La AEPD ha sancionado recientemente a una gran empresa del sector sanitario por incumplimiento de los preceptos 9 y 6.1 del Reglamento General de Protección de datos, los cuales se refieren, respectivamente, al tratamiento de categorías especiales de datos personales y las diferentes bases de legitimación del tratamiento.
Y es que los datos de salud son considerados como datos especialmente sensibles cuyo tratamiento no está permitido, salvo si se da alguno de los supuestos del art. 9.2 del RGPD entre los que destacamos, contar con el consentimiento explícito del interesado.
La sanción surge en el marco del coaseguro al abrir la entidad sanitaria un seguro a nombre de una persona física sin contar con su consentimiento explícito, lo que, a su vez, implicó el cobro de una serie de recibos que no le correspondían.
De esta manera, la entidad aseguradora estaba tratando datos especialmente sensibles sin existir una base de legitimación para ello.
Esto llevo a la AEPD a la imposición de una multa de 160.000 euros por ausencia de consentimiento del interesado que no había autorizado ningún contrato de seguro sanitario, teniendo en cuenta, además, que estamos ante datos especialmente sensibles.