<\/p>\n

Introducci\u00f3n<\/strong><\/p>\n

Un informe de investigaci\u00f3n sobre una violaci\u00f3n de datos que involucra a EC Healthcare publicado por la Oficina del Comisionado de Privacidad para Datos Personales (PCPD) de Hong Kong el 14 de noviembre de 2022 destaca la necesidad de que las organizaciones garanticen que cualquier uso de datos personales se limite a los fines notificados en la momento de la recolecci\u00f3n, o un prop\u00f3sito directamente relacionado.<\/p>\n

Cualquier organizaci\u00f3n que obtenga datos personales de otro usuario de datos, particularmente en el curso de una fusi\u00f3n y\/o adquisici\u00f3n, debe obtener el consentimiento expl\u00edcito previo de los interesados \u200b\u200bpara cualquier transferencia entre marcas o usos de datos personales que vayan m\u00e1s all\u00e1 de los fines notificados a ellos en el hora de la recogida. <\/p>\n

Fondo <\/strong><\/p>\n

EC Healthcare es una empresa que cotiza en la bolsa de Hong Kong (2138.HK) que ofrece servicios de atenci\u00f3n m\u00e9dica no hospitalarios de ventanilla \u00fanica en Asia, incluidos servicios m\u00e9dicos, est\u00e9ticos y de bienestar. Posee una serie de empresas que operan bajo 39 marcas, 28 de las cuales han adoptado un sistema interno integrado (Sistema). <\/p>\n

Estas 28 marcas incluyen Primecare Paediatrics Wellness Center (Primecare), DR REBORN, New York Medical Group (NYMG) y re:HEALTH.<\/p>\n

El Sistema conten\u00eda informaci\u00f3n personal de alrededor de 1,08 millones de miembros, incluidos sus nombres, n\u00fameros de membres\u00eda, n\u00fameros de tel\u00e9fono parciales, registros de vacunaci\u00f3n y control m\u00e9dico, y registros de compras anteriores. <\/p>\n

Todo el personal de primera l\u00ednea de las marcas de EC Healthcare podr\u00eda acceder al Sistema y los registros de un cliente o miembro en particular, y familiares relacionados, ingresando el n\u00famero de tel\u00e9fono del cliente.<\/p>\n

Quejas <\/strong><\/p>\n

El 10 de junio y el 26 de agosto de 2021, el PCPD recibi\u00f3 dos denuncias sobre empresas de EC Healthcare (Denuncia de junio y Denuncia de agosto).<\/p>\n

La queja de junio se relaciona con una demandante que llev\u00f3 a su hija a consultar a un m\u00e9dico en la cl\u00ednica Primecare en junio de 2018. Dio el n\u00famero de tel\u00e9fono de la abuela de la hija como contacto. EC Healthcare posteriormente adquiri\u00f3 Primecare e integr\u00f3 los datos personales de los clientes de Primecare en el Sistema. En 2020, la abuela, despu\u00e9s de visitar DR REBORN, recibi\u00f3 un mensaje de texto de DR REBORN que inclu\u00eda el nombre de su nieta, que solo se hab\u00eda proporcionado a Primecare, no a DR REBORN. <\/p>\n

La Queja de agosto se relacionaba con un reclamante que visit\u00f3 NYMG para tratamientos quiropr\u00e1cticos en marzo de 2016. En una matriz de hechos similar, EC Healthcare posteriormente adquiri\u00f3 NYMG e integr\u00f3 los datos de los clientes de NYMG en el Sistema.<\/p>\n

En julio de 2021, cuando el denunciante se comunic\u00f3 con re:HEALTH para dar seguimiento a algunas denuncias presentadas por miembros de su familia, se dirigi\u00f3 a \u00e9l por su nombre completo, a pesar de que nunca proporcion\u00f3 este nombre completo a re:HEALTH. El personal de re:HEALTH tambi\u00e9n pudo acceder al registro del denunciante mantenido con NYMG. <\/p>\n

La investigaci\u00f3n de PCPD revel\u00f3 que (1) la recopilaci\u00f3n de datos personales de clientes por parte de Primecare fue solo para la prestaci\u00f3n de servicios m\u00e9dicos y no se evidenci\u00f3 expl\u00edcitamente por escrito; y (2) NYMG solo hab\u00eda informado a sus clientes que los datos personales se recopilar\u00edan para la prestaci\u00f3n de tratamientos y la difusi\u00f3n de boletines de atenci\u00f3n m\u00e9dica (en conjunto, los Prop\u00f3sitos originales). <\/p>\n

