de espacios públicos, salvo que resulte absolutamente imprescindible o no pueda impedirse por razón de su ubicación, en cuyo caso deberán abarcar el mínimo indispensable. Además se establece la exigencia de colocar en las zonas videovigiladas un distintivo en un lugar suficientemente visible en el que figuren la razón y el domicilio social del responsable del tratamiento.
Se debe recordar el tratamiento que desde las clínicas se hace de dichos datos para el recordatorio de vacunaciones de los animales o la utilización de los mismos con carácter comercial (ofreciéndoles nuevos servicios y productos a los dueños), así como la colaboración con programas públicos tales como los registros de identificación de animales de compañía, normativamente desarrollados.
Conclusión
En definitiva, el sector veterinario esta igualmente obligado a cumplir con la Ley Orgánica de protección de datos de carácter personal, pues tratan datos de carácter personal y están expuestos a las sanciones de la Agencia, aunque no sean numerosas en esta materia.