RESOLUCIÓN: R/00340/2009

Transcripción

1 1/15 Procedimiento Nº AP/00053/2008 RESOLUCIÓN: R/00340/2009 En el procedimiento de Declaración de Infracción de Administraciones Públicas AP/00053/2008, instruido por la Agencia Española de Protección de Datos al SERVICIO CÁNTABRO DE SALUD, vista la denuncia presentada por el CONCELLO DE OURENSE - POLICIA LOCAL, y en base a los siguientes, ANTECEDENTES PRIMERO: Con fechas 6 de octubre y 14 de noviembre de 2006 se recibe en el registro de la Agencia Española de Protección de Datos escritos de la Policía Local de Ourense donde se pone de manifiesto la publicación, a través de Internet, de un fichero denominado MIERA-MIRONES-LACAVADA.mdb, de fecha 4 de octubre de 2006, que contiene datos de 1748 pacientes de dos cupos médicos de localidades ubicadas en Cantabria. La Policía Local de Ourense ha remitido a la Agencia el fichero descrito el cual contiene datos de apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, un dato de salud asociado. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: a) Tal y como consta en la documentación remitida por la Consejería de sanidad y Servicios Sociales del Gobierno de Cantabria, Servicio Cantabro de Salud con fecha de registro de entrada a esta Agencia 5 de febrero de 2007: 1. Los cupos médicos que figuran en el fichero remitido por la Policía Local de Ourense corresponden a dos facultativos que prestan sus servicios en el Centro de Salud de Miera y en los consultorios de Miera, Mirones y Riotuerto, todos ellos ubicados en localidades de Cantabria y dependientes de la Zona Básica de Salud de Miera. 2. El Sistema de Información donde se recogen datos de pacientes y facultativos de la Zona Básica de Salud de Miera se encuentra ubicado en el Centro de Salud de Miera. b) Tal y como consta en el Acta de Inspección E/1161/2006-I/1/2007 realizada en el Centro de Salud de Miera en fecha 5 de julio de 2007:

2 2/15 1 El representante del Centro de Salud de Miera manifiesta que los profesionales del citado Centro de Salud prestan sus servicios en el propio Centro y en tres consultorios ubicados en las localidades de La Cavada, La Cárcoba y Mirones. 2 El representante del Centro de Salud de Miera manifiesta que el contenido del fichero MIERA-MIRONES-LACAVADA.mdb no corresponde con ninguno de los listados estándares que proporcionan los Sistemas de Información instalados en el Centro, no obstante, los datos corresponden con pacientes y profesionales del Centro de Salud. Asimismo, manifiesta que el Sistema de Información donde se recogen los datos administrativos y de salud de los pacientes se encuentra ubicado en el propio Centro de Salud, teniendo acceso desde los Consultorios y desde los Servicios Centrales de la Gerencia de Atención Primaria de Santander-Laredo. También los profesionales que prestan sus servicios en los consultorios tienen acceso a esta información ya sea mediante un ordenador portátil o desde un puesto de trabajo ubicado en el consultorio. 3 No se han obtenido evidencias de la existencia del fichero MIERA-MIRONES- LACAVADA.mdb en los Sistemas de Información del Centro de Salud, ni en los Sistemas de Información de la Gerencia de Atención Primaria Santander- Laredo, accesible a través a través de la red de comunicaciones del Servicio Cántabro de Salud. Asimismo, no se han obtenido evidencias de la existencia del directorio emule en los ordenadores de los consultorios ubicados en La Cavada, La Cárcoba y Mirones, ni en el servidor utilizado por la Gerencia de Atención Primaria Santander-Laredo. El programa informático emule. figura como el software que ha permitido la publicación en Internet del fichero MIERA-MIRONES- LACAVADA.mdb en la documentación remitida por la Policía Local de Ourense. 4 Se ha constatado que nombres y apellidos que se encuentran en el fichero MIERA-MIRONES-LACAVADA.mdb se encuentran registrados como pacientes en el Sistema de Información ubicado en el Centro de Salud de Miera. TERCERO: Con fecha 19 de septiembre de 2008, el Director de la Agencia Española de Protección de Datos acordó iniciar procedimiento de declaración de infracción de Administraciones Públicas al Servicio Cántabro de Salud por las presuntas infracciones de los artículos 9 y 10 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificadas como grave y muy grave en el artículo 44.3.h) y 44.4.g) de la citada Ley Orgánica. CUARTO: Notificado el citado acuerdo de inicio de procedimiento de declaración de infracción de Administraciones Públicas, en fecha 10/10/2008, el Servicio Cántabro de Salud presentó escrito de alegaciones en el que, en síntesis, manifestaba que:

3 3/15 << En cualquier caso, tanto sí el fichero incluye datos sanitarios como únicamente identificativos, cabe hacer referencia al Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, actualmente derogado por el Real Decreto 1720/2007, de 21 de diciembre, pero vigente en la fecha en la que se produjeron hechos y que establece las medidas de índole técnica y organizativa que deben tener los ficheros automatizados, diferenciando tres niveles de seguridad. De acuerdo con el artículo 4 del Real Decreto 994/1999, los datos de carácter personal incluidos en la copia del fichero adjunta al Acta de Inspección E/1 161/2006-1/2007 exigen la adopción de las medidas de seguridad calificadas como de nivel básico, puesto que se trata de datos de carácter identificativo. Si, por el contrario, el fichero contiene datos relativos a la salud, requerirá medidas de nivel alto, descritas en el Capitulo IV del Real Decreto 994/1999 (artículos 23 a 26) y que incluyen, además de las correspondientes a los niveles inferiores, otras establecidas en atención a la especial relevancia de estos datos por su proximidad con la esfera intima de la persona y que pueden resumirse en registro y control de accesos; almacenamiento de copias de seguridad y utilización de mecanismos de encriptación y cifrado de los datos. En definitiva, el principio general de seguridad de los datos recogido en el artículo 9 de la Ley de Protección de Datos de Carácter Personal se concreta en la obligación de adoptar las medidas de índole técnica u organizativa que garantice aquella. De tal modo, que únicamente cabe entender vulnerado el artículo 9 en el supuesto de que quede acreditado que el responsable del fichero no adoptó las medidas de seguridad oportunas o. habiéndolas adoptado, éstas fallaron En este sentido, el hecho de la aparición en Internet del fichero MIERA- MIRONES-LACAVADA.mdb no prueba por si mismo que el Servicio Cantabro de Salud no adoptara las preceptivas medidas de seguridad ni el fracaso de las adoptadas ( ) Por tanto, ni siquiera de modo indiciario ha quedado probado que la publicación en Internet del fichero MIERA-MIRCNES-LACAVADA.mdb haya sido posible por un fallo de la seguridad de los ficheros del Servicio Cántabro de Salud. No se discute que los datos se corresponden, en efecto, con los de pacientes registrados en el sistema de información del Centro de Salud, sin embargo, resulta igualmente indiscutible que dicho fichero no se corresponde con ninguno de los listados estándares que proporciona el sistema de información del Centro de Salud ni se ha detectado fallo en los sistemas de seguridad. En cuanto al modo en el que se obtuvieron los datos, se deduce la posibilidad de que se haya producido un actuar ilícito de algún usuario del sistema ( ) En este sentido, la presunción de inocencia, garantizada por el articulo 24 de la Constitución ( ) SEGUNDA.- Por otra parte, se imputa vulneración de lo dispuesto en el articulo 10 de la Ley Orgánica 15/1999 ( )

