La Agencia Danesa de Protección de Datos denuncia a Capio A/S por no supervisar a los encargados del tratamiento de datos. Se recomienda al hospital privado el pago de una multa no inferior a 1.500.000 DKK.
La Agencia Danesa de Protección de Datos ha llevado a cabo una investigación sobre la supervisión de los procesadores de datos por parte de GHP Gildhøj Privathospital ApS (ahora Capio A/S). A este respecto, la Agencia Danesa de Protección de Datos seleccionó al azar a tres de los procesadores de datos del hospital privado como objeto de la investigación.
La investigación de la supervisión de Capio A/S de los tres procesadores de datos mostró que el hospital privado no había supervisado a los procesadores de datos. La primera supervisión de cada procesador de datos no se llevó a cabo hasta que la Agencia Danesa de Protección de Datos inició su investigación del hospital privado.
Sobre esta base, la Agencia Danesa de Protección de Datos ha decidido denunciar a Capio A/S ante la policía por no haber actuado de conformidad con el principio de responsabilidad de la ley de protección de datos. Así pues, la Agencia Danesa de Protección de Datos considera que el hospital privado no ha sido capaz de garantizar y demostrar que los datos personales se tratan con fines lícitos y razonables y de manera que se garantice una seguridad adecuada para los datos personales en cuestión. Esto se aplica incluso si el hospital privado pidió a otra parte (un procesador de datos) que procesara los datos en su nombre.
¿Por qué denunciar a la policía?
La Agencia Danesa de Protección de Datos siempre realiza una evaluación específica de la gravedad del caso, de conformidad con el artículo 83, apartado 2, del Reglamento general de protección de datos, a la hora de valorar qué sanción es, en opinión de la Agencia de Protección de Datos, la correcta.
En su evaluación, la Agencia Danesa de Protección de Datos ha destacado, entre otras cosas, que los encargados del tratamiento de datos no fueron supervisados durante varios años. Además, los procesadores de datos procesaban información sobre un gran número de interesados. La autoridad también subrayó que los procesadores de datos procesaban categorías especiales de datos personales (datos sensibles) y otros datos personales dignos de protección.