Un hôpital espagnol condamné pour recueil du consentement invalide

L’autorité espagnole de protection des données à caractère personnel (« AEPD  ») a publié, le 13 février 2020, une résolution imposant une amende de 48 000 euros à HM Hospitales 1989 SA pour violation de l’article 5, paragraphe 1, et 6, paragraphe 1, du RGPD.

Dans les faits, l’AEPD a reçu une plainte d’un patient concernant le recueil de son consentement au moment de son admission à l’hôpital. En effet, le patient a dû remplir un formulaire comprenant une case à cocher et un intitulé indiquant qu’il était nécessaire de cocher cette case pour refuser la communication de ces données à des tiers et notamment à des fins publicitaires.

Ce formulaire de consentement démontre l’absence d’adaptation de l’hôpital aux nouvelles réglementations en matière de protection des données personnelles puisque la formule de recueil du consentement est inadéquate et ne répond pas aux exigences du RGPD.

L’AEPD a relevé que le RGPD n’accepte pas l’inactivité comme méthode de recueil du consentement qui doit être une expression du libre arbitre de la personne concernée et qui doit se manifester par une action positive claire. Ainsi, la méthode utilisée par l’hôpital ne garantit pas que la personne concernée donne son consentement sans ambiguïté.

L’autorité espagnole a d’abord envisagé de sanctionner l’hôpital d’une amende de 60 000 euros. Cependant, l’hôpital a bénéficié d’une réduction de 20 % de la sanction car il a reconnu sa responsabilité dans les faits.

Ainsi, HM Hospitales 1989, SA a été condamné à une amende de 48 000 euros en raison de la formulation inappropriée et obsolète de l’obtention du consentement inclus dans le formulaire d’admission des patients, tant pour l’information du transfert des données à des tiers que pour l’envoi de publicité.