Diario del Derecho. Edición de 27/03/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 17/05/2010
 
 

La Agencia Española de Protección de Datos sanciona al Servicio Cántabro de Salud, al haberse producido una efectiva revelación de los datos personales de 1748 pacientes sin su consentimiento, datos que se publicaron en Internet a través del programa “eMule”, quedando a disposición del público

17/05/2010
Compartir: 

Mantiene la AN la sanción impuesta por la Agencia Española de Protección de Datos al Servicio Cántabro de Salud, por la comisión de la infracción prevista en el art. 44.4 g) de la LOPD, como consecuencia de la publicación a través de Internet de un fichero con datos de 1748 pacientes de dos cupos de médicos de localidades ubicadas en Cantabria, en el que figuraban los apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, datos de salud de los mismos. Ha quedado acreditado que el programa informático “eMule” fue el software que permitió la publicación en Internet del fichero; asimismo, se considera probado que el Servicio Cántabro de Salud era el responsable de la custodia de los datos en cuestión, y que se vulneró el secreto garantizado en el art. 10 de la LOPD, al haber posibilitado el acceso no restringido a datos personales sin el consentimiento de sus titulares. Señala la Sala que para que se cometa la infracción imputada al recurrente es necesario que se produzca una efectiva revelación, lo que, a su juicio, resulta innegable en este caso, puesto que los datos de los pacientes accedieron a Internet y quedaron a disposición del público. El hecho de que pudiera haber sido un trabajador del Servicio de Salud el que hubiera llevado a cabo los actos generadores de la divulgación, no le exonera de responsabilidad, ya que, como titular del fichero, debió adoptar las medidas que hubieran evitado la divulgación producida por la ineficacia de las medidas de seguridad adoptadas. Concluye la Sala que no basta con la aprobación formal de las medidas de seguridad, sino que resulta exigible que las mismas se instauren y pongan en práctica de manera efectiva.

Órgano: Audiencia Nacional. Sala de lo Contencioso

N.º de Recurso: 352/2009

Ponente: JOSE GUERRERO ZAPLANA

SENTENCIA DE LA AUDIENCIA NACIONAL DE 11.02.2010

Madrid, a once de febrero de dos mil diez.

Vistos por la Sala citada al margen el Recurso numero 01/352/2009 interpuesto por el GOBIERNO DE CANTABRIA, contra la resolución de fecha 25 de Febrero de 2009 dictada por el Director de la Agencia Española de Protección de Datos por la que se declara que la entidad recurrente había cometido una infracción prevista en el articulo 44.4. g) de la LOPD y requiere al Servicio Cantabro de Salud a fin de que adopte las medidas de orden interno para que en el futuro pueda producirse una nueva infracción del articulo 10 de la LOPD, habiendo sido parte el Sr. Abogado del Estado. La cuantía del recurso ha sido fijada en cuantía indeterminada.

ANTECEDENTES DE HECHO

PRIMERO: Por el indicado recurrente se interpuso recurso contencioso administrativo mediante escrito presentado ante esta sala contra el acto mencionado en el encabezamiento de esta resolución, acordándose su admisión y una vez formalizados los trámites legales preceptivos fue emplazado para que dedujera demanda, lo que llevó a efecto mediante escrito en el que, tras alegar los fundamentos de hecho y de derecho que consideró pertinentes, terminó solicitando la estimación del recurso y la consiguiente anulación del acto recurrido De lo que consta en el expediente y de las alegaciones de las partes en sus respectivos escritos resulta el siguiente relato de hechos:

- Con fechas 6 de octubre y 14 de noviembre de 2006 se recibe en el registro de la Agencia Española de Protección de Datos escritos de la Policía Local de Ourense donde se pone de manifiesto la publicación, a través de Internet, de un fichero denominado "MIERA-MIRONES-LACAVADA.mdb", de fecha 4 de octubre de 2006, que contiene datos de 1748 pacientes de dos cupos médicos de localidades ubicadas en Cantabria.