4 4/15 Así, la infracción del deber de secreto se imputa al Servicio Cántabro de Salud como una consecuencia de la supuesta infracción del deber de seguridad de los datos. Teniendo en cuenta que, de acuerdo con la argumentación anterior, no ha quedado acreditada la existencia de fallos en las medidas de seguridad de los ficheros gestionados >> QUINTO: Con fecha 21/11/2008, se acordó por el Instructor del procedimiento la apertura de un período de práctica de pruebas, teniéndose por incorporadas las actuaciones previas de investigación, E/01161/2006, así como la documental aportada por Servicio Cántabro de Salud. Solicitada información a dicho Servicio el mismo comunica: << Atendiendo al requerimiento, mediante el presente escrito y dentro del plazo concedido al efecto, se informa de lo siguiente: ( ) Los equipos informáticos (PCs) del Centro de Salud de Miera: Permiten grabar información en diskettes. No permiten grabar información en CDs. No permiten grabar información en DVDs. Permiten grabar información en pen-drives. Permiten imprimir documentos (disponen de impresoras en las consulta). Todo lo cual es necesario para el ejercicio habitual de la actividad médica. Los profesionales del C.S. de Miera disponen de una cuenta de correo individual y personal para el ejercicio habitual de su actividad. En el Centro existe una fotocopiadora para uso del personal en relación con su trabajo. ( ) En los días sucesivos a la inspección se realizó una investigación interna, en la que se analizaron todos los PCs de los profesionales del C.S. de Miera, no obteniéndose ninguna evidencia de que la información encontrada por La Policía Local de Orense hubiese salido de un dispositivo del centro. Por otro lado, se mantuvieron diversas charlas y sesiones de formación en relación con la LOPD y el RLOPD con todo el personal del Centro de Salud...>> SÉXTO: Con fecha 19 de enero de 2009, la Instructora del procedimiento emitió Propuesta de Resolución, en el sentido de que por el Director de la Agencia Española de Protección de Datos se declare que el Servicio Cantabro de Salud ha infringido lo dispuesto en los artículos 9 y 10 de la LOPD, lo que supone dos infracciones tipificadas como grave y muy grave en el artículos 44.3.h) y 44.4.g) de la citada norma, así como que se requiera la adopción de las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción de los artículo 9 y 10 de la mencionada Ley.

5 5/15 SÉPTIMO: Con fecha 13/02/09 tiene entrada en esta Agencia, escrito del Servicio Cantabro de Salud ratificándose en sus manifestaciones. HECHOS PROBADOS PRIMERO: Con fechas 6 de octubre y 14 de noviembre de 2006 se recibe en el registro de la Agencia Española de Protección de Datos escritos de la Policía Local de Ourense donde se pone de manifiesto la publicación, a través de Internet, de un fichero denominado MIERA-MIRONES-LACAVADA.mdb, de fecha 4 de octubre de 2006, que contiene datos de 1748 pacientes de dos cupos médicos de localidades ubicadas en Cantabria. La Policía Local de Ourense ha remitido a la Agencia el fichero descrito el cual contiene datos de apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, datos de salud asociados tales como hipertensión, diabetes etc. (folios 1 a 5 y del 51 a 68). SEGUNDO: De acuerdo con la información aportada por el Servicio Cantabro de Salud, los cupos médicos que figuran en el fichero remitido por la Policía Local de Ourense corresponden a dos facultativos que prestan sus servicios en el Centro de Salud de Miera y en los consultorios de Miera, Mirones y Riotuerto, todos ellos ubicados en localidades de Cantabria y dependientes de la Zona Básica de Salud de Miera. TERCERO: El Sistema de Información donde se recogen datos de pacientes y facultativos de la Zona Básica de Salud de Miera se encuentra ubicado en el Centro de Salud de Miera. CUARTO: El representante del Centro de Salud de Miera ha manifestado que los profesionales del citado Centro de Salud prestan sus servicios en el propio Centro y en tres consultorios ubicados en las localidades de La Cavada, La Cárcoba y Mirones. QUINTO: El representante del Centro de Salud de Miera ha manifestado que el contenido del fichero MIERA-MIRONES-LACAVADA.mdb no corresponde con ninguno de los listados estándares que proporcionan los Sistemas de Información instalados en el Centro, no obstante, los datos corresponden con pacientes y profesionales del Centro de Salud. Asimismo, manifiesta que el Sistema de Información donde se recogen los datos administrativos y de salud de los pacientes se encuentra ubicado en el propio Centro de Salud, teniendo acceso desde los Consultorios y desde los Servicios

