En el procedimiento sancionador PS/00387/2014 de la AEPD podemos ver la sanción que sufren dos clínicas de estética, una de las cuales (P.L. SL) adquirió la base de datos de clientes de la otra (S.E.N. SL) mediante un contrato, con motivo del cese de actividad de la segunda y sin haber informado previamente a los afectados.

CESIÓN DE DATOS ENTRE ENTIDADES SIN PERMISO DEL CLIENTE

Según los hechos, la denunciante afectada, cliente de la clínica S.E.N. SL recibió una llamada de la entidad cesionaria P.L.SL en la que se la citaba para seguir con el tratamiento que contrató inicialmente con S.E.N. S.L. además de para ofrecerle otro tipo de servicios propios de la clínica adquirente de la base de datos.

Quedando acreditado que P.L. SL tenía los datos personales de la denunciante, incluido su historial médico, la denunciante solicitó su historial a P.L. SL, el cual le fue denegado alegando que “un historial médico no puede salir nunca de la clínica”.

COMPRA DE BASE DE DATOS ILEGÍTIMA

Ante esta supuesta “compra de base de datos” inconsentida, la denunciante lo pone en conocimiento de la AEPD iniciándose un procedimiento de inspección en la sede de la entidad adquirente que efectuó la llamada a la denunciante (P.L.SL).

La comunicación de datos se realizó mediante un contrato entre ambas empresas, sin haber recabado el consentimiento previo de los titulares afectados, lo que supone la imposición de una sanción muy grave por vulnerar el artículo 11 de la LOPD.

Resultado: Sanción de 40.001 € a cada una de las entidades por infracción de los artículos 7.3 y 11.1 de la LOPD.