La ventaja de cumplir los aspectos formales de la LOPD

670

En el Procedimiento Nº PS/00146/2010 podemos ver un buen ejemplo de la importancia en el cumplimiento de todos los aspectos formales de la Ley de Protección de Datos (LOPD), ya que tal cumplimiento se puede puede convertir en la mejor alegación en caso de una actuación ajena por mala fe.

El asunto se inició al recibir en la Agencia Española de Protección de Datos (AEPD) un escrito del Instituto Nacional de Seguridad Social de Sevilla, adjuntando documentación médica encontrada en la entrada del Centro de Atención e Información de la Seguridad Social de dicha localidad, junto a acta de comparecencia firmada por el director y otros dos funcionarios de dicho centro. En dicha acta se testifica que se localizó, en la entrada de esa oficina pública, unos sobres tirados de tamaño folio de color blanco. En el exterior de los mismos aparecía el nombre de la entidad denunciada y en el margen superior derecho figuran los apellidos y nombre de distintas personas. Dichos sobres contenían diversa documentación de carácter médico.

La empresa denunciada (un centro de reproducción asistida) se hallaba en ese momento en un proceso de liquidación y con una serie de problemas laborales con alguno de sus empleados.

Respecto a la protección de datos, se pudo verificar en sus instalaciones las siguientes medidas de seguirdad:

  • Se mostró a los inspectores esta documentación: Informe de Auditoria, Actas de establecimiento del deber de secreto, de las que hay un total de 28, Documento de designación del responsable de seguridad, Documento de Seguridad, del que se recaba copia del índice.
  • Los historiales clínicos en soporte papel se encuentran almacenados en una habitación cerrada con llave, que custodia únicamente el responsable del archivo. Cualquier solicitud de historia clínica debe hacerse al responsable del archivo, que abre la habitación en la que se almacena esta documentación, permitiendo el acceso a la misma al solicitante. Encontrada la historia clínica en su archivador correspondiente, es retirada de éste por el solicitante. Solamente tiene acceso a la documentación almacenada en el archivo al personal médico sujeto al secreto profesional, quien lo custodia hasta el retorno al archivo.

La empresa denunciada también afirmó que “El hecho de que hayan sido arrojadas en el lugar en que han aparecido, implica la voluntad de causar daño a la entidad por parte de quien haya realizado esta acción, ya que no se ha autorizado ninguna salida de documentos ni se ha realizado ningún traslado de documentos”.  Señala también a un médico concreto como posible responsable de la fuga de información, a quien afirma su intención de denunciar por la vía penal.

Tras revisar la documentación aportada, la AEPD indica:

Debe por tanto deducirse que no procede apreciar culpabilidad en la entidad denunciada, sobre el supuesto que no adoptó las medidas necesarias para impedir cualquier recuperación posterior de la información de carácter personal que contenían dichos documentos. Sin que de los hechos se derive una falta de diligencia en la custodia de dicha información, especialmente sensible pues contenía datos de salud. Tales medidas estaban implementadas, no siendo procedente declararla responsable del hecho unas historias clínicas hayan salido del ámbito de la entidad apareciendo en la vía pública, cuando presuntamente ha existido una intervención activa de un tercero (En este caso sólo el personal médico sujeto al secreto profesional puede tener acceso a las historias clínicas almacenadas en el archivo), lo que en base al principio de presunción de inocencia permite exonerar la responsabilidad de la denunciada .

(…)

En el presente caso, sin menoscabo que pueda interpretarse que no ha existido, efectivamente, ninguna revelación de secretos a terceros, ya que la documentación abandonada en la entrada de un centro público fue recogida por varios funcionarios que, examinado el contenido y observando que contiene diversa documentación de carácter médico se procedió de modo inmediato a su archivo en una caja de cartón, es relevante que dicha documentación salió de la entidad denunciada violentando las medidas de seguridad establecida por esta. Es decir, puede presumirse la conducta activa de un tercero, obligado al deber de secreto, lo que conlleva, en este caso, a exonerar la responsabilidad de la entidad en base al principio de presunción de inocencia.

Y así es como se acuerda proceder al archivo de las actuaciones.

La ventaja de cumplir los aspectos formales de la LOPD
Vota este artículo
Compartir

Dejar respuesta