- La Policía Local de Ourense remitió a la Agencia el fichero descrito el cual contiene datos de apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, datos de salud asociados tales como hipertensión, diabetes etc. (folios 1 a 5 y del 51 a 68).

- De acuerdo con la información aportada por el Servicio Cantabro de Salud, los cupos médicos que figuran en el fichero remitido por la Policía Local de Ourense corresponden a dos facultativos que prestan sus servicios en el Centro de Salud de Miera y en los consultorios de Miera, Mirones y Riotuerto, todos ellos ubicados en localidades de Cantabria y dependientes de la Zona Básica de Salud de Miera.

- El Sistema de Información donde se recogen datos de pacientes y facultativos de la Zona Básica de Salud de Miera se encuentra ubicado en el Centro de Salud de Miera.

- El representante del Centro de Salud de Miera ha manifestado que:

1.- Los profesionales del citado Centro de Salud prestan sus servicios en el propio Centro y en tres consultorios ubicados en las localidades de La Cavada, La Cárcoba y Mirones.

2.- El contenido del fichero "MIERA-MIRONES-LACAVADA.mdb" no corresponde con ninguno de los listados estándares que proporcionan los Sistemas de Información instalados en el Centro, no obstante, los datos corresponden con pacientes y profesionales del Centro de Salud.

3.- Que el Sistema de Información donde se recogen los datos administrativos y de salud de los pacientes se encuentra ubicado en el propio Centro de Salud, teniendo acceso desde los Consultorios y desde los Servicios Centrales de la Gerencia de Atención Primaria de Santander-Laredo. También los profesionales que prestan sus servicios en los consultorios tienen acceso a esta información ya sea mediante un ordenador portátil o desde un puesto de trabajo ubicado en el consultorio.

- No se han obtenido evidencias de la existencia del fichero "MIERA-MIRONES-LACAVADA.mdb" en los Sistemas de Información del Centro de Salud, ni en los Sistemas de Información de la Gerencia de Atención Primaria Santander-Laredo, accesible a través de la red de comunicaciones del Servicio Cántabro de Salud.

- Asimismo, no se han obtenido evidencias de la existencia del directorio "eMule" en los ordenadores de los consultorios ubicados en La Cavada, La Cárcoba y Mirones, ni en el servidor utilizado por la Gerencia de Atención Primaria Santander-Laredo. El programa informático "eMule". figura como el software que ha permitido la publicación en Internet del fichero "MIERA- MIRONES-LACAVADA.mdb" en la documentación remitida por la Policía Local de Ourense (folios 25 a 43).

- Se ha constatado que nombres y apellidos que se encuentran en el fichero "MIERA-MIRONES-LACAVADA.mdb" se encuentran registrados como pacientes en el Sistema de Información ubicado en el Centro de Salud de Miera (folios 26 y del 44 al 49).

- Con fecha 5 de diciembre de 2008, el Servicio Cantabro de Salud comunica que ““...Los equipos informáticos (PCs) del Centro de Salud de Miera:

1.- Permiten grabar información en diskettes.

2.-No permiten grabar información en CDs.

3.- No permiten grabar información en DVDs.

4.-Permiten grabar información en pen-drives...”“ (folio 108) La parte recurrente fundamenta su pretensión anulatoria de la resolución en que no se han detallado cuales fueron las medidas de seguridad que no se implementaron por el Servicio Cantabro de Salud;

también considera que la conducta puede haber sido cometida por el personal que tiene a su disposición las historias clínicas y que habría infringido el deber de secreto que le imponen el articulo 2.7 de la Ley 41/2002. también considera que las dos conductas sancionadas no dan lugar a la existencia de un concurso medial y ello pues se trata de infracciones independientes sin que la comisión de la una suponga necesariamente la comisión de la otra.

SEGUNDO: La representación procesal de la parte demandada contestó a la demanda mediante escrito en el que, tras alegar los hechos y fundamentos de derecho que consideró aplicables, terminó pidiendo la desestimación del presente recurso.

TERCERO: Al no haberse recibido el pleito a prueba, se dio traslado a las partes, por su orden, para conclusiones; en este trámite se evacuó en sendos escritos en los que realizaron las manifestaciones que le convinieron a sus respectivos intereses.

CUARTO: Con fecha 10 de Febrero se celebró el acto de votación y fallo de este recurso, quedando el mismo visto para sentencia.

Ha sido ponente del presente recurso el Magistrado Iltmo. Sr. JOSE GUERRERO ZAPLANA.

FUNDAMENTOS JURÍDICOS

PRIMERO: Se interpone el presente recurso contencioso administrativo frente a resolución de fecha 25 de Febrero de 2009 dictada por el Director de la Agencia Española de Protección de Datos por la que se declara que la entidad recurrente había cometido una infracción prevista en el articulo 44.4g) de la LOPD y requiere al Servicio Cantabro de Salud a fin de que adopte las medidas de orden interno para que en el futuro pueda producirse una nueva infracción del articulo 10 de la LOPD.

La resolución recurrida considera que el Servicio Cantabro de Salud estaba obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que datos de salud de pacientes del Servicio Cantabro de Salud, salieron indebidamente del mismo por lo que incumplió esta obligación.

El Servicio Cantabro de Salud alega que pone, entre otros, a disposición de sus profesionales, usuarios de su sistema de información, una cuenta de correo electrónico y acceso a Internet para uso profesional. Aunque en la documentación obrante en el expediente no consta como salieron los datos de sus pacientes a Internet. El Servicio Cantabro de Salud a la vista de los hechos producidos y como responsable de dichos datos de salud ha debido averiguar como se produjeron los mismos y las medidas que tiene que tomar para que dichos hechos no vuelvan a producirse, es decir que los datos de salud de sus pacientes no puedan ser incorporados a ordenadores personales de ninguna persona, preste o no servicios en dicho Servicio Cantabro de Salud.

Dado que ha existido vulneración del "principio de seguridad de los datos", se considera que el Servicio Cantabro de Salud ha incurrido en la infracción grave descrita.

En el caso que nos ocupa, ha quedado acreditado que, empleando el programa "eMule", se podía acceder sin restricción a través de Internet al fichero denominado "MIERA-MIRONES-LACAVADA.mdb", que contiene datos de 1748 pacientes de dos cupos médicos de localidades ubicadas en Cantabria, del Servicio Cantabro de Salud.

El citado fichero contiene datos de apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, datos de salud asociados tales como hipertensión, diabetes etc.

Por tanto, queda acreditado que por parte del Servicio Cantabro de Salud, responsable de la custodia de los datos en cuestión, se vulneró el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido a datos personales sin consentimiento de sus titulares.

En consecuencia, al responsable del tratamiento de datos de salud debe exigírsele una diligencia específica para asegurar que dicho tratamiento cumple con los principios y garantías exigidos en la LOPD.

En el presente caso, teniendo en cuenta que los datos recogidos en el citado fichero que salió a Internet, se refieren a sus pacientes y a datos de salud de estos, que conforme dispone el artículo 7.3. de la LOPD, son datos especialmente protegidos, ha de calificarse la vulneración del artículo 10 por parte del Servicio Cantabro de Salud como infracción muy grave, por cuanto dicho fichero fue alimentado con los datos obrantes en los ficheros del Servicio Cantabro de Salud y referidos a sus pacientes.

Por lo tanto, aplicando el artículo 4.4 del Real Decreto 1398/1993, por el que se aprueba el Reglamento del Procedimiento para el ejercicio de la potestad sancionadora que establece "En defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida," procede subsumir ambas infracciones en una. Dado que, en este caso, una está tipificada como infracción grave y otra como muy grave, se considera que procede imputar únicamente la infracción muy grave del artículo 10 de la LOPD.

SEGUNDO: Según el artículo 44.3.h) de la LOPD, considera infracción grave: "Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen".

