Introducción
Un informe de investigación sobre una violación de datos que involucra a EC Healthcare publicado por la Oficina del Comisionado de Privacidad para Datos Personales (PCPD) de Hong Kong el 14 de noviembre de 2022 destaca la necesidad de que las organizaciones garanticen que cualquier uso de datos personales se limite a los fines notificados en la momento de la recolección, o un propósito directamente relacionado.
Cualquier organización que obtenga datos personales de otro usuario de datos, particularmente en el curso de una fusión y/o adquisición, debe obtener el consentimiento explícito previo de los interesados para cualquier transferencia entre marcas o usos de datos personales que vayan más allá de los fines notificados a ellos en el hora de la recogida.
Fondo
EC Healthcare es una empresa que cotiza en la bolsa de Hong Kong (2138.HK) que ofrece servicios de atención médica no hospitalarios de ventanilla única en Asia, incluidos servicios médicos, estéticos y de bienestar. Posee una serie de empresas que operan bajo 39 marcas, 28 de las cuales han adoptado un sistema interno integrado (Sistema).
Estas 28 marcas incluyen Primecare Paediatrics Wellness Center (Primecare), DR REBORN, New York Medical Group (NYMG) y re:HEALTH.
El Sistema contenía información personal de alrededor de 1,08 millones de miembros, incluidos sus nombres, números de membresía, números de teléfono parciales, registros de vacunación y control médico, y registros de compras anteriores.
Todo el personal de primera línea de las marcas de EC Healthcare podría acceder al Sistema y los registros de un cliente o miembro en particular, y familiares relacionados, ingresando el número de teléfono del cliente.
Quejas
El 10 de junio y el 26 de agosto de 2021, el PCPD recibió dos denuncias sobre empresas de EC Healthcare (Denuncia de junio y Denuncia de agosto).
La queja de junio se relaciona con una demandante que llevó a su hija a consultar a un médico en la clínica Primecare en junio de 2018. Dio el número de teléfono de la abuela de la hija como contacto. EC Healthcare posteriormente adquirió Primecare e integró los datos personales de los clientes de Primecare en el Sistema. En 2020, la abuela, después de visitar DR REBORN, recibió un mensaje de texto de DR REBORN que incluía el nombre de su nieta, que solo se había proporcionado a Primecare, no a DR REBORN.
La Queja de agosto se relacionaba con un reclamante que visitó NYMG para tratamientos quiroprácticos en marzo de 2016. En una matriz de hechos similar, EC Healthcare posteriormente adquirió NYMG e integró los datos de los clientes de NYMG en el Sistema.
En julio de 2021, cuando el denunciante se comunicó con re:HEALTH para dar seguimiento a algunas denuncias presentadas por miembros de su familia, se dirigió a él por su nombre completo, a pesar de que nunca proporcionó este nombre completo a re:HEALTH. El personal de re:HEALTH también pudo acceder al registro del denunciante mantenido con NYMG.
La investigación de PCPD reveló que (1) la recopilación de datos personales de clientes por parte de Primecare fue solo para la prestación de servicios médicos y no se evidenció explícitamente por escrito; y (2) NYMG solo había informado a sus clientes que los datos personales se recopilarían para la prestación de tratamientos y la difusión de boletines de atención médica (en conjunto, los Propósitos originales).
Esta recolección también se llevó a cabo antes de la adquisición de Primecare y NYMG por parte de EC Healthcare. Ni Primecare ni NYMG informaron a sus clientes sobre esta adquisición. EC Healthcare no obtuvo el consentimiento pertinente de los clientes preexistentes de Primecare y NYMG, cuyos datos personales agregaron al Sistema después de adquirir Primecare y NYMG.
