jueves, 11 de marzo de 2010

ERRORES HUMANOS Y ACTOS ACCIDENTALES EN PROTECCIÓN DE DATOS

Los hechos fortuitos o accidentales y la actuación del personal de las empresas están detrás de un importante porcentaje de infracciones de la normativa de protección de datos. Ya no es suficiente que la empresa o el titular de los ficheros cumpla con la Ley Orgánica de Protección de Datos, sino que debe valorar los riesgos a los que su organización está sometida y adoptar las medidas necesarias para minimizarlos. En el caso de los trabajadores, evitar una conducta maliciosa puede ser muy complicado aunque sí tener los registros necesarios para poder demostrar su actuación, pero cuando se trata de prevenir errores o conductas accidentales es importante ofrecer toda la información y la formación necesaria de manera que cada trabajador conozca cuáles son sus obligaciones y responsabilidades.

Traigo a colación este tema porque recientemente la Audiencia Nacional ha ratificado una resolución de la Agencia Española de Protección de Datos en la que sancionaba al Servicio Cántabro de Salud por difundir datos personales de casi dos mil pacientes a través de Internet. En concreto se trata de un caso en el que se constató la existencia de un archivo accesible desde el programa Emule, que contenía datos de filiación de pacientes y ciertos datos de salud de los mismos. Dicha resolución fue recurrida por el Servicio Cántabro de Salud alegando, entre otros motivos, que la infracción pudo haber sido cometida por el personal que tenía acceso a las historias clínicas que sería quien habría infringido la observancia del deber de secreto. Es lógico pensar que efectivamente fue alguno de los trabajadores quien instaló el Emule en su ordenador y quien, probablemente de manera accidental, subió a este programa el archivo que contenía los datos de carácter personal de los pacientes. Sin embargo, manifiesta la Audiencia Nacional que si bien es posible que haya sido un trabajador quien haya realizado esta divulgación de datos a través de Internet, esto no deja sin efecto que el titular del fichero era el Servicio Cántabro de Salud y como responsable del mismo es a quien corresponde el cumplimiento de las medidas de seguridad, no sólo su aprobación sino su aplicación real y efectiva.

A pesar de que probablemente estamos un hecho accidental cometido por un trabajador, no se trata de un hecho aislado puesto que existen más resoluciones de la Agencia Española de Protección de Datos en las que se sanciona la aparición en Internet de archivos con datos de pacientes.

A modo de ejemplo mencionaremos dos resoluciones de la Agencia en la que se sancionó esta conducta. En concreto, el año pasado la Agencia impuso una multa de 6.000 euros a un médico nutricionista del que se encontró un archivo en Emule con datos de más de 500 pacientes. En el año 2008, en un caso similar se impuso una multa de 150.000 euros a una Clínica ginecológica privada después de verificar que desde el Emule se podía acceder a un fichero con los datos de las historias clínicas de sus pacientes.

Por tanto, el cumplimiento de las medidas de seguridad establecidas en el Reglamento que desarrolla la LOPD son importantes, pero de nada sirven si las mismas no son conocidas por el personal o si no se elaboran protocolos internos por los que los trabajadores conozcan sus obligaciones y responsabilidades. De este modo se reducirán los riesgos de actuaciones accidentales por parte de los trabajadores. Para las actuaciones malintencionadas, así como para aquéllas realizadas por error o accidente a pesar de los medios puestos por la empresa, sólo nos queda tener un buen seguro.


Publicado en Redacción Médica el jueves 11 de marzo de 2010. Número 1189. Año VI.

No hay comentarios: