L’Agència Andorrana de Protecció de Dades (APDA) va sancionar el 25 de juliol amb una amonestació dos centres de psicologia per vulnerar diversos articles de la Llei qualificada de protecció de dades personals. Segons l’autoritat, tots dos establiments van cometre infraccions relacionades amb la cessió i la conservació indeguda d’informació clínica de pacients, incomplint els principis de limitació de la finalitat, integritat i confidencialitat, així com la licitud del tractament i l’obligació d’informar les persones afectades.
La reclamació que va originar el cas es va presentar el 30 de maig del 2024 per un particular, que va denunciar el traspàs irregular de dades sensibles entre dos centres de psicologia. L’afectat va aportar documentació que acreditava la cessió i la conservació indeguda, fet que va motivar la intervenció de l’APDA. Un cop admesa a tràmit la denúncia, l’àrea d’inspecció de l’agència va obrir un expedient per cadascun dels centres implicats. Durant la investigació, es van enviar requeriments d’informació per determinar el circuit seguit en el traspàs de dades, les mesures tècniques i organitzatives adoptades, la base legal invocada, la informació facilitada als pacients i la localització actual de la documentació clínica.
Les conclusions de l’APDA van assenyalar incompliments en tots dos casos. El centre que havia fet la cessió va vulnerar la limitació de la finalitat, va efectuar un tractament de dades especialment sensibles sense base legal suficient i no va aplicar mesures de seguretat adequades. El centre que va conservar temporalment la informació també va incórrer en infraccions similars: manca de limitació de la finalitat, tractament sense base legal i absència d’informació als pacients.
Davant d’aquests fets, l’APDA va resoldre imposar una amonestació als dos establiments. En el cas del centre que va fer la cessió de la documentació, el qual ja havia cessat l’activitat, la sanció va quedar limitada a l’advertiment. En el cas del centre que va conservar les dades, l’agència li va donar un termini de quinze dies hàbils per acreditar l’adequació a la normativa. Haurà de presentar protocols sobre la gestió i el trasllat de documentació clínica en cas de cessament d’un professional, exemples d’acords de corresponsabilitat o contractes amb professionals autònoms i models de la informació facilitada als pacients sobre el tractament de les seves dades.
L’APDA també li va recomanar revisar el sistema de seguretat física i actualitzar els Registres d’Activitat de Tractament per millorar el control de la informació personal. L’autoritat va advertir, a més, que l’incompliment de la resolució es considera una infracció molt greu i pot comportar sancions econòmiques d’entre 30.001 i 100.000 euros.