Hallazgos PCPD
Sujeto a exenciones bajo la Parte 8 de la PDPO1, el Principio de Protección de Datos 3 de la Ordenanza de (Privacidad) de Datos Personales (Cap. 486) (PDPO) estipula que un usuario de datos no deberá usar datos personales de un sujeto de datos para un nuevo propósito, que no es (a) el propósito notificado en el momento de la recopilación, o (b) un propósito directamente relacionado con el propósito original para el cual se recopilaron los datos2, sin el consentimiento prescrito del interesado.3 En el contexto de la PDPO, “ uso” incluye la divulgación y transferencia de datos personales.4
Al no especificar en el momento de la recopilación de datos que los datos podrían compartirse entre las empresas del grupo, o integrarse en el Sistema para que el personal de primera línea de otras empresas del grupo pudiera acceder a ellos, el uso posterior de los datos después de la fusión quedó fuera de los Propósitos originales.
Si bien esto podría haberse solucionado obteniendo el consentimiento del cliente para el uso, la divulgación y la transferencia de sus datos entre las empresas de EC Healthcare, el hecho de no hacerlo resultó en que el PCPD concluyera que contravenía el Principio de Protección de Datos 3 de la PDPO.
Aviso de ejecución y recomendación
Como resultado del incumplimiento de la PDPO por parte de EC Healthcare, el PCPD emitió un aviso de cumplimiento exigiéndole que tome medidas correctivas para evitar que vuelva a ocurrir el incumplimiento. En particular, EC Healthcare estaba obligada a:
- cesar y prohibir el uso compartido entre marcas de datos personales de clientes y el acceso del personal bajo diferentes marcas a través del Sistema, a menos que EC Healthcare haya notificado explícitamente a los clientes sobre dicho intercambio y acceso entre marcas a datos personales y obtenido su consentimiento;
- garantizar que se obtenga el consentimiento expreso previo de los clientes para el uso de sus datos por parte de las empresas del grupo, o para compartir sus datos personales, antes de que dichos datos se integren en el Sistema en el futuro;
- formular políticas y pautas por escrito para instruir al personal sobre el uso permitido y el acceso a los datos personales de los clientes en el Sistema, y la ejecución adecuada de los requisitos (1) y (2); y
- proporcionar capacitación al personal responsable o involucrado en el manejo de datos personales relevantes.
Según la sección 50 de la PDPO, cuando el PCPD considere que ha habido una infracción, puede ordenar a los usuarios de datos que tomen medidas correctivas dentro de un período de tiempo específico. El incumplimiento de dicha acción de ejecución puede exponer a los usuarios de datos a responsabilidad penal: una multa máxima de hasta 100.000 dólares de Hong Kong y prisión de 2 años.
Observaciones y conclusiones
La investigación de PCPD destaca múltiples áreas que los usuarios de datos deben tener en cuenta al recopilar y usar información personal, que incluyen:
- La importancia del mantenimiento de registros. Los datos de los sujetos de las dos denuncias se habían recopilado años antes de las denuncias, pero no había registros de cómo se recopilaron los datos. Esto demuestra la importancia del mantenimiento de registros, porque en el caso de una investigación, los usuarios de datos necesitarían dichos registros a mano para demostrar su cumplimiento con el PDPO (es decir, para demostrar que se proporcionó una notificación adecuada a los sujetos en el punto de recopilación de datos). ). Esto también es útil cuando los usuarios de datos realizan una auditoría y/o se requiere, en una situación de fusión, que demuestren buenas prácticas de datos. Por lo tanto, los usuarios de datos deben revisar sus políticas y prácticas de retención de registros para garantizar que dichos registros se conserven adecuadamente.
- Garantizar que los usuarios de datos cuenten con políticas relevantes que sean consistentes con las prácticas de uso de datos. En el caso de la Denuncia de junio, no se notificó al interesado el propósito de la recolección de datos, ni la posibilidad de una transferencia o la clase de cesionarios. En el caso de la Demanda de agosto, el propósito de la recopilación se estableció estrictamente y se limitó a la provisión de tratamiento médico y mercadeo a través de boletines. En ambos casos, no se proporcionó información relacionada con las clases potenciales de cesionarios a sus respectivos clientes. Dado que los interesados no habían sido notificados, la consolidación posterior de EC Health de la información personal en el Sistema contravino la PDPO.
- Obtener el consentimiento necesario de los interesados para cualquier cambio en los propósitos/usos de los datos personales. Además de las deficiencias antes mencionadas, tampoco hubo notificación a los clientes de la adquisición de otras marcas. En particular, a los clientes no se les informó sobre el almacenamiento de su información personal en el Sistema, ni que todo el personal de EC Healthcare (y no solo la marca a la que inicialmente proporcionaron su información personal) tendría acceso a sus datos personales. Por lo tanto, el informe de investigación sirve como recordatorio de que cualquier uso de datos personales posterior a una fusión y/o adquisición puede requerir el consentimiento de los interesados, combinado con una notificación adecuada y adecuada de los propósitos de la recopilación de datos y las clases de cesionarios de los datos. a través de una declaración de recopilación de información personal (PICS) claramente redactada.
- Las facultades de investigación del PCPD. Además de realizar la investigación por escrito, el PCPD también ejerció su poder para visitar la oficina de EC Healthcare y realizó inspecciones in situ en dos sucursales de sus empresas/marcas. Ha habido pocos casos en los que se hayan ejercido tales poderes, y la interrupción de las operaciones comerciales de una empresa en tales casos no puede pasarse por alto. La legislación exige una cooperación plena y rápida con las investigaciones del PCPD, cuyo fracaso constituye un delito penal.5
- Se esperan estándares más altos para las empresas que cotizan en bolsa. El PCPD también expresó la expectativa de que, como empresa que cotiza en bolsa, EC Healthcare debería haber adoptado un enfoque más sofisticado para sus prácticas de datos. La mención explícita de las empresas que cotizan en bolsa por parte del PCPD sirve como un buen recordatorio para dichas empresas, así como para las empresas de grandes grupos con operaciones comerciales más extensas, que deben esperar que se les exija un estándar más alto en caso de una investigación, y que evalúen y modifiquen sus políticas y procedimientos internos de procesamiento de datos en consecuencia.
- Evaluación de impacto de privacidad (PIA). El PCPD implicaba que EC Healthcare debería haber realizado un PIA antes de implementar el Sistema. Si bien el PDPO no exige que los usuarios de datos realicen una PIA, a diferencia del Reglamento general de protección de datos de la Unión Europea, esta observación sirve como un recordatorio para las empresas que se encuentran en proyectos de transformación digital para que tengan en mente la privacidad por diseño cuando embarcarse en este tipo de proyectos.
Conclusión
Los grandes conglomerados con múltiples subsidiarias o empresas que operan múltiples marcas deben prestar atención a este caso e implementar políticas de gestión de acceso del personal adecuadas para evitar el intercambio innecesario de datos personales de clientes entre marcas.
Cuando se implementa un sistema interno para administrar los datos personales de los clientes recopilados por varias subsidiarias o marcas, la auditoría de datos antes de la implementación es imprescindible, seguida de una hoja de ruta para obtener el consentimiento de los clientes para usos posteriores de los datos en las empresas del grupo.
Los autores desean agradecer a Peggy Tsang, abogada en prácticas de Mayer Brown, por su ayuda con esta actualización legal.
1 Tenga en cuenta que, si bien una de las exenciones de la Parte 8 del PDPO permite compartir y divulgar datos personales sin el consentimiento de los interesados en el contexto de una fusión o adquisición, esta no es una exención general para las actividades de fusiones y adquisiciones, sino únicamente con el fin de llevar a cabo la diligencia debida. Los datos deben devolverse o destruirse tan pronto como sea posible después de completar dicha diligencia debida.
2 Ver la definición de nuevo propósito en el Principio de Protección de Datos 3(4) del Anexo 1 del PDPO
3 Véase el Principio de Protección de Datos 3(1) del Anexo 1 del PDPO
4 Véase art. 2 del PDPO para la definición de “uso”
5 Según la sección 50A de la PDPO, la infracción de un aviso de ejecución es un delito que sometería a los infractores a una multa máxima de 50.000 dólares de Hong Kong y prisión de 2 años.