En este caso, se interpuso la reclamación debido a que, con motivo de una reseña escrita por el cliente en el perfil de Google My Business del centro oftalmológico, este contestó a la misma publicando sus datos personales (nombre y apellidos, DNI, número de teléfono, datos de salud y datos relativos a infracciones cometidas por plagio de documentos) en la página web.
Una vez iniciado el procedimiento sancionador y notificado a la entidad reclamada, el Instituto Oftalmológico presentó escrito de alegaciones en el que ponía de manifiesto, entre otras cuestiones, que no tiene página web, que no tiene personal médico propio dedicándose “al alquiler de servicios médicos y gestión patrimonial de locales” por lo que no tenía relación directa con pacientes y nunca ha tratado dato alguno de la reclamante -no es el centro oftalmológico titular de la web de Google, motivo por el que afirma que “la denunciante ha vinculado falsamente a la parte reclamada, ya que la página web del Centro oftalmológico […] no tiene nada que ver con el INSTITUTO OFTALMOLÓGICO”- o que la reseña no está publicada en la página web.
Declara la autoridad de control en su resolución sancionadora, a la que puede acceder aquí, que, pese a las manifestaciones del Instituto, se ha probado que este ha tratado los datos personales de la afectada. De este modo, con ocasión de las actuaciones de investigación efectuadas, la AEPD ha podido comprobar que sí existe una vinculación entre el Centro Oftalmológico y el Instituto Oftalmológico.
Habida cuenta de la publicación de los datos en Google, se ha infringido el artículo 5.1.f) del RGPD, esto es, el principio de integridad y confidencialidad. Adicionalmente, se expone que se ha vulnerado el artículo 32 del mismo cuerpo normativo (seguridad del tratamiento), ya que publicar los datos personales de manera consciente y deliberada, sin tener en consideración el deber de cumplimiento de los principios del RGPD, como la confidencialidad de los datos identificativos y de salud, “supone la ausencia de medidas de seguridad” o su quebrantamiento.
La AEPD tiene en cuenta como agravantes, entre otros, el tratamiento de datos de categoría especial, como los datos de salud o aquellos relativos a infracciones penales. Es por ello por lo que se impone una sanción de 5.000 euros por la infracción del artículo 5.1.f) y de 2.000 euros por vulnerar el artículo 32 previamente citados.
Dicha resolución ha sido recurrida por el Instituto Oftalmológico, fundamentando su recurso en las alegaciones anteriores e indicando, adicionalmente, que no ha existido actividad probatoria, que se ha vulnerado el principio non bis in idem o que los datos de la afectada ya estaban publicados en internet. Dicho recurso ha sido desestimado por la AEPD (puede acceder a la resolución aquí), dándose respuesta a estos argumentos e indicándose respecto a las ya alegadas con anterioridad que, durante el procedimiento sancionador, “no se han aportado nuevos hechos o argumentos jurídicos que permitan reconsiderar la validez de la resolución impugnada”.