6 6/15 Centrales de la Gerencia de Atención Primaria de Santander-Laredo. También los profesionales que prestan sus servicios en los consultorios tienen acceso a esta información ya sea mediante un ordenador portátil o desde un puesto de trabajo ubicado en el consultorio. SEXTO: No se han obtenido evidencias de la existencia del fichero MIERA- MIRONES-LACAVADA.mdb en los Sistemas de Información del Centro de Salud, ni en los Sistemas de Información de la Gerencia de Atención Primaria Santander- Laredo, accesible a través a través de la red de comunicaciones del Servicio Cántabro de Salud. Asimismo, no se han obtenido evidencias de la existencia del directorio emule en los ordenadores de los consultorios ubicados en La Cavada, La Cárcoba y Mirones, ni en el servidor utilizado por la Gerencia de Atención Primaria Santander-Laredo. El programa informático emule. figura como el software que ha permitido la publicación en Internet del fichero MIERA-MIRONES-LACAVADA.mdb en la documentación remitida por la Policía Local de Ourense (folios 25 a 43). SÉPTIMO: Se ha constatado que nombres y apellidos que se encuentran en el fichero MIERA-MIRONES-LACAVADA.mdb se encuentran registrados como pacientes en el Sistema de Información ubicado en el Centro de Salud de Miera (folios26 y del 44 al 49). OCTAVO: Con fecha 5 de diciembre de 2008, el Servicio Cantabro de Salud comunica que: << Los equipos informáticos (PCs) del Centro de Salud de Miera: Permiten grabar información en diskettes. No permiten grabar información en CDs. No permiten grabar información en DVDs. Permiten grabar información en pen-drives >> (folio 108) FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II Procede en primer lugar analizar la alegación del Servicio Cantabro de Salud en el sentido siguiente: << En cuanto al modo en el que se obtuvieron los datos, se deduce la posibilidad de que se haya producido un actuar ilícito de algún usuario del

7 7/15 sistema que, teniendo acceso a los datos en atención a su función, ha realizado un uso indebido del conocimiento de los mismos. De acuerdo con el artículo de la Ley 30/1 992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia. Así, en tal supuesto, el sujeto responsable seria el trabajador del centro, sometido al deber de secreto profesional y no el Servicio de Salud, que en ningún caso ha cedido datos a un tercero ni existe evidencias de que los haya situado a su alcance.>> No pueden ser tenidas en cuenta la citada alegación del Servicio Cantabro de Salud, en el sentido de que el responsable de la infracción sería algún trabajador, por cuanto los mismos tendrán suscrito un Contrato de Trabajo Ordinario por Tiempo Indefinido regulado por el Testo Refundido de la Ley del Estatuto de los Trabajadores, aprobado por Real Decreto Legislativo 1/1995, de 24 de marzo el cual establece al regular el ámbito de aplicación en su artículo 1 lo siguiente: La presente Ley será de aplicación a los trabajadores que voluntariamente presten sus servicios retribuidos por cuenta ajena y dentro del ámbito de organización y dirección de otra persona, física o jurídica, denominada empleador o empresario. A los efectos de esta Ley, serán empresarios todas las personas, físicas o jurídicas, o comunidades de bienes que reciban la prestación de servicios de las personas referidas en el apartado anterior, así como de las personas contratadas para ser cedidas a empresas usuarias por empresas de trabajo temporal legalmente constituidas. Por todo ello procede ratificar que los trabajadores de acuerdo con el tipo de contrato suscrito realiza su trabajo bajo la organización y dirección de su empresa y que ésta es la responsable de la dirección y organización de los servicios que realizan sus trabajadores así como del tratamiento de datos de los listados de sus pacientes o clientes que dichos trabajadores utilizan como instrumentos de trabajos para dichas prestaciones laborales. Por todo ello procede imputar la presunta infracción a la empresa y nunca a sus trabajadores por cuenta ajena. El artículo 9 de la LOPD, dispone: III 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y

8 8/15 programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley. El citado artículo 9 de la LOPD establece el principio de seguridad de los datos imponiendo la obligación de adoptar las medidas de índole técnica y organizativa que garanticen aquella, añadiendo que tales medidas tienen como finalidad evitar, entre otros aspectos, el acceso no autorizado por parte de terceros. Para poder delimitar cuáles son los accesos que la LOPD pretende evitar exigiendo las pertinentes medidas de seguridad, es preciso acudir a las definiciones de fichero y tratamiento contenidas en la LOPD. En lo que respecta a los ficheros el artículo 3.a) los define como todo conjunto organizado de datos de carácter personal con independencia de la modalidad de acceso al mismo. Por su parte, la letra c) del mismo artículo 3 permite considerar tratamiento de datos cualquier operación o procedimiento técnico que permita, en lo que se refiere al objeto del presente expediente, la conservación o consulta de los datos personales tanto si las operaciones o procedimientos de acceso a los datos son automatizados como si no lo son. Para completar el sistema de protección en lo que a la seguridad afecta, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros...que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Sintetizando las previsiones legales puede afirmarse que: a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso la conservación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD. b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD. c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo detalle se refiere a normas reglamentarias, que eviten accesos no autorizados. d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción tipificada como grave. Partiendo de tales premisas deben analizarse a continuación las previsiones que el Real Decreto 994/1998, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, que continuaba en vigor, en el momento de producción de la infracción, de

