Sanción por fax sin cifrar

Protección de datos. Sanción por fax sin cifrar

¿Qué trata este artículo?

Qué ocurrió cuando un centro médico, privado, envió, con datos médicos y a una aseguradora, un fax sin cifrar o encriptar. La sanción final fue de 3.000 euros (aunque inicialmente se planteó de 6.000, y pudo haber sido de 60.000 a 300.000. La sanción fue impuesta por la Agencia Española de Protección de Datos al entender que se incumplió la LOPD (Ley 15/99, Orgánica, de Protección de Datos de Carácter Personal).

Detalles del caso

En julio de 2009, entra en la Agencia Española de Protección de Datos denuncia de una paciente de un centro médico. Acudió a dicho centro a fin de realizarse unas pruebas médicas, y dichos gastos los cubría la cobertura de su seguro médico. Pues bien, como es habitual, cuando dicho centro consideró que había que llevar a cabo determinada intervernción quirúrgica, y dado que ésta la abonaría la aseguradora, tuvo previamente que informar a la ésta de dicha intención, a fin de que la misma, una vez diese el visto bueno, se procediese a ello (ya que en caso contrario no se abonarían los gastos de la intervención). Detalle final, que además fue determinante a la hora de la sanción: El centro médico remitió, por fax, a dicha aseguradora, los datos médicos de la paciente que se supone justificaban la intervención.

¿Qué dicen la LOPD y su reglamento?

El artículo 9 de la LOPD, que trata sobre el denominado principio de seguridad de los datos dispone lo siguiente:

1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.””

Por otro lado (en una apurada síntesis y a fin de no cansar al lector con otros aspectos legales, basamento realmente de lo que expondremos a continuación), el RLOPD (o Reglamento de desarrollo de la LOPD, Real Decreto 1720/2007, cuando habla de las medidas de seguridad, más específicamente, de las aplicables a los ficheros de nivel alto (y no olvidemos que los datos de salud lo son), establece en su artículo 104º lo siguiente:

“Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.”

¿Qué dijo la Agencia Española de Protección de Datos?

Consideró que había duda de que el informe remitido a la compañía aseguradora contenía datos personales relativos a la salud de la denunciante y que se envió por medio de fax. Este procedimiento no permite “”garantizar que la información no sea inteligible ni manipulada por terceros””, tal como expresa el artículo 104 del Reglamento de la LOPD, lo que lleva a la conclusión de que las medidas de seguridad no evitaban el acceso de personas no autorizadas a los datos de carácter personal relacionados con la salud.

También expuso que el centro después sancionado no ha presentado con las alegaciones al acuerdo de inicio, un documento en el que la compañía aseguradora manifiesta que “”el fax al que remiten los informes de nuestros asegurados es un medio de recepción seguro en la medida que garantiza la confidencialidad de los datos remitidos””. Estas afirmaciones no habilitan el medio de envío utilizado en este caso como adecuado. El fax no es un medio apropiado para la transmisión de información conteniendo datos de salud. Con su utilización se incumple una medida de seguridad prevista en la normativa de protección de datos. En este caso no se ha imputado una infracción por acceso de personas no autorizadas a los datos personales de la denunciante lo que supondría una infracción por vulneración del deber de secreto, sino que se plantea una infracción de medidas de seguridad que es una infracción de actividad.

El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes, tales como el especial valor del bien jurídico protegido, la profesionalidad exigible al infractor. En este sentido la Sentencia de 5 de junio de 1998 exige a los profesionales del sector “”… un deber de conocer especialmente las normas aplicables””.

En definitiva, el centro que ahora estudiamos, consideró la Agencia que no actuó con la diligencia debida al no adoptar las medidas de seguridad necesarias y suficientes para impedir el acceso a la información de carácter personal que contenían los documentos, por ello, debe considerarse que ha vulnerado la LOPD.

Aplicando la anterior doctrina, la Audiencia Nacional, en varias sentencias, entre otras las de fechas 14 de febrero y 20 de septiembre de 2002 y 13 de abril de 2005, exige a las entidades que operan en el mercado de datos personales una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o su cesión a terceros, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos, por lo que los depositarios de éstos deben ser especialmente diligentes y cuidadosos a la hora de realizar operaciones con los mismos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurídicos protegidos por la norma.

¿Qué criterios se aplicaron para graduar la sanción?

Por un lado, y según el artículo 44º3 h) de la LOPD, no respetar las medidas de seguridad aplicables al nivel de seguridad correspondiente al fichero de que se trate contituirá infracción grave.

A su vez, y con base en el 45º2, 4 de la LOPD, las infracciones graves se sancionarán con multas de 60.000 a 300.000 euros.

No obstante, no olvidemos que la sanción definitivamente impuesta no fue ni siquiera de 60.000 euros, debido ello a lo que dispone parte del artículo de la LOPD ahora aludido, y que transcribimos:

“4. La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate”.

En el caso ahora a analizar, se constató que no hubo acceso a dicha información por parte de terceros no autorizados, a la vez que era la primera vez, lo cual permitió a la Agencia concluir que se podría rebajar la sanción, quedando finalmente en “nada más” que 3.000 euros.

Conclusión: Datos médicos enviados por fax (o correo electrónico), sin cifrar o encriptar, nos arriesga a ser sancionados con multas de hasta 300.000 euros. En el presente caso, dado que sólo se demostró el envío de uno, fue la primera vez, y no accedió en cuanto al destinatario se refiere, sino las personas autorizadas, se rebajó la sanción hasta los 3.000.

Autor: Javier Hernández Martínez, abogado

Mail: javier@proteccionlegal.com

Web: www.proteccionlegal.com

Tlf.: 678.97.00.64

Se permite su uso y reproducción siempre y cuando se citen: Autor, mail y url, sin modificar su contenido, o en caso de citar parte de él, evitando distorsionar su sentido.

Bajo licencia Creative Commons: