|
RECOMENDACION: Se recuerda a los responsables del tratamiento de los datos con fines jurisdiccionales que deben llevar a cabo los estudios |
| Fecha: 21/03/2024 |
| Administración: Consejo General del Poder Judicial |
| Respuesta: Sin respuesta |
| Queja número: 23000149 |
|
RECOMENDACION: Se recuerda a los responsables del tratamiento de datos con fines jurisdiccionales, que deben dejar constatado que en el tratamiento de dichos datos se ha procedido al examen de la necesidad y de la proporcionalidad de la medida, de conformidad con el principio de minimización de datos a que se refiere el artículo 5, apartado 1, letra c) del citado Reglamento General de Protección de Datos. |
| Fecha: 21/03/2024 |
| Administración: Consejo General del Poder Judicial |
| Respuesta: Sin respuesta |
| Queja número: 23000149 |
Se acusa recibo de su escrito por el que se traslada el informe de 1 de junio de 2023 de la Dirección de Supervisión y Control de Protección de Datos de ese Consejo General del Poder Judicial, en contestación a la solicitud formulada por esta institución sobre diversos aspectos relativos al tratamiento de datos sanitarios efectuados con fines jurisdiccionales.
Consideraciones
1. En la queja objeto del presente expediente, el interesado manifestaba su disconformidad con la resolución de la Dirección de Supervisión y Control de Protección de Datos del Consejo General del Poder Judicial, de 23 de septiembre de 2022, que había desestimado su recurso de reposición contra su anterior resolución por la que se archivó el expediente de protección datos en relación con su queja por el tratamiento de sus datos personales de carácter sanitario realizado en la tramitación de un procedimiento judicial.
2. El procedimiento judicial en cuestión era un procedimiento de divorcio contencioso con hijos menores de edad, en el que el interesado tenía la condición procesal de demandado y en el que la parte demandante, la madre de los menores, había solicitado la adopción de medidas provisionales urgentes, instando que se solicitara al Servicio Gallego de Salud (SERGAS), a efectos de prueba, la remisión de la historia clínica del demandado, en especial psiquiátrica y psicológica. Dicha solicitud fue admitida por el órgano judicial, pero limitada a las atenciones psicológicas/psiquiátricas del demandado durante el último año.
3. El SERGAS, sin embargo, no tuvo en cuenta las limitaciones que se habían previsto por el órgano judicial, y remitió información del paciente desde el año 2013, incluyendo el cuaderno clínico de psiquiatría, que contenía la transcripción de las conversaciones del interesado, en tanto que paciente, con su psiquiatra. Toda esa información, recibida en el juzgado, se trasladó íntegramente a la parte contraria, sin que conste que se hubiera comprobado si respondía a lo que se había solicitado, tanto desde el punto de vista temporal (el último año) como de contenido.
4. El interesado presentó reclamación por vulneración de su derecho fundamental a la protección de datos personales ante la Dirección de Supervisión y Control de Protección de Datos de ese CGPJ. Entre otras cuestiones, argumentaba que se habían trasladado dichos datos sanitarios personales a la otra parte, sin aplicar el principio de minimización.
5. La reclamación fue estudiada por la Dirección de Supervisión y Control de Protección de Datos del ese Consejo General del Poder Judicial, en tanto que autoridad de control en relación con la protección de datos jurisdiccionales, de conformidad con lo previsto en la Ley Orgánica del Poder Judicial.
6. Dicha Dirección de Supervisión y Control de Protección de Datos analizó la eventual vulneración del derecho fundamental a la protección de datos personales, resolviendo que no se observaba tal vulneración, al considerar que, de una parte es al juez del proceso al que le corresponder determinar el alcance de la información sanitaria que se ha de recabar, de manera que ello quedaba dentro de la función jurisdiccional, y de otra, que el interesado debió de manifestar la oposición a la amplitud de datos recabados en el seno del proceso judicial. Con base en tales consideraciones acordó el 26 julio de 2022, el archivo de actuaciones.