9 9/15 acuerdo con lo estipulado en la disposición transitoria tercera de la LOPD, prevé para garantizar que no se produzcan accesos no autorizados a los ficheros. El artículo 2.10 del citado Reglamento de Seguridad considera soporte al objeto físico susceptible de ser tratado en su sistema de información sobre el cual se pueden grabar o recuperar datos. El precepto no distingue entre soportes informáticos o no, sino que resulta omnicomprensivo de todos ellos en congruencia con los preceptos de la LOPD ya expuestos, que tratan de evitar accesos no autorizados a los datos cualquiera que sea el procedimiento u operación para llevarlo a cabo. El artículo 4.3 del Reglamento prevé que los ficheros que contengan datos de salud, deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto. Esta previsión resulta aplicable en el presente caso, por cuanto la estructura de los ficheros del Servicio Cantabro de Salud referidos a los pacientes, está diseñada para recoger datos de salud. Por tanto, resultarían aplicables las medidas de seguridad de nivel alto reguladas en el Capítulo IV del citado Reglamento de medidas de seguridad, además de las establecidas en los artículos 8 a 22 del mismo relativas a los niveles básico y medio. El artículo 8 de dicho Reglamento de seguridad establece: 1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. 2. El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. c) Funciones y obligaciones del personal. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos. 3. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. 4. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal. Los artículos 23 al 26 del citado Reglamento de Seguridad concreta las medidas de seguridad de nivel alto, como el cifrado de los datos para la distribución de los soportes y su transmisión a través de redes de telecomunicaciones, el registro de accesos y la conservación de copias de respaldo y recuperación en lugar diferente en que se encuentren los equipos informáticos que tratan los datos. El Servicio Cantabro de Salud estaba obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para los ficheros de la

10 10/15 naturaleza indicada, y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales ficheros por parte de terceros. Sin embargo, ha quedado acreditado que datos de salud de pacientes del Servicio Cantabro de Salud, salieron indebidamente del mismo por lo que incumplió esta obligación. El Servicio Cantabro de Salud alega que pone, entre otros, a disposición de sus profesionales, usuarios de su sistema de información, una cuenta de correo electrónico y acceso a Internet para uso profesional. Aunque en la documentación obrante en el expediente no consta como salieron los datos de sus pacientes a Internet. El Servicio Cantabro de Salud a la vista de los hechos producidos y como responsable de dichos datos de salud ha debido averiguar como se produjeron los mismos y las medidas que tiene que tomar para que dichos hechos no vuelvan a producirse, es decir que los datos de salud de sus pacientes no puedan ser incorporados a ordenadores personales de ninguna persona, preste o no servicios en dicho Servicio Cantabro de Salud. El artículo 44.3.h) de la LOPD, considera infracción grave: IV Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. De acuerdo con la disposición transitoria tercera de la LOPD, hasta tanto se lleven a efecto las previsiones de la Disposición Final Primera de esta Ley, continuarán en vigor, con su propio rango, las normas reglamentarias existentes y, en especial, los Reales Decretos 428/1993, de 26 de marzo, 1332/1994, de 20 de junio y 994/1999, de 11 de junio, en cuanto no se opongan a la presente Ley. Dado que ha existido vulneración del principio de seguridad de los datos, se considera que el Servicio Cantabro de Salud ha incurrido en la infracción grave descrita. V Asimismo, el presente procedimiento tiene por objeto determinar las responsabilidades que se derivan de la revelación de los datos contenidos en los ficheros del Servicio Cantabro de Salud, que permanecieron accesibles para terceros a través de la red Internet. El artículo 10 de la LOPD dispone: El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. El deber de confidencialidad obliga no sólo al responsable del fichero sino a todo aquel que intervenga en cualquier fase del tratamiento.