Este precepto debe relacionarse con lo que establece el articulo 9 de la LOPD establece que: 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley " La infracción aplicada por la Agencia, y en relación a la que se impone la sanción a la recurrente, es la que se recoge en el articulo 44.4.g) que considera infracción muy grave: La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del Art. 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

TERCERO: A la hora de valorar si se ha producido infracción del deber de secreto, hay que partir de que este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, relativos a la historia clínica de pacientes de varios centros de salud, no pueden ser conocidos por ninguna persona o entidad ajena al propio paciente y a los médicos que le tratan y que, menos aún, puede circular libremente por internet, pues en eso consiste precisamente el secreto.

Esta Sala tiene establecida la necesidad de que se produzca una efectiva revelación para que se cometa la infracción imputada a la recurrente. Sobre la exigencia de que se produzca revelación efectiva esta Sala parte de la necesidad de que aunque se cometa una determinada conducta que pudiera dar lugar a la revelación de secretos, si está, efectivamente no se produce, no es posible sancionar por la revelación de secretos.

Tal como resulta de otras sentencias (como la dictada en el recurso 205/2008 ) la infracción del deber de secreto es una infracción de resultado en la que lo relevante es que se llegue a producir la divulgación de un secreto, no siendo relevante (a los efectos de la violación del deber de secreto) con la simple omisión de medidas de seguridad.

En la sentencia correspondiente al recurso 471/2008 se expuso expresamente esta cuestión razonando del siguiente modo: ““La infracción tipificada en el art. 44.3.g) es una infracción de resultado que exige que los datos personales sobre los que exista un deber de secreto profesional -como aquí ocurre en relación con el número de la cuenta corriente- se hayan puesto de manifiesto a un tercero, sin que pueda presumirse que tal revelación se ha producido. Efectivamente, la Agencia Española de Protección de Datos en su resolución se limita a poner de manifiesto que el sistema de cierre, mediante ventanilla transparente, de los sobres utilizados por el Banco para realizar determinadas comunicaciones a sus clientes pudiera dar lugar a que determinados datos personales contenidos en esas comunicaciones puedan ser conocidas por terceras personas respecto de las que deba mantenerse el secreto. No prueba sin embargo que los datos fueran efectivamente conocidos por dichos terceros. Estaríamos, por tanto, como sostiene el recurrente, ante una posible infracción de medidas de seguridad -que es una infracción de actividad- pero no ante la infracción que se le imputa que exige la puesta en conocimiento de un tercero de los datos personales”“.

En el caso presente resulta que la efectividad de la revelación es innegable y ello puesto que los datos de los pacientes accedieron a internet y quedaron a disposición del publico por lo que resulta que la revelación fue efectiva por lo que claramente debe entenderse cometida la infracción que es imputada por la Agencia a la entidad ahora recurrente. Ni en el escrito de demanda ni en el expediente resulta que se haya negado la existencia de la revelación y el hecho objetivo de la divulgación de datos por su libre circulación por internet.

CUARTO: La parte recurrente utiliza el argumento de que haya sido un trabajador el que haya llevado a cabo los actos generadores de la divulgación pero, en cualquier caso, dicha hipotética actuación no deja sin efecto el hecho de que era la entidad recurrente la titular del fichero y la que debió adoptar las medidas que hubieran evitado la divulgación producida ocasionada por la ineficacia de las medidas de seguridad adoptadas. La posible actuación disciplinaria que se pudiera abrir contra un funcionario que fuera responsable de la divulgación (circunstancia que no se ha acreditado) nunca podría dejar sin efecto el hecho objetivo de que se ha producido una divulgación de datos que debieron permanecer reservados y esta es, precisamente, la conducta descrita por la resolución objeto de recurso.

La aplicación del articulo 4.4 del R.D. 1398/93 (según el cual en defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida) resulta obligada en este caso puesto que la falta de adopción de las medidas de seguridad ha ocasionado una actuación contraria a dos bienes jurídicos diferentes: por una parte, la propia falta de medidas de seguridad y, por otra parte, esta omisión ha generado la divulgación de una información que debió permanecer reservada.

QUINTO: En relación a la infracción imputada de omisión de medidas de seguridad hay que decir que, por aplicación del citado articulo 4.4 del R.D. 1398/93, la omisión de medidas se seguridad no ha llegado a ser sancionada por lo que la resolución se limita a describir los hechos y razonamientos por los que se entiende cometida dicha infracción a la que no anuda sanción alguna.

Esta Sala en la Sentencia correspondiente al recurso 229/2005 estableció que ““Esta misma Sala, resolviendo supuestos anteriores en los que los hechos se tipificaron también conforme a de dicho precepto de la Ley 15/1999, ha establecido la siguiente doctrina (sentencia de 28 de marzo de 2006 Rec. 478/2004, y de 9 de noviembre de 2006 Rec. 119/2005 ).

No basta, entonces, con la adopción de cualquier medida, pues deben ser las necesarias para garantizar aquellos objetivos que marca el precepto. Y, por supuesto, no basta con la aprobación formal de las medidas de seguridad, pues resulta exigible que aquéllas se instauren y pongan en práctica de manera efectiva. Así, de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no se exige a los empleados del banco la observancia de aquellas instrucciones. En el caso que nos ocupa ha quedado acreditado que la entidad ahora demandante no prestó la diligencia necesaria en orden a la efectiva observancia de aquellas medidas de seguridad, pues de otro modo no se explica que los documentos en los que figuran datos de carácter personal apareciesen publicados en una revista de amplia difusión en la que se afirmaba que habían sido encontrados en la basura.

(...)Hemos considerado, en consecuencia, que se impone una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros. En definitiva, la recurrente es, por disposición legal, una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos personales han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues también es responsable de que las mismas se cumplan y se ejecuten con rigor. En definitiva, toda responsable de un fichero (o encargada de tratamiento) debe asegurarse de que dichas medidas o mecanismos se implementen de manera efectiva en la práctica sin que, bajo ningún concepto, datos bancarios, o cualesquiera otros datos de carácter personal, puedan llegar a manos de terceras personas”“.

Esta Sala tiene establecido con reiteración (entre otras en las sentencias del recurso 362/2007 ) como las infracciones de medidas de seguridad son infracciones también de resultado y que lo relevante para evitar la imposición de la sanción no es la simple implantación de las medidas de seguridad sino el hecho efectivo de que estas hayan producido el efecto exigido.

En este caso, resulta claro que se ha producido la omisión de medidas de seguridad y que, además esto ha ocasionado un resultado como ha sido la divulgación en internet de los datos de los paciente, por lo que se produce la conducta típica descrita por la Agencia en su resolución.

En este caso, resulta obvio que las medidas de seguridad no se implementaron y ello aunque sea cierto que la resolución de la Agencia no describe cual es la omisión producida. No puede dejar de señalarse que no se ha considerado cometida la infracción de medidas de seguridad por lo que la simple descripción de la conducta no exigía mayor precisión y procede confirmar también por esta razón la resolución objeto de recurso.

SEXTO: Por aplicación de lo establecido en el articulo 139 de la Ley de la Jurisdicción Contencioso Administrativa no resulta procedente hacer expresa condena en costas a ninguna de las partes que han intervenido en este procedimiento.

Vistos los preceptos citados por las partes y los demás de general y pertinente aplicación al caso de autos

FALLAMOS

Que desestimando el presente recurso contencioso administrativo interpuesto por el GOBIERNO DE CANTABRIA, contra la resolución descrita en el primer fundamento de esta Sentencia, debemos confirmar la resolución recurrida. Todo ello sin haber lugar a expresa imposición de costas.

Así por esta nuestra sentencia lo pronunciamos mandamos y fallamos.

PUBLICACIÓN.- Dada, leída y publicada fue la anterior sentencia en audiencia pública. Doy fe.

Madrid, a LA SECRETARIA D.ª María Elena Cornejo Pérez

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana