RESOLUCIÓN: R/02116/2010

Transcripción

1 1/13 Procedimiento Nº PS/00353/2010 RESOLUCIÓN: R/02116/2010 En el procedimiento sancionador PS/00353/2010, instruido por la Agencia Española de Protección de Datos a la entidad CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL, vista la denuncia presentada por Dª. A.A.A. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 10 de julio de 2009 tiene entrada en esta Agencia un escrito de Dª. A.A.A. en el que declara: <<PRIMERO: Que en fecha 12 de febrero de 2009 a las 12:30h la afectada tuvo primera visita con el Dr. B.B.B. en la Clínica Sagrada Familia. En ésta el doctor insistió en que no podía diagnosticar nada sin una ecografía y que la paciente tenía que volver otro día. Al cabo de una semana, en fecha 19 de febrero a las 13:15 h, la paciente volvió a la misma consulta para dicha prueba, que realizó el mismo Doctor. Se desconoce porque no realizó la prueba en la primera visita. Con la ecografía el Dr. B.B.B. estimó la necesidad de intervención quirúrgica para extraer unas varices. SEGUNDO: A tal efecto, la afectada se puso en contacto con su compañía de seguros (del Grupo AXA), y ésta solicitó un informe del médico, afirmando porqué era necesaria la intervención y qué tipo de intervención era. Ante la solicitud de la compañía de seguros la afectada se puso en contacto con la consulta del Dr. B.B.B. y su secretaria afirmó que ella ya sabía que tenía que hacer, puesto que lo hacían muchas veces al día. TERCERO: La Secretaría del Dr. B.B.B. envió en un fax no encriptado el informe de la afectada con sus datos personales, esto es, datos referentes a su salud pasada y presente, siendo además algunos de los datos facilitados por fax totalmente irrelevantes para practicar la intervención deseada. CUARTO: Los datos de tipo médico están sujetos a las medidas de seguridad de nivel alto, esto es, requieren una protección adecuada a la importancia de los mismos, de acuerdo con la Ley 15/1999, y con el reglamento que regula las medidas de seguridad de nivel alto, el Real Decreto 994/1999. Este último obliga a que, en el caso de enviarse datos médicos usando medios de telecomunicación como el fax, éstos tienen que ser encriptados. Obviamente el envío por fax no puede ser encriptado. QUINTO: Con todo lo expuesto nos encontramos, pues, ante una actuación totalmente ilegal, puesto que se realizó el envío de datos médicos por el

2 mencionado medio de telecomunicación. El Dr. B.B.B. ha facilitado los datos sobre la salud de la afectada a la Compañía de Seguros de ésta, la Compañía AXA, mediante fax, esto es, permitiendo que toda persona tuviese acceso a la información privada de carácter sanitario de la propia asegurada. Únicamente debería haber entregado el informe médico con datos sanitarios a la paciente de manera personal y directa. La paciente es la que puede hacer uso de los mismos y ponerlos en conocimiento de la entidad y compañía que así se lo reclame. >> SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: De la información y documentación aportada por el CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL (en adelante CACVB), se desprende: a. Respecto de la identidad del responsable del tratamiento: El Sr. B.B.B., colegiado por el Colegio Oficial de Médicos de Barcelona, actúa en calidad de libre ejercicio, en el Centro de Angiología y Cirugía Vascular de Barcelona SL. Este centro presta su actividad en la Clínica Sagrada Familia en uno de los consultorios alquilados. Acredita dicha información mediante copia de las facturas emitidas por la Clínica citada, fechada entre el 5 de enero de 2009 y el 8 de abril de Continúa la entidad afirmando que no existe relación laboral con la Clínica Sagrada Familia, sino que el Sr. B.B.B. es socio fundador del Centro de Angiología y Cirugía Vascular de Barcelona SL, entidad a la que Dª A.A.A. acudió como paciente. Aporta copia de las escrituras de constitución de la entidad, fechada el 17/1/1996, de nombramiento del Sr. B.B.B. como administrador único de la sociedad, fechada el 4/4/2000. b. Manifiesta el CACVB respecto de la información facilitada a la aseguradora AXA: <<La Sra. A.A.A. acude al Centro de angiología y cirugía vascular de Barcelona como paciente asegurado por AXA WINTERTHUR SALUD SA. Con dicha compañía la paciente ha formalizado un contrato de seguro, de forma que se desprende claramente la vinculación entre la entidad, AXA WINTERTHUR SALUD SA, y los centros sanitarios a los que puede asistir el asegurado. Con lo cual, la Sra. A.A.A. conocía la vinculación entre ambos centros, y mediante la firma del contrato de seguro se entiende que consentía la comunicación o cesión de datos entre ambas entidades. Les remitimos copia del contrato formalizado entre AXA WINTERTHUR SALUD SA y CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL.>> c. Según informa la entidad:

3 3/13 <<El informe clínico detallado de Dª A.A.A. fue enviado a petición de los Servicios Médicos de AXA WINTERTHUR SALUD SA para autorizar o denegar la intervención quirúrgica. Esta es la operativa habitual entre las aseguradoras y los médicos que trabajan para ellas para autorizar o denegar la intervención o la prueba que se pida. En este caso fue necesario remitir un informe detallado, en el que se hacía constar los antecedentes médicos de la paciente ya que previamente se había sometido a una intervención de iguales características, y porque además padecía una enfermedad que comprometía la viabilidad de la intervención. La información que se facilitó a la compañía no era excesiva, teniendo en cuenta que debía autorizar una nueva intervención quirúrgica. >> d. Reconoce la entidad que el informe clínico fue enviado por fax el día 26 de febrero de 2009 a un número de titularidad de AXA WINTERTHUR SALUD SA, sin haber utilizado un fax cifrado para el envío de la documentación, pues en aquel momento el CACVB estaba en proceso de implantación de ésta medida. TERCERO: Con fecha 30 de junio de 2010, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador al CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL, por presunta infracción del artículo 9.1 de la Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como grave en el artículo 44.3.h) de dicha norma, pudiendo ser sancionada con multa de ,21 a ,05, de acuerdo con el artículo 45.2 de la citada Ley Orgánica. CUARTO: Notificado el acuerdo de inicio, el CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL formuló alegaciones, significando, que: Para el envío del fax no se utilizo un medio cifrado debido a que en aquél momento el Centro de Angiología y Cirugía Vascular de Barcelona estaba en proceso de implantación de ésta medida. Eso no quiere decir que no se hubieran adoptado medidas de seguridad adecuadas. (...) AXA WINTERTHUR SALUD SA, garantiza que para la recepción de los faxes se adoptan las medidas de seguridad necesarias para el tipo de datos que se están recepcionando. Concretamente, solo tienen acceso a los informes el personal de AXA WINTERTHUR SALUD SA que necesita dicha información para la realización de su trabajo habitual. El dispositivo fax con el que trabajan no es un Terminal clásico sino que se trata de un dispositivo rightfax, denominado Buzón Dirección Médica al que solo pueden acceder aquellos colaboradores de AXA WINTERTHUR SALUD a través de un perfil ya determinado por la entidad. Concluyen las alegaciones solicitando que se compruebe que todo aquello expresado con anterioridad responde a la realidad de los hechos acontecidos y en conclusión no conste la infracción que se imputa a Centro de Angiología y Cirugía Vascular de Barcelona.

