Emule, LOPD y Administración Pública

por Jorge Campanillas Ciaurriz

publicado el 9 julio 2009

Categorías: Abogados LOPD / Agencia Proteccion Datos / LOPD / Normativa / p2p / Protección de Datos / Resoluciones

La Agencia de Protección de Datos, ha imputado recientemente al servicio de salud Canario la falta de diligencia en el tratamiento de los datos de carácter personal de algunos de sus pacientes referidos al diagnóstico de su salud mental. Los hechos fueron puestos de manifiesto por la Policía Local de Ourense (un día tendremos que hacer mención a este cuerpo de polícia local por ser uno de los más activos en denunciar este tipo de actividades) a través a su vez de la denuncia que realizó un usuario de emule.

En concreto y para lo que nos pueda interesar, dichos datos se referían a diagnósticos médicos, calificados por el art. 4.3 del RD 994/1998 de 11 de junio (aplicable en este caso ya que los hechos se produjeron el 16.7.2007) como “nivel de protección alto” que obligaba (ver artículos 23 a 26 de dicho Reglamento) a observar concretas medidas de seguridad en el tratamiento y custodia de ficheros de datos personales. Dicho deber de cuidado se vulneró desde el momento en el cual un empleado del servicio canario de salud volcó el fichero (que le fue facilitado por otro cargo perteneciente al centro y vinculado a su vez a la red de salud pública de Tenerife) donde se almacenaban los datos de carácter personal incluidos los diagnósticos de salud mental de al menos 40 de sus pacientes en un pen drive. El fichero fue utilizado (e incluso mejorado por el profesional) en el ordenador de su domicilio que de modo “no consciente” se “salvó” en la carpeta de archivos compartidos de su pc. Al tener instalado el programa de emule en su ordenador, el fichero se “colgó” accidentalmente en la red vulnerando tal y como se dicta en la resolución, el principio de seguridad de los datos de carácter personal así como el deber de custodia contenidos en los artículos 9 y 10 de la LOPD.

La resolución, imputa la infracción al servicio público de salud canario y en concreto por ser personal estatutario de los Servicios Públicos de Salud y que por lo tanto realiza su trabajo “bajo la organización y dirección de los mismos (…)” y con los “instrumentos” que dichos servicios le facilita. Tales infracciones tipificadas como graves y muy graves en los art, 44.3 h) y 44.4.g) de la LOPD han tenido como consecuencia la notificación de dicha infracción al servicio de salud canario y a la consejería de sanidad del gobierno de canarias así como “el requerimiento al servicio de salud canario las medidas de orden interno que impidan en el futuro que pueda producirse una nueva infracción de dichos artículos” (ver art. 28 del antiguo Reglamento). Infracción que en caso de haber cometido un servicio de salud privado en la actualidad hubiera ascendido a una multa de 300.000€ en cumplimiento del art. 45.3 de la LOPD.

Marta Moreno & Jorge Campanillas