7. Contra la citada resolución, el interesado planteó recurso de reposición número 8/2022, que fue desestimado. El interesado indicaba en su queja que no había planteado recurso contencioso-administrativo, ante la Sala de lo Contencioso-Administrativo del Tribunal Supremo, por no poder permitirse su coste.
8. La queja del interesado se centra en que no ha visto correctamente defendido su derecho a la protección de datos por parte de la Dirección de Supervisión y Control de Protección de Datos, y que carece de medios económicos para plantear el correspondiente recurso contencioso-administrativo ante el Tribunal Supremo.
9. Esta institución consideró preciso conocer tanto la actual regulación del tratamiento de los datos clínicos en el proceso judicial, como la forma en que se están llevando a cabo las medidas preventivas y de supervisión de dichos datos. Se trata de un ámbito de múltiples implicaciones: la tutela judicial efectiva, los derechos de los pacientes, las obligaciones legales del médico y el derecho fundamental a la intimidad y a la protección de datos personales.
10. Además, en este concreto supuesto, lo que se plantea es una quiebra de la protección de datos sanitarios, enlazada con la peculiaridad del traslado de unos cuadernos clínicos protegidos por el principio de confidencialidad paciente-psiquiatra, siendo dicha confidencialidad la base de la relación terapéutica.
11. Por ello esta institución se dirigió a ese Consejo General del Poder Judicial con fecha de 16 de marzo de 2023, solicitando información sobre tres aspectos:
a. La labor que se realiza, con base en el artículo 236 octies de la Ley Orgánica 6/1985, de 1 de julio, del Poder Judicial, esto es, potestades inspectoras, de sensibilización de los profesionales de la Administración de Justicia y de informe de los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la oficina judicial.
b. La experiencia práctica en la aplicación y supervisión de las operaciones de tratamiento de datos sanitarios efectuados con fines jurisdiccionales por los juzgados, tribunales y la oficina judicial, a fin de garantizar la correcta ponderación de los distintos derechos fundamentales afectados. En particular, se solicitaba conocer si se estaba realizando un seguimiento sobre si las autoridades judiciales, estaban recabando los datos sanitarios con la suficiente motivación y delimitación, y si se estaban comprobando que los datos que se facilitan no excedieran de los solicitados por la autoridad judicial.
c. Si existen en las oficinas judiciales los correspondientes estudios de evaluación del impacto de las operaciones de tratamiento datos personales con fines jurisdiccionales, pieza clave en la normativa de protección de datos personales.
12. Por escrito de 2 de junio de 2023, se recibió la contestación del presidente de ese Consejo General del Poder Judicial por el que se traslada el informe elaborado por el Director de Supervisión y Control de Protección de Datos, de fecha 1 de junio de 2023.
13. En el citado informe, se recogen, en primer lugar, algunos fragmentos de la resolución que se dictó en relación con la reclamación que planteó el interesado. En los mismos se alude a que, en el ejercicio de sus competencias como autoridad de protección de datos, el Consejo General del Poder Judicial, al conocer de las reclamaciones formuladas en esta materia, sigue la doctrina del Tribunal Constitucional relativa a los límites de los derechos fundamentales y a la necesaria compatibilidad del derecho fundamental a la protección de datos personales consagrado en el artículo 18.4 de la Constitución, con los restantes derechos fundamentales y bienes jurídicos constitucionalmente protegidos, entre los que se encuentra el derecho a la tutela judicial efectiva sin que se pueda producir indefensión.
Con base en la citada jurisprudencia constitucional y en el propio Reglamento de Protección de Datos Personales, en la resolución recurrida se concluía que:
«No puede existir vulneración de la normativa de protección de datos cuando, como en este caso, los términos concretos en que pueda verse afectado el derecho a la protección de datos personales resultan de la ponderación de los derechos y bienes jurídicos constitucionalmente protegidos concurrentes, realizada en el seno de un procedimiento judicial, en la que, al cabo, se otorga prevalencia al otro derecho fundamental presente. En este caso, según se desprende de cuanto se ha señalado, es el derecho de tutela judicial efectiva sin que pueda producirse indefensión (artículo 24 Constitución española), en su vertiente del derecho de las partes a la utilización de los medios de prueba pertinentes para su defensa, el que, concurriendo con el de protección de datos personales (artículo 18.4 Constitución española), actuaría precisamente como límite de este último».
14. Seguidamente se informa, en cuanto al ejercicio de las potestades inspectoras, que la Comisión Permanente del Consejo aprobó, con fecha de 19 de abril de 2018, «la propuesta del Comité de Protección de Datos del propio CGPJ relativa a la remisión a los/as presidentes/as de los tribunales superiores de Justicia del documento elaborado por el servicio de inspección, en el ámbito relativo a la protección de datos personales, sobre los distintos puntos que son objeto de examen por dicho Servicio en las inspecciones presenciales que realiza en los órganos judiciales y las diversas propuestas que se efectúan como consecuencia de la constatación de cualquier disfunción en la materia, y su difusión entre los órganos judiciales de sus respectivos ámbitos territoriales. El referido documento no contenía ningún punto referido específicamente a los tratamientos de datos sanitarios con fines jurisdiccionales».
15. En cuanto a los informes de los códigos de conducta a los que se refiere el artículo 236 octies de la Ley Orgánica del Poder Judicial, se indica que la elaboración y actualización de los citados códigos corresponde, en virtud de lo dispuesto en el apartado 3 del artículo 236 sexies LOPJ, al Ministerio de Justicia, previo informe del Consejo General del Poder Judicial y, en su caso, de la Fiscalía General del Estado, indicando que «sin que a la presente fecha se haya sometido a informe del CGPJ ningún código de conducta con la referida finalidad».
16. En cuanto a la promoción de la sensibilización de los profesionales de la Administración de Justicia, indica que se realiza a través de diferentes instrumentos, citando, la difusión de las funciones del CGPJ como autoridad de protección de datos, fundamentalmente a través de su página web; la realización de cursos en materia de protección de datos dirigidos a los miembros de la carrera judicial; y la contestación de consultas e informes sobre la materia, a instancia de los propios interesados, las administraciones con competencias en materia de Administración de Justicia y los responsables de los tratamientos de datos, esto es los órganos jurisdiccionales.
17. Asimismo, se informa que las reclamaciones formuladas ante ese Consejo General del Poder Judicial en las que se cuestionan los tratamientos de datos sanitarios, en el periodo 2016 a 2023, se sitúan en torno al cinco por ciento del total (21 sobre 401) y que de las resoluciones adoptadas en esas 21 reclamaciones han sido de inadmisión en 3 casos y de archivo en los 18 restantes, «si bien en tres de estos últimos se señalaron determinadas medidas a adoptar por los órganos judiciales o recomendaciones en orden a garantizar adecuadamente la atención de los principios rectores de los tratamientos de datos en los tratamientos con fines jurisdiccionales».
18. En el informe se insiste, respecto de la experiencia práctica en la aplicación y supervisión de las operaciones de tratamiento de datos sanitarios efectuados con fines jurisdiccionales, en la necesidad de respetar la independencia judicial y se alude a que «la manifestación quizás más patente de los términos en que el derecho de protección de datos personales debe compatibilizarse con el de tutela judicial efectiva se contiene en la incorporación expresa del principio de minimización de datos a la regulación de esta materia en la Ley Orgánica del Poder Judicial, cuyo artículo 236 quinquies, apartado 1, en la redacción dada al mismo por la disposición final tercera de la Ley Orgánica 7/2021, establece lo siguiente: «las resoluciones y actuaciones procesales deberán contener los datos personales que sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados, en especial para garantizar el derecho a la tutela judicial efectiva, sin que, en ningún caso, pueda producirse indefensión».
Se señala que la función del Consejo General del Poder Judicial, como autoridad de protección de datos en los tratamientos con fines jurisdiccionales, ya se trate de datos sanitarios o de otro tipo, consiste en constatar que se ha producido efectivamente el juicio de ponderación entre los derechos fundamentales que pudieran entrar en conflicto y formular las medidas que, desde la perspectiva de la protección de datos personales, fuera recomendable adoptar, en su caso, para la más adecuada atención de los principios rectores de los tratamientos de datos.
19. En cuanto a la existencia en las oficinas judiciales de concretos estudios de evaluación de impacto de los tratamientos de datos que tienen lugar en las mismas, no le consta al Consejo General del Poder Judicial su existencia.
No obstante, se indica que debe tenerse presente que la determinación de las actuaciones a desarrollar en las oficinas judiciales, con los tratamientos de datos que comportan, viene establecida en gran medida por las normas procesales de aplicación a cada procedimiento judicial, por lo que entiende la Dirección de Supervisión y Control de Protección de Datos, resultaría de aplicación la previsión contenida en el apartado 10 del artículo 35 del Reglamento general de protección de datos, que establece:
«10.Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e), tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que se aplique al responsable del tratamiento, tal Derecho regule la operación específica de tratamiento o el conjunto de operaciones en cuestión, y ya se haya realizado una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán de aplicación, excepto si los estados miembros consideran necesario proceder a dicha evaluación previa a la actividades de tratamiento».
20. Según esta última conclusión, no sería preciso una evaluación de impacto de cada órgano judicial, por existir ya una evaluación de impacto relativa a la protección de datos como parte de una evaluación de impacto general.
21. De las aclaraciones proporcionadas desde ese Consejo General del Poder Judicial, en cuanto que, de conformidad con el artículo 236 sexies LOPJ, corresponde al Ministerio de Justicia, actualmente, Ministerio Presidencia, Justicia y Relaciones con las Cortes, la elaboración y actualización de los códigos de conducta destinados a contribuir a la correcta aplicación de la normativa de protección de datos personales en la oficina judicial y fiscal, se inician, con esta misma fecha, actuaciones con la Secretaría de Estado de Justicia, a la que se va a recomendar la elaboración, a la mayor brevedad posible, de dichos códigos de conducta.
22. Asimismo, se observa que gran parte de los problemas que han podido surgir, en el caso concreto objeto de esta queja, pudieran encontrarse en el juez, en tanto que responsable del tratamiento de datos, debía efectuar un control de oficio de la información sensible recabada de la Administración sanitaria (el SERGAS), de manera que, sin entrar en el ámbito que corresponde al juez, en cuanto a su independencia para valorar las pruebas, debía examinar si los datos proporcionados por la Administración excedían de solicitado, y si el contenido suministrado podía ser distribuido a las partes directamente, o previa minimización de determinados datos.
23. El deber del juez de control de la protección de datos, emana del propio Reglamento General de Protección de Datos que en su artículo 24 atribuye determinadas responsabilidades al responsable del tratamiento.
24. Justamente, esta labor de minimización de datos y de custodia de los datos «en cadena» sería una de las medidas esenciales que tendrían que preverse en todo caso y que debería figurar en la correspondiente evaluación de impacto.
25. El Reglamento General de Protección de Datos, que es directamente aplicable a este ámbito, contempla que las evaluaciones de impacto se lleven a cabo «antes del tratamiento» en los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los afectados. En el caso de datos sanitarios, que son datos especialmente protegidos, se considera obligatorio que exista la correspondiente evaluación de impacto.
26. La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.
27. Tal y como ya se ha indicado, en la respuesta recibida, el Director de Supervisión y Control entiende que no sería precisa una evaluación de impacto del tratamiento de datos por las oficinas judiciales, pues la determinación de las actuaciones a desarrollar por éstas ya viene establecida en gran medida por las normas procesales de aplicación a cada procedimiento judicial, «por lo que resultaría de aplicación la previsión contenida en el apartado 10 del artículo 35 del Reglamento General de Protección de Datos».
28. Se han examinado las reformas que en los últimos años se ha llevado a cabo en la normativa procesal nacional y no consta a esta institución que exista una evaluación de impacto general que abarque la relativa a la protección de datos con fines jurisdiccionales. Ello teniendo en cuenta que el Reglamento 2016/679, se aprobó el 27 de abril de 2016, y es aplicable desde del 25 de mayo de 2018.
