No envíes datos personales por fax

1711

En nuestro artículo sobre Los riesgos de la ofimática en protección de datos ya avísabamos respecto al fax que: “Cuando se envía una comunicación por fax no tenemos ningún control sobre quién es la o las personas que van a tener acceso a esa información en el momento de su recepción. Su uso no es aconsejable cuando se trate de transmitir datos de carácter personal.” Y obviamente tal consejo es más válido aún cuando además tales datos son de nivel alto, como aquellos que se sitúan en el ámbito de la salud. No seguir esta recomendación puede costar una sanción de varios miles de euros por parte de la Agencia Española de Protección de Datos (AEPD) como veremos en el procedimiento sancionador Nº PS/00353/2010.


La denunciante acudió a un centro de angiología y cirugía vascular de Barcelona como paciente asegurado por una compañía de seguros y tras una prueba médica se estimó la necesidad de una intervención quirúrgica. Entonces se puso en contacto con su compañía de seguros, y ésta solicitó un informe del médico sobre la necesidad de la intervención. Ella solicitó el informe al centro, desde donde enviaron su informe directamente a la compañía de seguros por medio de un fax no encriptado con sus datos personales, datos de su salud. Añadió que algunos de los datos facilitados por fax eran irrelevantes para practicar la intervención deseada.

La entidad imputada manifestó que el informe clínico detallado de la denunciante fue enviado a petición de los Servicios Médicos de la compañía de seguros para autorizar o denegar la intervención quirúrgica, que fue necesario remitir un informe detallado, en el que se hacía constar los antecedentes médicos de la paciente ya que previamente se había sometido a una intervención de iguales características, y porque además padecía una enfermedad que comprometía la viabilidad de la intervención. En su opinión la información que se facilitó a la compañía no era excesiva, teniendo en cuenta que debía autorizar una nueva intervención quirúrgica. Sin embargo no puede dejar de reconocer que el informe clínico fue enviado por fax a un número de titularidad de la compañía de seguros de la denunciante, sin haber utilizado un fax cifrado para el envío de la documentación, pues en aquel momento esta medida estaba en proceso de implantación.

En los Fundamentos de Derecho la AEPD indica:

No hay duda de que el informe remitido a la compañía aseguradora contenía datos personales relativos a la salud de la denunciante y que se envió por medio de fax. Este procedimiento no permite “garantizar que la información no sea inteligible ni manipulada por terceros”, tal como expresa el artículo 104 del Reglamento de la LOPD, lo que lleva a la conclusión de que las medidas de seguridad no evitaban el acceso de personas no autorizadas a los datos de carácter personal relacionados con la salud.

Al no haberse imputado una infracción por acceso de personas no autorizadas a los datos personales de la denunciante, lo que supondría una infracción por vulneración del deber de secreto, lo que se plantea es una infracción de medidas de seguridad.

A la hora de valorar  el importe de la sanción, la AEPD reconoce que:

En el supuesto examinado no se puede ignorar que no se ha constatado que terceros no autorizados accedieran a los datos relativos a la salud de la denunciante.
Por otro lado, hay que tener en cuenta las manifestaciones de la compañía aseguradora con respecto a la seguridad del medio de recepción de los datos de sus asegurados, que si bien no exonera de responsabilidad al responsable del tratamiento, si permiten considerar una cualificada disminución de la culpabilidad.

Y así, el Director de la AEPD RESUELVE:

PRIMERO: IMPONER a la entidad CENTRO XXX SL, por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de 3.000 € (tres mil euros) de conformidad con lo establecido en el artículo 45.2.4 y .5 de la citada Ley Orgánica.

Vota este artículo

8 Comentarios

  1. Buenos días, respecto a la publicidad que recbimos por fax, no podemos hacer nada? He intentado contactar por tfno con un empresa para que no remita más fax, pero no he podido¿ Es denunciable y /o sancionable? Es un poco molesto…
    Gracias

    • Hola Carolina: efectivamente la LOPD protege sólo a personas físicas, pero en cambio la LSSI, que también es responsabilidad de la Agencia sancionar, no hace tal distinción. Al ser un fax un medio electrónico se aplica la LSSI, por lo que sí puedes denunciarlo aunque el receptor del spam sea una persona jurídica.

  2. Buenos días, hace 2 semanas me seleccionaron para un trabajo y me citaron para que les entregase la documentacion para formalizar el contrato (fotocopia dni,ss y cartilla del banco), con la desagradable sorpresa de que hace 2 dias recibo una llamada y me dicen que finalmente han contratado a otra persona. Aparte de la falta de seriedad (rechacé varias ofertas de otras empresas al creerme contratada), no me hace gracia que tengan mis datos personales si no van a ser utilizados para la finalidad acordada. ¿Que puedo hacer al respecto? Les llamé para comentarselo y me dijeron que me devolverian la llamada hace una semana. Gracias.

Dejar respuesta