Esta recolecci\u00f3n tambi\u00e9n se llev\u00f3 a cabo antes de la adquisici\u00f3n de Primecare y NYMG por parte de EC Healthcare. Ni Primecare ni NYMG informaron a sus clientes sobre esta adquisici\u00f3n. EC Healthcare no obtuvo el consentimiento pertinente de los clientes preexistentes de Primecare y NYMG, cuyos datos personales agregaron al Sistema despu\u00e9s de adquirir Primecare y NYMG. <\/p>\n

Hallazgos PCPD<\/strong><\/p>\n

Sujeto a exenciones bajo la Parte 8 de la PDPO1, el Principio de Protecci\u00f3n de Datos 3 de la Ordenanza de (Privacidad) de Datos Personales (Cap. 486) (PDPO) estipula que un usuario de datos no deber\u00e1 usar datos personales de un sujeto de datos para un nuevo prop\u00f3sito, que no es (a) el prop\u00f3sito notificado en el momento de la recopilaci\u00f3n, o (b) un prop\u00f3sito directamente relacionado con el prop\u00f3sito original para el cual se recopilaron los datos2, sin el consentimiento prescrito del interesado.3 En el contexto de la PDPO, \u201c uso\u201d incluye la divulgaci\u00f3n y transferencia de datos personales.4<\/p>\n

Al no especificar en el momento de la recopilaci\u00f3n de datos que los datos podr\u00edan compartirse entre las empresas del grupo, o integrarse en el Sistema para que el personal de primera l\u00ednea de otras empresas del grupo pudiera acceder a ellos, el uso posterior de los datos despu\u00e9s de la fusi\u00f3n qued\u00f3 fuera de los Prop\u00f3sitos originales. <\/p>\n

Si bien esto podr\u00eda haberse solucionado obteniendo el consentimiento del cliente para el uso, la divulgaci\u00f3n y la transferencia de sus datos entre las empresas de EC Healthcare, el hecho de no hacerlo result\u00f3 en que el PCPD concluyera que contraven\u00eda el Principio de Protecci\u00f3n de Datos 3 de la PDPO. <\/p>\n

Aviso de ejecuci\u00f3n y recomendaci\u00f3n<\/strong><\/p>\n

Como resultado del incumplimiento de la PDPO por parte de EC Healthcare, el PCPD emiti\u00f3 un aviso de cumplimiento exigi\u00e9ndole que tome medidas correctivas para evitar que vuelva a ocurrir el incumplimiento. En particular, EC Healthcare estaba obligada a: <\/p>\n

\n
1. cesar y prohibir el uso compartido entre marcas de datos personales de clientes y el acceso del personal bajo diferentes marcas a trav\u00e9s del Sistema, a menos que EC Healthcare haya notificado expl\u00edcitamente a los clientes sobre dicho intercambio y acceso entre marcas a datos personales y obtenido su consentimiento; <\/li>\n
2. garantizar que se obtenga el consentimiento expreso previo de los clientes para el uso de sus datos por parte de las empresas del grupo, o para compartir sus datos personales, antes de que dichos datos se integren en el Sistema en el futuro; <\/li>\n
3. formular pol\u00edticas y pautas por escrito para instruir al personal sobre el uso permitido y el acceso a los datos personales de los clientes en el Sistema, y \u200b\u200bla ejecuci\u00f3n adecuada de los requisitos (1) y (2); y <\/li>\n
4. proporcionar capacitaci\u00f3n al personal responsable o involucrado en el manejo de datos personales relevantes.<\/li>\n<\/ol>\n

   Seg\u00fan la secci\u00f3n 50 de la PDPO, cuando el PCPD considere que ha habido una infracci\u00f3n, puede ordenar a los usuarios de datos que tomen medidas correctivas dentro de un per\u00edodo de tiempo espec\u00edfico. El incumplimiento de dicha acci\u00f3n de ejecuci\u00f3n puede exponer a los usuarios de datos a responsabilidad penal: una multa m\u00e1xima de hasta 100.000 d\u00f3lares de Hong Kong y prisi\u00f3n de 2 a\u00f1os.<\/p>\n

   Observaciones y conclusiones <\/strong><\/p>\n

   La investigaci\u00f3n de PCPD destaca m\u00faltiples \u00e1reas que los usuarios de datos deben tener en cuenta al recopilar y usar informaci\u00f3n personal, que incluyen:<\/p>\n

   \n
   1. La importancia del mantenimiento de registros<\/strong>. Los datos de los sujetos de las dos denuncias se hab\u00edan recopilado a\u00f1os antes de las denuncias, pero no hab\u00eda registros de c\u00f3mo se recopilaron los datos. Esto demuestra la importancia del mantenimiento de registros, porque en el caso de una investigaci\u00f3n, los usuarios de datos necesitar\u00edan dichos registros a mano para demostrar su cumplimiento con el PDPO (es decir, para demostrar que se proporcion\u00f3 una notificaci\u00f3n adecuada a los sujetos en el punto de recopilaci\u00f3n de datos). ). Esto tambi\u00e9n es \u00fatil cuando los usuarios de datos realizan una auditor\u00eda y\/o se requiere, en una situaci\u00f3n de fusi\u00f3n, que demuestren buenas pr\u00e1cticas de datos. Por lo tanto, los usuarios de datos deben revisar sus pol\u00edticas y pr\u00e1cticas de retenci\u00f3n de registros para garantizar que dichos registros se conserven adecuadamente. <\/li>\n
   2. Garantizar que los usuarios de datos cuenten con pol\u00edticas relevantes que sean consistentes con las pr\u00e1cticas de uso de datos.<\/strong> En el caso de la Denuncia de junio, no se notific\u00f3 al interesado el prop\u00f3sito de la recolecci\u00f3n de datos, ni la posibilidad de una transferencia o la clase de cesionarios. En el caso de la Demanda de agosto, el prop\u00f3sito de la recopilaci\u00f3n se estableci\u00f3 estrictamente y se limit\u00f3 a la provisi\u00f3n de tratamiento m\u00e9dico y mercadeo a trav\u00e9s de boletines. En ambos casos, no se proporcion\u00f3 informaci\u00f3n relacionada con las clases potenciales de cesionarios a sus respectivos clientes. Dado que los interesados \u200b\u200bno hab\u00edan sido notificados, la consolidaci\u00f3n posterior de EC Health de la informaci\u00f3n personal en el Sistema contravino la PDPO. <\/li>\n
   3. Obtener el consentimiento necesario de los interesados \u200b\u200bpara cualquier cambio en los prop\u00f3sitos\/usos de los datos personales.<\/strong> Adem\u00e1s de las deficiencias antes mencionadas, tampoco hubo notificaci\u00f3n a los clientes de la adquisici\u00f3n de otras marcas. En particular, a los clientes no se les inform\u00f3 sobre el almacenamiento de su informaci\u00f3n personal en el Sistema, ni que todo el personal de EC Healthcare (y no solo la marca a la que inicialmente proporcionaron su informaci\u00f3n personal) tendr\u00eda acceso a sus datos personales. Por lo tanto, el informe de investigaci\u00f3n sirve como recordatorio de que cualquier uso de datos personales posterior a una fusi\u00f3n y\/o adquisici\u00f3n puede requerir el consentimiento de los interesados, combinado con una notificaci\u00f3n adecuada y adecuada de los prop\u00f3sitos de la recopilaci\u00f3n de datos y las clases de cesionarios de los datos. a trav\u00e9s de una declaraci\u00f3n de recopilaci\u00f3n de informaci\u00f3n personal (PICS) claramente redactada.<\/li>\n
   4. Las facultades de investigaci\u00f3n del PCPD.<\/strong> Adem\u00e1s de realizar la investigaci\u00f3n por escrito, el PCPD tambi\u00e9n ejerci\u00f3 su poder para visitar la oficina de EC Healthcare y realiz\u00f3 inspecciones in situ en dos sucursales de sus empresas\/marcas. Ha habido pocos casos en los que se hayan ejercido tales poderes, y la interrupci\u00f3n de las operaciones comerciales de una empresa en tales casos no puede pasarse por alto. La legislaci\u00f3n exige una cooperaci\u00f3n plena y r\u00e1pida con las investigaciones del PCPD, cuyo fracaso constituye un delito penal.5<\/li>\n
   5. Se esperan est\u00e1ndares m\u00e1s altos para las empresas que cotizan en bolsa.<\/strong> El PCPD tambi\u00e9n expres\u00f3 la expectativa de que, como empresa que cotiza en bolsa, EC Healthcare deber\u00eda haber adoptado un enfoque m\u00e1s sofisticado para sus pr\u00e1cticas de datos. La menci\u00f3n expl\u00edcita de las empresas que cotizan en bolsa por parte del PCPD sirve como un buen recordatorio para dichas empresas, as\u00ed como para las empresas de grandes grupos con operaciones comerciales m\u00e1s extensas, que deben esperar que se les exija un est\u00e1ndar m\u00e1s alto en caso de una investigaci\u00f3n, y que eval\u00faen y modifiquen sus pol\u00edticas y procedimientos internos de procesamiento de datos en consecuencia.<\/li>\n
   6. Evaluaci\u00f3n de impacto de privacidad (PIA).<\/strong> El PCPD implicaba que EC Healthcare deber\u00eda haber realizado un PIA antes de implementar el Sistema. Si bien el PDPO no exige que los usuarios de datos realicen una PIA, a diferencia del Reglamento general de protecci\u00f3n de datos de la Uni\u00f3n Europea, esta observaci\u00f3n sirve como un recordatorio para las empresas que se encuentran en proyectos de transformaci\u00f3n digital para que tengan en mente la privacidad por dise\u00f1o cuando embarcarse en este tipo de proyectos. <\/li>\n<\/ol>\n

      Conclusi\u00f3n<\/strong><\/p>\n

      Los grandes conglomerados con m\u00faltiples subsidiarias o empresas que operan m\u00faltiples marcas deben prestar atenci\u00f3n a este caso e implementar pol\u00edticas de gesti\u00f3n de acceso del personal adecuadas para evitar el intercambio innecesario de datos personales de clientes entre marcas.<\/p>\n

      Cuando se implementa un sistema interno para administrar los datos personales de los clientes recopilados por varias subsidiarias o marcas, la auditor\u00eda de datos antes de la implementaci\u00f3n es imprescindible, seguida de una hoja de ruta para obtener el consentimiento de los clientes para usos posteriores de los datos en las empresas del grupo. <\/p>\n

      Los autores desean agradecer a Peggy Tsang, abogada en pr\u00e1cticas de Mayer Brown, por su ayuda con esta actualizaci\u00f3n legal.<\/p>\n

      1 Tenga en cuenta que, si bien una de las exenciones de la Parte 8 del PDPO permite compartir y divulgar datos personales sin el consentimiento de los interesados \u200b\u200ben el contexto de una fusi\u00f3n o adquisici\u00f3n, esta no es una exenci\u00f3n general para las actividades de fusiones y adquisiciones, sino \u00fanicamente con el fin de llevar a cabo la diligencia debida. Los datos deben devolverse o destruirse tan pronto como sea posible despu\u00e9s de completar dicha diligencia debida.<\/p>\n

      2 Ver la definici\u00f3n de nuevo prop\u00f3sito en el Principio de Protecci\u00f3n de Datos 3(4) del Anexo 1 del PDPO<\/p>\n

      3 V\u00e9ase el Principio de Protecci\u00f3n de Datos 3(1) del Anexo 1 del PDPO<\/p>\n

      4 V\u00e9ase art. 2 del PDPO para la definici\u00f3n de \u201cuso\u201d<\/p>\n

      5 Seg\u00fan la secci\u00f3n 50A de la PDPO, la infracci\u00f3n de un aviso de ejecuci\u00f3n es un delito que someter\u00eda a los infractores a una multa m\u00e1xima de 50.000 d\u00f3lares de Hong Kong y prisi\u00f3n de 2 a\u00f1os.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Introducci\u00f3n Un informe de investigaci\u00f3n sobre una violaci\u00f3n de datos que involucra a EC Healthcare publicado por la Oficina del Comisionado de Privacidad para Datos Personales (PCPD) de Hong Kong el 14 de noviembre de 2022 destaca la necesidad de que las organizaciones garanticen que cualquier uso de datos personales se limite a los fines […]<\/p>\n","protected":false},"author":1,"featured_media":5037,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7],"tags":[8],"class_list":{"0":"post-5036","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-atencion-quiropractica","8":"tag-atencion-quiropractica"},"_links":{"self":[{"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/posts\/5036","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/comments?post=5036"}],"version-history":[{"count":1,"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/posts\/5036\/revisions"}],"predecessor-version":[{"id":5038,"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/posts\/5036\/revisions\/5038"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/media\/5037"}],"wp:attachment":[{"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/media?parent=5036"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/categories?post=5036"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/americanchiropractors.org\/es\/wp-json\/wp\/v2\/tags?post=5036"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}