29. Se debe tener presente que dicho Reglamento General de Protección de Datos es aplicable en este ámbito, como indica su considerando 20, y ha puesto de manifiesto la jurisprudencia del Tribunal de Justicia de la Unión Europea (sentencia de 24 de marzo de 2022, Autoriteit Persoonsgegevens, C-245/20, EU:C:2022:216, apartado 25 y más recientemente la sentencia de 2 de marzo de 2023, Norra Stockholm Bygg, C-268/21, ECLI:EU:C:2023:145).
30. Se considera que la exigencia prevista en el artículo 35 del Reglamento General de Protección de Datos, en cuanto a realizar una evaluación de impacto de las operaciones de tratamiento de datos jurisdiccionales debe llevarse a cabo. A tal efecto, convendría tener en cuenta la guía elaborada por la Agencia Española de Protección de datos, disponible en el siguiente enlace:
31. En cuanto a la obligación del juez, en tanto que responsable del tratamiento de datos, de tener en cuenta los intereses de los afectados y de ponderarlos en función de las circunstancias de cada caso, del tipo de procedimiento de que se trate y teniendo debidamente en cuenta las exigencias derivadas del principio de proporcionalidad y, en particular, las derivadas del principio de minimización de datos (artículo 5.1 c RGPD), no se observa que exista un momento procesal específico para dejar constancia de dicho examen.
32. A la luz de la queja concreta presentada, y con el fin de deslindar correctamente la obligación de examen previo, para garantizar el derecho de protección de datos, del derecho a la tutela judicial efectiva, se considera de interés que ese Consejo General del Poder Judicial recuerde a los responsables del tratamiento de datos jurisdiccionales la necesidad de dejar constancia de que se ha procedido al examen de la necesidad y de la proporcionalidad de la medida.
33. En todo caso, se va a recomendar también al Ministerio Presidencia, Justicia y Relaciones con las Cortes, que estudie la conveniencia de introducir, en la normativa procesal vigente, las previsiones necesarias para que dicho examen de adecuación y pertinencia quede expresamente contemplado.
Decisión
En el ejercicio de las responsabilidades que le confieren al Defensor del Pueblo los artículos 54 de la Constitución y 1 y 9 de la Ley Orgánica 3/1981, de 6 de abril de 1981, reguladora de esta institución, y al amparo de lo dispuesto en el artículo 30.1 de aquella Ley Orgánica, formular a V.E. las siguientes:
RECOMENDACIONES
1. Se recuerda a los responsables del tratamiento de los datos con fines jurisdiccionales que deben llevar a cabo los estudios pertinentes para contar con la evaluación de impacto prevista en el artículo 35 del Reglamento General de Protección de Datos (Reglamento 2016/679) y contar así con una herramienta que permita evaluar, de manera anticipada los potenciales riesgos a los que están expuestos los citados datos personales, y así poder establecer una respuesta a los riesgos detectados, adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.
2. Se recuerda a los responsables del tratamiento de datos con fines jurisdiccionales, que deben dejar constatado que en el tratamiento de dichos datos se ha procedido al examen de la necesidad y de la proporcionalidad de la medida, de conformidad con el principio de minimización de datos a que se refiere el artículo 5, apartado 1, letra c) del citado Reglamento General de Protección de Datos.
Con el reconocimiento por la colaboración que siempre presta a esta institución y la expresión de mi más alta consideración, y esperando la contestación oportuna respecto a las recomendaciones que se le efectúan,
saluda a V.E. atentamente,
Ángel Gabilondo Pujol
Defensor del Pueblo
El Defensor del Pueblo está a tu disposición para estudiar tus quejas y problemas
También se puede remitir por correo postal, por fax, o entregar en persona, en nuestro servicio de atención al ciudadano en c/ Zurbano, 42 (28010 Madrid).
Si lo prefieres, puedes descargar este formulario en formato pdf Descargar formulario y, una vez que lo hayas cumplimentado, nos lo envías por correo electrónico a: registro@defensordelpueblo.es
Si tienes alguna dificultad para poner tu queja puedes ponerte en contacto con nosotros en el teléfono gratuito 900 101 025, solo disponible para llamadas desde España. Si llamas desde el extranjero marca (+34) 91 432 62 91.
