La Paz suministró información de sus empleados a una aseguradora

Los sobres llegaron con el nombre y los dos apellidos de los trabajadores y el servicio al que estaban asignados: quirófanos, mantenimiento, cocina... Dentro, un folleto a todo color con un señor y una señora muy sonrientes y una promesa de "grandes regalos para usted". Era una publicidad de la aseguradora Agrupación Mutual Aseguradora (AMA), que en diciembre de 2007 acababa de abrir una sucursal en el hospital de La Paz. Los 7.000 trabajadores de La Paz recibieron la carta. Algo que el hospital nunca debería haber permitido, según la Agencia de Protección de Datos de la Comunidad de Madrid, que califica lo sucedido como una infracción "grave" y otra "muy grave".

Si el hospital de La Paz fuera una empresa privada, la multa que tendría que pagar oscilaría entre los 360.000 y los 900.000 euros. La agencia considera, en una resolución del 9 de marzo, que el hospital ha incurrido en una infracción grave por "la utilización de datos de carácter personal de los trabajadores para finalidades incompatibles con aquellas para las que han sido recogidos". La infracción muy grave resulta de "la comunicación de datos de carácter personal sin contar con el consentimiento de los interesados".

La AMA, especializada en profesionales sanitarios, acababa de abrir una sucursal en el centro comercial que hay en La Paz. Quería darse a conocer, así que pidió ayuda a la gerencia. Lo que obtuvo, según considera probado la agencia, fue una lista en papel con nombres, apellidos y servicios de los empleados.

Esos datos fueron entregados a tres empleados de AMA, que fueron al centro para pegar ellos mismos las etiquetas con los nombres de los destinatarios. El reparto, sin embargo, no lo hizo personal de la empresa, sino del propio hospital. Los celadores distribuyeron las cartas por todos los servicios, según admitió el gerente.

El hospital siempre ha negado que hubiera cesión de datos personales. En sus alegaciones a la agencia, el gerente asegura que los datos entregados a la empresa "son públicos" y que por tanto no era necesario pedir consentimiento. Alega que los trabajadores deben poder ser identificados por su nombre y categoría profesional por los usuarios del Sistema Nacional de Salud.

También afirma que mantiene una colaboración estable con la empresa (financiación de una publicación, suministro de juguetes, cuentos y peluches para los niños hospitalizados...) y que los envíos -que califica como "cartas informativas"- podían resultar de interés para los profesionales.

La resolución de Protección de Datos desmonta una a una todas las alegaciones. Indica, por ejemplo, que las cartas se enviaron a todos los servicios (el de mantenimiento, sin ir más lejos) y no únicamente a los sanitarios. También destaca que "la relación de colaboración que pueda existir entre la institución sanitaria y una empresa privada que comercializa seguros no autoriza a la primera a utilizar los datos (...) para una finalidad distinta de aquella para la que han sido recogidos". En cuanto a la cesión de datos, queda acreditado "de manera fehaciente que fueron entregados en soporte papel a las personas habilitadas por la empresa AMA".

El sindicato UGT, que fue el que denunció la cesión después de que decenas de trabajadores acudieran a ellos con las cartas, está satisfecho con la resolución. La agencia tiene potestad para proponer la toma de medidas disciplinarias contra los responsables de las infracciones. Así lo ha hecho en otras resoluciones de menor gravedad. UGT presentó un recurso para que eso mismo se aplicara en el hospital de La Paz, pero la agencia lo desestimó el mes pasado. El hospital estudia recurrir la resolución.