4 QUINTO: Con fecha 10 de agosto de 2010 se inició el período de práctica de pruebas, acordándose practicar las siguientes: 1. Se dan por reproducidos a efectos probatorios la denuncia interpuesta por Dª. A.A.A. y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL, y el Informe de actuaciones previas de Inspección que forman parte del expediente E/02650/ Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio PS/00353/2010 presentadas por CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL, y la documentación que a ellas acompaña. SEXTO: Con fecha 21 de septiembre de 2010 se formuló propuesta de resolución, proponiendo la imposición de una sanción de al CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL, por la comisión de una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha Ley. De acuerdo con lo establecido en el artículo 19.1 del Real Decreto 1398/1993 de 4 de agosto, Reglamento del procedimiento para el ejercicio de la potestad sancionadora, en dicha propuesta de resolución se concedió un plazo de QUINCE DÍAS hábiles para que las partes interesadas en el procedimiento pudieran alegar cuanto considerasen para su defensa y presentasen los documentos e informaciones que estimasen pertinentes, así como se detallaba, en un anexo adjunto a esa propuesta de resolución, la relación de documentos obrantes en el procedimiento, a fin de que las partes interesadas en el procedimiento pudieran obtener copia de los que estimasen convenientes. SÉPTIMO: El CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL realizó alegaciones frente a la citada propuesta de resolución en la que comunica: El Dr. B.B.B. dispone de un dispositivo para el envío de faxes, analógico, no permite el encriptado de la información pero el Doctor siempre se asegura de que los números proporcionados por los destinatarios son correctos. Para cumplir con las medidas de seguridad debería enviar la información solicitada por otro medio, tipo correo electrónico cifrado, pero las compañías solicitan que la información sea enviada siempre por fax. En este sentido, el Dr. B.B.B. se siente desamparado por las exigencias legales de la Ley de Protección de Datos. Para poder cumplir con las mismas debería finalmente, entregar todos los informes presencialmente y ello dificultaría enormemente su práctica habitual. También indicar que el informe se envío a petición de la denunciante, al número de fax que la compañía le había facilitado, por lo tanto, la Secretaria actuó de acuerdo a las instrucciones de la asegurada y utilizando los medios proporcionados por la compañía. (...) AXA WINTERTHUR SALUD SA, garantiza que para la recepción de los faxes se adoptan las medidas de seguridad necesarias para el tipo de datos que se están recepcionando. (...) El doctor verificó el número de fax proporcionado con anterioridad al envío de la

5 5/13 información, asegurando de éste modo, que los datos no pudieran ser conocidos por un tercero no autorizado. En conclusión, el doctor adoptó la diligencia exigible de acuerdo a las circunstancias expuestas. (...) HECHOS PROBADOS PRIMERO: La denunciante acudió al Centro de Angiología y Cirugía Vascular de Barcelona como paciente asegurado por una compañía de seguros y tras una prueba médica se estimó la necesidad de una intervención quirúrgica. (folios 1 a 5) SEGUNDO: La denunciante ha manifestado que se puso en contacto con su compañía de seguros, y ésta solicitó un informe del médico sobre la necesidad de la intervención. Ella solicitó el informe al Centro ACVB, desde donde enviaron su informe directamente a la compañía de seguros por medio de un fax no encriptado con sus datos personales, datos de su salud. Manifiesta también que algunos de los datos facilitados por fax eran irrelevantes para practicar la intervención deseada. (folios 1 a 5) TERCERO: La entidad imputada ha manifestado que el informe clínico detallado de la denunciante fue enviado a petición de los Servicios Médicos de la compañía de seguros para autorizar o denegar la intervención quirúrgica. Que fue necesario remitir un informe detallado, en el que se hacía constar los antecedentes médicos de la paciente ya que previamente se había sometido a una intervención de iguales características, y porque además padecía una enfermedad que comprometía la viabilidad de la intervención. Que la información que se facilitó a la compañía no era excesiva, teniendo en cuenta que debía autorizar una nueva intervención quirúrgica. Reconoce la entidad que el informe clínico fue enviado por fax el día 26 de febrero de 2009 a un número de titularidad de la compañía de seguros de la denunciante, sin haber utilizado un fax cifrado para el envío de la documentación, pues en aquel momento esta medida estaba en proceso de implantación en el CACVB. (folio 20) FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 7 del Convenio Nº 108 del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, establece: Seguridad de los datos: Se tomarán medidas de seguridad apropiadas para la protección de datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados.