11 11/15 Este deber de secreto comporta que el responsable de los datos almacenados no pueda revelar ni dar a conocer su contenido teniendo el deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Este deber es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática, a que se refiere la Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, y, por lo que ahora interesa, comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en eso consiste precisamente el secreto. Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de derechos fundamentales, como la intimidad o el derecho a la protección de los datos que recoge el artículo 18.4 de la Constitución Española. En efecto, este precepto contiene un instituto de garantía de los derechos de los ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos (Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre). Este derecho fundamental a la protección de datos persigue garantizar a esa persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar su vida privada de una publicidad no querida. En el caso que nos ocupa, ha quedado acreditado que, empleando el programa emule, se podía acceder sin restricción a través de Internet al fichero denominado MIERA-MIRONES-LACAVADA.mdb, que contiene datos de 1748 pacientes de dos cupos médicos de localidades ubicadas en Cantabria, del Servicio Cantabro de Salud. El citado fichero contiene datos de apellidos y nombre, fecha de nacimiento, domicilio, teléfono, sexo, y, en algún caso, datos de salud asociados tales como hipertensión, diabetes etc. Por tanto, queda acreditado que por parte del Servicio Cantabro de Salud, responsable de la custodia de los datos en cuestión, se vulneró el deber de secreto garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido a datos personales sin consentimiento de sus titulares. El artículo 44.4.g) de la LOPD califica como infracción muy grave: VI La vulneración del deber de guardar secreto sobre los datos de carácter personal a que hacen referencia los apartados 2 y 3 del artículo 7, así como los que hayan sido recabados para fines policiales sin consentimiento de las personas afectadas.

12 12/15 En el presente caso, ha quedado acreditado que los datos personales que se pusieron a disposición de terceros no autorizados, a través de una red de intercambio de ficheros cliente a cliente, y que carecían de la implantación efectiva de las medias de seguridad, se trataba de datos especialmente protegidos, según dispone el artículo 7.3 de la LOPD. Dada la incidencia especial de datos de salud, como datos sensibles, se establece una regulación más exhaustiva en los que se refiere a los deberes de seguridad que deben regir el tratamiento de tales datos y se cualifica la tipificación de las infracciones relacionadas con el deber de secreto. Esta cuestión ha sido especialmente analizada por el Grupo de Autoridades de Protección de datos creado por el artículo 29 de la Directiva 95/46/CE, del Parlamento y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. El referido Grupo de Autoridades, en su documento de trabajo sobre el tratamiento de datos personales relativos a la salud en los historiales médicos electrónicos (HME), reconoce que el perjuicio a la esfera más íntima de la persona, que implica el tratamiento de los datos relacionados con la salud, puede ser variable atendiendo a la naturaleza de los datos sometidos específicamente a tratamiento. Así se concreta que A la vista del potencial del perjuicio variable que revisten los distintos tipos de información sobre la salud, deberían establecerse categorías de utilización con distintos grados de posibilidad de ejercer la autodeterminación: Las disposiciones jurídicas que introducen un sistema de HME debe establecer por norma general el consentimiento previo del paciente para la introducción de los datos en un HME o el acceso a tales datos (especialmente por lo que respecta al tratamiento de datos susceptibles de utilizarse de forma perjudicial, como por ejemplo datos psiquiátricos, datos sobre abortos, etc.), y prever la posibilidad de denegación por lo que respecta a datos menos íntimos. Esto podría garantizar el nivel de protección necesaria por una parte, y la viabilidad y flexibilidad necesarias por otra. En consecuencia, al responsable del tratamiento de datos de salud debe exigírsele una diligencia específica para asegurar que dicho tratamiento cumple con los principios y garantías exigidos en la LOPD. En el presente caso, teniendo en cuenta que los datos recogidos en el citado fichero que salió a Internet, se refieren a sus pacientes y a datos de salud de estos, que conforme dispone el artículo 7.3. de la LOPD, son datos especialmente protegidos, ha de calificarse la vulneración del artículo 10 por parte del Servicio Cantabro de Salud como infracción muy grave, por cuanto dicho fichero fue alimentado con los datos obrantes en los ficheros del Servicio Cantabro de Salud y referidos a sus pacientes. VII El principio de culpabilidad es exigido en el procedimiento sancionador y así la STC 246/1991 considera inadmisible en el ámbito del Derecho administrativo sancionador una responsabilidad sin culpa. Pero el principio de culpa no implica que sólo pueda sancionarse una actuación intencionada y a este respecto el artículo de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones

13 13/15 Públicas y del Procedimiento Administrativo Común, dispone sólo podrán ser sancionadas por hechos constitutivos de infracción administrativa las personas físicas y jurídicas que resulten responsables de los mismos aun a título de simple inobservancia. El Tribunal Supremo (STS 16 de abril de 1991 y STS 22 de abril de 1991) considera que del elemento culpabilista se desprende que la acción u omisión, calificada de infracción sancionable administrativamente, ha de ser, en todo caso, imputable a su autor, por dolo o imprudencia, negligencia o ignorancia inexcusable. El mismo Tribunal razona que no basta...para la exculpación frente a un comportamiento típicamente antijurídico la invocación de la ausencia de culpa sino que es preciso que se ha empleado la diligencia que era exigible por quien aduce su inexistencia. (STS 23 de enero de 1998). A mayor abundamiento, la Audiencia Nacional en materia de protección de datos de carácter personal, ha declarado que basta la simple negligencia o incumplimiento de los deberes que la Ley impone a las personas responsables de ficheros o del tratamiento de datos de extremar la diligencia... (SAN 29de junio de 2001). Por tanto, de acuerdo con lo señalado en los Fundamentos de Derecho anteriores, ha quedado probado que la difusión de los datos personales de los pacientes del imputado a través de la red, constituía una base fáctica para fundamentar la imputación de las infracciones de los artículos 9 y 10 de la LOPD. No obstante, nos encontramos ante un supuesto, de concurso medial, en el que un mismo hecho deriva en dos infracciones dándose la circunstancia que la comisión de una, implica necesariamente la comisión de la otra. Esto es, si un tercero tiene acceso a un documento que contiene información sobre datos personales de sus pacientes, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto profesional. Por lo tanto, aplicando el artículo 4.4 del Real Decreto 1398/1993, por el que se aprueba el Reglamento del Procedimiento para el ejercicio de la potestad sancionadora que establece En defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida, procede subsumir ambas infracciones en una. Dado que, en este caso, una está tipificada como infracción grave y otra como muy grave, se considera que procede imputar únicamente la infracción muy grave del artículo 10 de la LOPD. VIII Por otro lado, el artículo 49 de la LOPD señala: En los supuestos, constitutivos de infracción muy grave, de utilización o cesión ilícita de los datos de carácter personal en que se impida gravemente o se atente de igual modo contra el

14 14/15 ejercicio de los derechos de los ciudadanos y el libre desarrollo de la personalidad que la Constitución y las leyes garantizan, el Director de la Agencia Española de Protección de Datos podrá, además de ejercer la potestad sancionadora, requerir a los responsables de ficheros automatizados de datos de carácter personal, tanto de titularidad pública como privada, la cesación en la utilización o cesión ilícita de los datos. Si el requerimiento fuera desatendido la Agencia Española de Protección de Datos podrá., mediante resolución motivada, inmovilizar tales ficheros automatizados a los solos efectos de restaurar los derechos de las personas afectadas. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: DECLARAR que el SERVICIO CÁNTABRO DE SALUD ha infringido lo dispuesto en el artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de de la citada Ley Orgánica. SEGUNDO: REQUERIR al SERVICIO CÁNTABRO DE SALUD, para que adopte las medidas de orden interno que impidan que en el futuro pueda producirse una nueva infracción del artículo 10 de la LOPD. Las resoluciones que recaigan en relación con las medidas y actuaciones adoptadas, deberán ser comunicadas a esta Agencia Española de Protección de Datos, de acuerdo con el artículo 46.3 de la LOPD. La citada comunicación deberá realizarse en el plazo de un mes. TERCERO: NOTIFICAR la presente resolución al SERVICIO CÁNTABRO DE SALUD, al CONCELLO DE OURENSE - POLICIA LOCAL y a la CONSEJERIA DE SANIDAD Y SERVICIOS SOCIALES DEL GOBIERNO DE CANTABRIA. CUARTO: COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de conformidad con lo establecido en el artículo 46.4 de la LOPD. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, se podrá interponer potestativamente recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-

15 15/15 administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa (en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 24 de febrero de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte