La autoridad de control de Finlandia ha multado al Centro de Aseguradores de Automóviles de Finlandia por incumplimiento del principio de minimización de datos.
La autoridad de control de Finlandia ha multado al Centro de Aseguradores de Automóviles por no cumplir con el principio de minimización de datos. La compañía fue sancionada a finales del año pasado por recoger una cantidad innecesaria de datos de pacientes en relación con las reclamaciones de los seguros de salud, según este informe del CEPD. La autoridad de control de Finlandia investigó esta práctica del Centro de Aseguradores de Automóviles en relación a la solicitud de registros de pacientes a los proveedores de atención médica y concluyó que se requería sistemáticamente más información de la que era necesaria. En consecuencia, se impuso una multa de 52.000€ al responsable.
El Centro de Aseguradores de Automóviles de Finlandia solicitaba registros sin editar de los pacientes que contenían más información de la que se considera necesaria para para la reclamación del seguro.
El Centro de Aseguradores de Automóviles de Finlandia solicitaba a los proveedores de atención médica registros sin editar de los pacientes a fin de gestionar las reclamaciones, pues consideraba que tenía el derecho de recopilarlos. Entre otros aspectos, esta información incluía datos sobre las citas de los clientes que se utilizaban para determinar si el proveedor de atención médica había cobrado por visitas no vinculadas con el examen o tratamiento de las lesiones sufridas en el accidente. El responsable también pedía datos adicionales en el caso de que el proveedor de atención médica hubiese omitido cualquier tipo de información.
La autoridad de control de Finlandia determinó que la práctica de solicitar información excesiva suponía una infracción del RGPD.
La autoridad de control de Finlandia determinó que la solicitud sistemática de datos completos de los registros de los pacientes suponía una infracción del RGPD, pues dicha información debería haberse limitado a la estrictamente necesaria para gestionar la reclamación. Conforme al SEPD, el principio de minimización de datos implica que el responsable debe limitar la recogida de datos personales a lo que es directamente relevante y necesario para satisfacer una finalidad específica. La información recogida debe ser “adecuada, relevante y limitada a lo que es necesario en relación con las finalidades para las que se trata”. En consecuencia, se consideró que el responsable de los datos en este caso había infringido el RGPD. La autoridad de control indicó que la normative nacional no otorga acceso directo a todos los datos de los pacientes. De hecho, la información requerida debe ser sólo aquella necesaria para la resolución de la reclamación. Además, cualquier dato relacionado con el estado de salud de los interesados proporcionado a las compañías de seguros deberá tener formato de declaración, según la Asociación Médica de Finlandia.
Mientras que la decisión no es aún definitiva porque el Centro Asegurador de Automóviles la ha recurrido en el tribunal administrativo, se ha impuesto una multa de 52.000 €. Asimismo, se solicitó al responsable que cumpliese con la normativa.