6 El artículo 17.1 de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece: Seguridad del tratamiento: 1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse. La LOPD traspuso al ordenamiento interno el contenido de la Directiva 95/46, y en su artículo 1 dispone que la presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. El artículo 2.1 de la misma Ley Orgánica establece: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los sectores públicos y privados. El artículo. 3 de la LOPD establece las definiciones de responsable de fichero o tratamiento, de encargado de tratamiento y de cesión de datos: d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. i) Cesión o comunicación de datos: toda revelación de datos realizada a la persona distinta del interesado. El artículo 9 de la LOPD dispone lo siguiente: 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y

7 7/13 seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley. El transcrito artículo 9 de la LOPD establece el principio de seguridad de los datos, imponiendo al responsable del fichero la obligación de adoptar las medidas de índole técnica y organizativa que garanticen tal seguridad, así como para impedir el acceso no autorizado a los mismos por ningún tercero. Para poder delimitar cuáles son los accesos que la Ley pretende evitar, exigiendo las pertinentes medidas de seguridad, es preciso acudir a las definiciones de fichero y tratamiento contenidas en la LOPD. En lo que respecta al concepto de fichero el artículo 3.b) de la LOPD lo define como todo conjunto organizado de datos de carácter personal, con independencia de la modalidad de acceso al mismo. Por su parte el artículo 3.c) de la citada Ley Orgánica considera tratamiento de datos cualquier operación o procedimiento técnico que permita, en lo que se refiere al objeto del presente procedimiento, la comunicación o consulta de los datos personales tanto si las operaciones o procedimientos de acceso a los datos son automatizados o no. Para completar el sistema de protección de datos de carácter personal, el artículo 44.3.h) de la LOPD tipifica como infracción grave el mantener los ficheros...que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Sintetizando las previsiones legales citadas puede afirmarse que: a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso la comunicación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD. b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD. c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, regulado en normas reglamentarias. d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción del artículo 9 de la LOPD tipificada como grave en el artículo 44.3.h) de la citada Ley. El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, define en su artículo 5.2 ñ) el Soporte como el

8 objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. Por su parte el artículo 81.1 del mismo Reglamento señala que Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. Las medidas de seguridad de nivel básico están reguladas en los artículos 89 a 94, las de nivel medio se regulan en los artículos 95 a 100 y las medidas de seguridad de nivel alto se regulan en los artículos 101 a 104. El artículo 88, en su punto 3, referido al documento de seguridad, establece lo siguiente: El documento deberá contener, como mínimo, los siguientes aspectos: a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento. c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. Las medidas de seguridad se clasifican en atención a la naturaleza de la información tratada, esto es, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma. En el caso que nos ocupa, como establece el artículo 81.3.a) del Reglamento de desarrollo de la LOPD, además de las medidas de nivel básico y medio, deberán adoptarse las medidas de nivel alto a los ficheros o tratamientos de datos de carácter personal que se refieran a datos de salud. De los hechos probados en este procedimiento, se deduce que el CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL, en su calidad de responsable del tratamiento de los datos de salud contenidos en el informe clínico remitido a la entidad aseguradora de la denunciante, debió adoptar las medidas necesarias para impedir cualquier acceso a la información de carácter personal que contenía dicha documentación. Tales medidas no fueron adoptadas totalmente en el presente caso, como lo acredita el hecho de que se envió el informe clínico de la denunciante por fax con los datos sin cifrar. En este caso concreto no cabe duda de que las medidas de seguridad a aplicar son las de nivel alto, dada la naturaleza de los datos personales implicados, que como la entidad imputada ha manifestado, fue necesario remitir un informe detallado, en el que se hacía constar los antecedentes médicos de la paciente ya que previamente se había sometido a una intervención de iguales características, y porque además padecía una enfermedad que comprometía la viabilidad de la intervención. El artículo 5.1.g) del Reglamento de la LOPD dispone que se entenderá por

9 9/13 datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. El RD 1720/2007 ya mencionado, expone en su título VIII las medidas de seguridad en el tratamiento de datos de carácter personal, y en el Capítulo III las aplicables a ficheros y tratamientos automatizados, entre las que figuran las de nivel alto y en el artículo 104, con relación a las telecomunicaciones, establece: Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Esta redacción es la misma que ya recogía la anterior normativa sobre esta materia, el artículo 26 del Real Decreto 994/1999, Reglamento de Medidas de Seguridad de los Ficheros automatizados que contengan Datos de Carácter Personal. No hay duda de que el informe remitido a la compañía aseguradora contenía datos personales relativos a la salud de la denunciante y que se envió por medio de fax. Este procedimiento no permite garantizar que la información no sea inteligible ni manipulada por terceros, tal como expresa el artículo 104 del Reglamento de la LOPD, lo que lleva a la conclusión de que las medidas de seguridad no evitaban el acceso de personas no autorizadas a los datos de carácter personal relacionados con la salud. El CACVB ha presentado con las alegaciones al acuerdo de inicio, un documento en el que la compañía aseguradora manifiesta que el fax al que remiten los informes de nuestros asegurados es un medio de recepción seguro en la medida que garantiza la confidencialidad de los datos remitidos. Estas afirmaciones no habilitan el medio de envío utilizado en este caso como adecuado. El fax no es un medio apropiado para la transmisión de información conteniendo datos de salud. Con su utilización se incumple una medida de seguridad prevista en la normativa de protección de datos. En este caso no se ha imputado una infracción por acceso de personas no autorizadas a los datos personales de la denunciante lo que supondría una infracción por vulneración del deber de secreto, sino que se plantea una infracción de medidas de seguridad que es una infracción de actividad. El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes, tales como el especial valor del bien jurídico protegido, la profesionalidad exigible al infractor. En este sentido la Sentencia de 5 de junio de 1998 exige a los profesionales del sector... un deber de conocer especialmente las normas aplicables. En definitiva, el Centro de Angiología y Cirugía Vascular de Barcelona SL, no actuó con la diligencia debida al no adoptar las medidas de seguridad necesarias y suficientes para impedir el acceso a la información de carácter personal que contenían los documentos, por ello, debe considerarse que ha vulnerado la LOPD. Aplicando la anterior doctrina, la Audiencia Nacional, en varias sentencias, entre

10 otras las de fechas 14 de febrero y 20 de septiembre de 2002 y 13 de abril de 2005, exige a las entidades que operan en el mercado de datos personales una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o su cesión a terceros, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos, por lo que los depositarios de éstos deben ser especialmente diligentes y cuidadosos a la hora de realizar operaciones con los mismos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurídicos protegidos por la norma. III El artículo 44.3.h) tipifica como infracción grave la siguiente: Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen En el presente caso ha quedado acreditado que el Centro de Angiología y Cirugía Vascular de Barcelona SL carecía de las medidas de seguridad que la Ley exige al responsable del fichero, al remitir el informe médico de la denunciante por fax sin cifrar. De acuerdo con los fundamentos anteriores, se deduce que por parte del Centro de Angiología y Cirugía Vascular de Barcelona SL se ha producido una vulneración del principio de seguridad de los datos, que ha tenido como consecuencia que los datos personales de la denunciante pudieran ser vistos por un tercero no autorizado, infracción que procede calificar como grave, sin que pueda exonerarse su responsabilidad tal como se ha demostrado en este procedimiento, por lo que procede su imputación, elemento necesario en el derecho administrativo sancionador tal como establece la STS de 27/5/99: Para la imposición de una sanción y las consecuencias derivadas del ilícito administrativo, no basta que la infracción esté tipificada y sancionada sino que es necesario que se aprecie en el sujeto infractor el elemento o categoría denominado culpabilidad. La culpabilidad es el reproche que se hace a una persona, porque ésta debió haber actuado de modo distinto de cómo lo hizo. De acuerdo con lo establecido en el artículo 45.2, 4 y 5 de la LOPD: IV 2. Las infracciones graves serán sancionadas con multa de ,21 a , La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. Si, en razón de las circunstancias concurrentes, se apreciara una cualificada

11 11/13 disminución de la culpabilidad del imputado o de la antijuridicidad del hecho, el órgano sancionador establecerá la cuantía de la sanción aplicando la escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate. En el supuesto examinado no se puede ignorar que no se ha constatado que terceros no autorizados accedieran a los datos relativos a la salud de la denunciante. Por otro lado, hay que tener en cuenta las manifestaciones de la compañía aseguradora con respecto a la seguridad del medio de recepción de los datos de sus asegurados, que si bien no exonera de responsabilidad al responsable del tratamiento, si permiten considerar una cualificada disminución de la culpabilidad. Se aprecia en el presente caso que concurren circunstancias que disminuyen la antijuridicidad y la culpabilidad del Centro de Angiología y Cirugía Vascular de Barcelona SL, que ha justificado su actuación diciendo que en este caso fue necesario remitir un informe detallado, en el que se hacía constar los antecedentes médicos de la paciente ya que previamente se había sometido a una intervención de iguales características, y porque además padecía una enfermedad que comprometía la viabilidad de la intervención. La información que se facilitó a la compañía no era excesiva, teniendo en cuenta que debía autorizar una nueva intervención quirúrgica. La Jurisprudencia del Tribunal Supremo considera, en el ámbito penal, que las circunstancias concurrentes han podido producir razonablemente en el interesado la creencia de estar actuando lícitamente STS de 27 de abril de En consecuencia, constatada la comisión de la infracción imputada, se observa, como se ha expuesto, sin embargo, la concurrencia de circunstancias que permiten apreciar una cualificada disminución de la culpabilidad imputada respecto de la comisión de dicha infracción, por lo que se estima que procede la aplicación del artículo 45.5 de la LOPD respecto de la misma, no apreciándose obstáculo alguno ni indefensión o perjuicio para ninguna de las partes por dicha aplicación. Recuérdese que en el ámbito administrativo las infracciones pueden cometerse sin el elemento volitivo del dolo, sino que la simple inobservancia del deber exigido, puede dar lugar a responsabilidad administrativa. El art recoge una serie de criterios relativos a la aplicación del principio de proporcionalidad en la graduación del importe de la sanción, según las indicaciones del art de la LRJPAC (Ley 30/92 de 26 de noviembre), que establece: en la determinación normativa del régimen sancionador, así como en la imposición de sanciones por las Administraciones Públicas se deberá guardar la debida adecuación entre la gravedad del hecho constitutivo de la infracción y la sanción aplicada, considerándose especialmente los siguientes criterios para la graduación de la sanción a aplicar: a) la existencia de intencionalidad o reiteración, b) la naturaleza de los perjuicios causados, c) la reincidencia. Pues bien la secuencia de hechos expuesta en esta resolución, valorada en aplicación de dichos criterios, permiten, que en este caso, se considere procedente la imposición de una sanción de euros. Vistos los preceptos citados y demás de general aplicación,

12 El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL, por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de (tres mil euros) de conformidad con lo establecido en el artículo y.5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución al CENTRO DE ANGIOLOGIA Y CIRUGIA VASCULAR DE BARCELONA SL y a Dª. A.A.A.. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 9 de diciembre de 2010 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

13 13/13 Fdo.: Artemi Rallo Lombarte