RESOLUCIÓN: R/01306/2011

Transcripción

1 1/18 Procedimiento Nº PS/00076/2011 RESOLUCIÓN: R/01306/2011 En el procedimiento sancionador PS/00076/2011, instruido por la Agencia Española de Protección de Datos a la entidad HIPERCOR S.A, vista la denuncia presentada por D. A.A.A. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha 29 de marzo de 2010 tiene entrada en esta Agencia un escrito de D. A.A.A., en el que declara que, la empresa HIPERCOR, S.A., no cuenta con las medidas de seguridad oportunas con relación a información de datos clínicos, ya que desde dos terminales ubicados en el muelle de recepción de mercancías, donde tiene su puesto de trabajo, se pueden visualizar, entre otros análisis clínicos de trabajadores de la empresa. Con fecha 2 de junio de 2010, el denunciante remite impresiones de varios análisis clínicos correspondientes a trabajadores de la empresa a los cuales ha tenido acceso, habiendo realizado el mismo la impresión. SEGUNDO: Tras la recepción de la denuncia, el Director de la Agencia Española de Protección de Datos ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes extremos: 1. Con fecha 1 de septiembre de 2010, se realiza inspección en los locales de HIPERCOR, S.A. correspondientes al HIPERCOR-MERIDIANA, ubicado en Barcelona, en el transcurso de la misma se verifica que: a. En un mostrador ubicado en el muelle de recepción de mercancías del centro comercial, se encuentran dos ordenadores personales y una impresora conectada a los mismos, no obstante no existe otro tipo de dispositivo de Entrada/salida conectado. b. El Sr. A.A.A. accede a uno de los ordenadores citados anteriormente, c. Jorge Juan Madrid

2 realizándose las siguientes comprobaciones: Se procede al reinicio del equipo, comprobándose que para poder acceder al Sistema es necesario suministrar un código de usuario y una contraseña, no obstante se observa que el usuario lo proporciona el Sistema por defecto, siendo la contraseña la misma que el código de usuario proporcionado. Se visualiza un escritorio con varios iconos entre los que se encuentra el denominado Mi PC, se selecciona dicha opción visualizándose entre otros el archivo de almacenamiento denominado Administracion$, verificándose que contiene 27 carpetas, entre las que se encuentran las denominadas: Servicio Médico y Personal Todos. Se accede a la carpeta denominada Personal Todos verificándose que figura como fecha de creación el 17 de abril de 2009 y que contiene 83 objetos, entre los que se encuentra el denominado EQUIPO YOLANDA, que según las manifestaciones de los representantes de la entidad, pertenece a la Jefa de Recursos Humanos del Centro. Se accede a la misma comprobándose que contiene, entre otros, dos documentos de Word denominados: CANDIDATAS SUPERVISORAS e INCIDENCIAS PLANTILLA MERIDIANA, ambos con contenido de datos personales de trabajadores del Centro. Se accede a la carpeta denominada Servicio Médico, verificándose que contiene entre otros un documento de Word denominado: RESULTADOS ANALÍTICAS, creado con fecha 17 de abril de 2009 y contiene 500 archivos estructurados en 3 carpetas denominadas: ANALITICAS 2008 (217), ANALITICAS 2009 (151) y ANALITICAS 2010 (132), respectivamente. Dichos archivos se encuentran en formato PDF y se comprueba que son los resultados de analíticas de empleados de Centro, realizándose impresión de pantalla de dos de ellas. c. A la vista de las comprobaciones realizadas los representantes de la entidad manifiestan que: i.el Centro cuenta con un total aproximado de 300 trabajadores, teniendo contratado un servicio de análisis clínicos para los reconocimientos médicos anuales que el personal que lo desee puede realizarse. ii.dicha información debería encontrase en el fichero creado con esta finalidad, no obstante los análisis que se han visualizado debe ser una copia que el Servicio Médico ha realizado en una carpeta correspondiente al mismo, y que por un error de seguridad se visualiza por usuarios diferentes a los del Servicio médico, que serían los únicos que podrían tener acceso. iii.asimismo, manifiestan que a la carpeta correspondiente a la Jefa de RR.HH tampoco debería poder acceder ningún usuario que no pertenezca a dicho Departamento y que estuviera autorizado para ello. 2. El Sr. A.A.A., hace entrega a las inspectoras de una Nota de Prensa emitida por UGT con fecha 16 de marzo de 2010, donde se hace constar la existencia de una

3 3/18 negligencia en materia de protección de datos de los trabajadores y que se adjunta al Acta de inspección. 3. A las 15:30 horas, las inspectoras de la Agencia y los representantes de la entidad, se trasladan al muelle de recepción de mercancías del Centro, verificándose que ha sido subsanado el error. Se accede a la opción Mi PC desde el mismo ordenador en el que se realizaron las comprobaciones citadas en el apartado 1.2, verificándose que ya no se puede tener acceso a las carpetas en las que se encontraba la información con datos personales correspondiente al Departamento de RR.HH, ni a la de Servicio Médico. TERCERO: Con fecha 15 de febrero de 2011, el Director de la Agencia Española de Protección de Datos acordó iniciar, procedimiento sancionador a HIPERCOR S.A, por presunta infracción de los artículos 9.1 y 10 de la Ley Orgánica 15/1999, de 13/12, de Protección de Datos de Carácter Personal (en lo sucesivo LOPD), tipificadas como graves en los artículos 44.3.h) y 44.3.d) respectivamente de dicha norma, pudiendo ser sancionada cada una, con multa de a , de acuerdo con el artículo 45.2 de la citada Ley Orgánica. CUARTO: Notificado el acuerdo de inicio, HIPERCOR S.A formuló alegaciones, significando, que: los dos ordenadores en los que produjo el error de seguridad, ubicados en el muelle de recepción de mercancías, no forman parte del sistema de información destinado a tratar datos de carácter personal en la empresa. La función de estos equipos es la mera gestión de las mercancías y esta es la razón por la que los equipos no se incluyeron en los procesos de auditoría y en las comprobaciones realizadas por HIPERCOR para detectar el posible problema insinuado por UGT. (...) Obviamente ya se ha reconocido en este escrito la responsabilidad por el error cometido, pero quiere insistirse en que el error no consiste en la falta de implementación de medidas de seguridad, sino en que los equipos informáticos cuyas funciones eran ajenas al sistema de tratamiento de datos personales permitían el acceso a dicho sistema. En consecuencia, no estaban protegidos. (...)...no podemos más que insistir en que los equipos afectados por la falta de medidas de seguridad eran naturalmente ajenos al sistema informático implicado en el tratamiento de datos de carácter personal. Por ello, su propia naturaleza y destino hacían innecesario implementar medidas de seguridad. Todo se debe a un error material, que incluso se resolvió durante el acto de inspección. (...) Por lo tanto, en caso de que la Agencia de Protección de Datos llegase a imponer alguna sanción a HIPERCOR por los hechos que se han reconocido, aun cuando dichos hechos, puedan considerarse constitutivos de dos infracciones indistintas, debería aplicarse el art. 4.4 del Reglamento del Procedimiento para el Ejercicio de la Potestad Sancionadora, para impedir la vulneración del principio non bis in idem. (...) Además, por cuanto se ha venido argumentando en los puntos anteriores, HIPERCOR c. Jorge Juan Madrid

4 entiende que la sanción que pudiera, en su caso, imponerse, de llegarse a ese punto en el procedimiento sancionador, debería graduarse y reducirse en atención a los criterios del nuevo art y5 de la LOPD... Relaciona a continuación las circunstancias a tener en cuenta para la reducción de la posible sanción, a saber: ausencia de beneficio, de intencionalidad y de perjuicio, primer expediente por hechos de esta naturaleza, regularización inmediata del problema, procedimiento de control de accesos y formación en la materia a empleados. QUINTO: Con fecha 30 de marzo de 2011 se inició el período de práctica de pruebas, acordándose practicar las siguientes: 1. Se dan por reproducidos a efectos probatorios la denuncia interpuesta por D. A.A.A. y su documentación, los documentos obtenidos y generados por los Servicios de Inspección ante HIPERCOR S.A, y el Informe de actuaciones previas de Inspección que forman parte del expediente E/01163/ Asimismo, se da por reproducido a efectos probatorios, las alegaciones al acuerdo de inicio PS/00076/2011 presentadas por HIPERCOR S.A, y la documentación que a ellas acompaña. SEXTO: Con fecha 1 de junio de 2011 se formuló propuesta de resolución, proponiendo la imposición de una sanción de a la entidad HIPERCOR S.A, por la comisión de una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha Ley. De acuerdo con lo establecido en el artículo 19.1 del Real Decreto 1398/1993 de 4 de agosto, Reglamento del procedimiento para el ejercicio de la potestad sancionadora, en dicha propuesta de resolución se concedió un plazo de QUINCE DÍAS hábiles para que las partes interesadas en el procedimiento pudieran alegar cuanto considerasen para su defensa y presentasen los documentos e informaciones que estimasen pertinentes, así como se detallaba, en un anexo adjunto a esa propuesta de resolución, la relación de documentos obrantes en el procedimiento, a fin de que las partes interesadas en el procedimiento pudieran obtener copia de los que estimasen convenientes. SÉPTIMO: Concedido el plazo para formular alegaciones frente a la propuesta de resolución, HIPERCOR S.A. presenta las siguientes:...insistir en que si las medidas de seguridad no fueron adoptadas, no fue por falta de diligencia en la custodia de información, sino porque los propios equipos afectados estaban destinados a una finalidad totalmente ajena a la de los equipos dedicados al tratamiento de datos personales en la empresa, limiténdose a gestionar la entrada y salida de mercancías del almacén. Es decir, en principio no debería haber existido esa necesidad de implementar medidas de seguridad. La situación podría equiparse, por ejemplo, a aquella en la que en una empresa que guarda documentos que no contienen datos personales en un cajón desprovisto de

5 5/18 cerradura, alguien deja por error en ese cajón la nómina de un trabajador. Esa nómina no debería haber estado allí, pero el cajón tampoco tendría por qué haber tenido cerradura porque no estaba previsto que se guardaran en él documentos con datos personales. (...) La situación podría equiparse, por ejemplo, a aquella en la que en una empresa que guarda documentos que no contienen datos personales en un cajón desprovisto de cerradura, alguien deja por error en ese cajón la nómina de un trabajador. Esa nómina no debería haber estado allí, pero el cajón tampoco tendría por qué haber tenido cerradura porque no estaba previsto que se guardaran en él documentos con datos personales. (...) También debemos recordar que HIPERCOR ha reconocido desde el primer momento la existencia del error en su sistema de gestión de la información y, así, asumió desde ese momento su existencia frente a la Agencia Española de Protección de Datos en el acto de inspección. La asunción del error ya constaba en las alegaciones realizadas durante la tramitación de la investigación previa a la apertura de este expediente sancionador. (...) Todas estas circunstancias ponen de relieve la enorme responsabilidad de HIPERCOR en la gestión de los datos de sus empleados, el hecho de que la infracción que se le imputa ha sucedido en contra de su voluntad, el carácter excepcional de este incidente, que constituye un hecho aislado en la trayectoria de HIPERCOR, la inmediata solución el problema y la colaboración con la Agencia corroboran la responsabilidad y cautelas que la empresa invierte en la gestión de la información de sus empleados. Por todo ello, entiende MBNA que son de aplicación los beneficios establecidos en el artículo 45.4 y 5 de la LOPD, resultando, en consecuencia, de aplicación una sanción por el importe correspondiente a las sanciones leves, que, a la vista de las circunstancias concurrentes, debería cuantificarse en el mínimo legal previsto. En virtud de lo expuesto, de la Agencia de Protección de Datos SUPLICO que, admitiendo este escrito tenga por atendido el trámite de alegaciones, resolviendo el expediente mediante la aplicación del artículo 45.4 Y 5 de la LOPD. HECHOS PROBADOS PRIMERO: El 29 de marzo de 2010 tiene entrada en esta Agencia un escrito en el que se declara que desde dos terminales ubicados en el muelle de recepción de mercancías del HIPERCOR-MERIDIANA, de Barcelona, se pueden visualizar los análisis clínicos de trabajadores de la empresa HIPERCOR, S.A. por lo que no cuenta con las medidas de seguridad oportunas con relación a dichos datos. Con fecha 2 de junio de 2010, el denunciante remite impresiones de varios análisis clínicos correspondientes a trabajadores de la empresa a los que él mismo ha tenido acceso. (folios 1 a 13) SEGUNDO: El 1 de septiembre de 2010, se realiza inspección por esta Agencia en los locales del HIPERCOR-MERIDIANA de Barcelona, verificando que: c. Jorge Juan Madrid

6 En un mostrador ubicado en el muelle de recepción de mercancías del centro comercial, se encuentran dos ordenadores personales y una impresora conectada a los mismos. El denunciante accede a uno de ellos, realizándose las siguientes comprobaciones: Se reinicia el equipo, comprobándose que es necesario suministrar un código de usuario y una contraseña, no obstante se observa que el usuario lo proporciona el Sistema por defecto, y la contraseña es la misma que el código de usuario proporcionado. Se visualiza un escritorio con varios iconos entre los que se encuentra el denominado Mi PC, se selecciona dicha opción visualizándose entre otros el archivo de almacenamiento denominado Administracion$, que contiene 27 carpetas, entre las que se encuentran las denominadas: Servicio Médico y Personal Todos. Se accede a la carpeta denominada Personal Todos verificándose que figura como fecha de creación el 17 de abril de 2009 y que contiene 83 objetos, entre los que se encuentra el denominado EQUIPO YOLANDA, que según las manifestaciones de los representantes de la entidad, pertenece a la Jefa de Recursos Humanos del Centro. Se accede a la misma comprobándose que contiene, entre otros, dos documentos de Word denominados: CANDIDATAS SUPERVISORAS e INCIDENCIAS PLANTILLA MERIDIANA, ambos con contenido de datos personales de trabajadores del Centro. Se accede a la carpeta denominada Servicio Médico, verificándose que contiene entre otros un documento de Word denominado: RESULTADOS ANALÍTICAS, creado con fecha 17 de abril de 2009 y contiene 500 archivos estructurados en 3 carpetas denominadas: ANALITICAS 2008 (217), ANALITICAS 2009 (151) y ANALITICAS 2010 (132), respectivamente. Dichos archivos se encuentran en formato PDF y se comprueba que son los resultados de analíticas de empleados de Centro, realizándose impresión de pantalla de dos de ellas. (folios 17 a 45) TERCERO: A la vista de las comprobaciones realizadas los representantes de la entidad manifiestan que: El Centro cuenta con un total aproximado de 300 trabajadores, teniendo contratado un servicio de análisis clínicos para los reconocimientos médicos anuales que el personal que lo desee puede realizarse. Dicha información debería encontrase en el fichero creado con esta finalidad, no obstante los análisis que se han visualizado deben ser una copia que el Servicio Médico ha realizado en una carpeta correspondiente al mismo, y que por un error de seguridad se visualiza por usuarios diferentes a los del Servicio médico, que serían los únicos que podrían tener acceso. Asimismo, manifiestan que a la carpeta correspondiente a la Jefa de RR.HH tampoco debería poder acceder ningún usuario que no pertenezca a dicho Departamento y que estuviera autorizado para ello. (folios 17 a 19) CUARTO: Se adjunta al Acta de inspección una Nota de Prensa emitida por UGT con

7 7/18 fecha 16 de marzo de 2010, donde se hace constar la existencia de una negligencia en materia de protección de los datos de los trabajadores, que el denunciante entrega a las inspectoras. (folio 40) QUINTO: A las 15:30 horas, las inspectoras de la Agencia y los representantes de la entidad, se trasladan al muelle de recepción de mercancías del Centro, verificándose que ha sido subsanado el error. Se accede a la opción Mi PC desde el mismo ordenador en el que se realizaron las comprobaciones en la inspección, verificándose que ya no se puede tener acceso a las carpetas en las que se encontraba la información con datos personales correspondiente al Departamento de RR.HH, ni a la de Servicio Médico. (folios 17 a 45) FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 7 del Convenio Nº 108 del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, establece: Seguridad de los datos: Se tomarán medidas de seguridad apropiadas para la protección de datos de carácter personal registrados en ficheros automatizados contra la destrucción accidental o no autorizada, o la pérdida accidental, así como contra el acceso, la modificación o la difusión no autorizados. El artículo 17.1 de la Directiva 95/46/CE, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, establece: Seguridad del tratamiento: 1. Los Estados miembros establecerán la obligación del responsable del tratamiento de aplicar las medidas técnicas y de organización adecuadas, para la protección de los datos personales contra la destrucción, accidental o ilícita, la pérdida c. Jorge Juan Madrid

8 accidental y contra la alteración, la difusión o el acceso no autorizados, en particular cuando el tratamiento incluya la transmisión de datos dentro de una red, y contra cualquier otro tratamiento ilícito de datos personales. Dichas medidas deberán garantizar, habida cuenta de los conocimientos técnicos existentes y del coste de su aplicación, un nivel de seguridad apropiado en relación con los riesgos que presente el tratamiento y con la naturaleza de los datos que deban protegerse La LOPD traspuso al ordenamiento interno el contenido de la Directiva 95/46, y en su artículo 1 dispone que la presente Ley Orgánica tiene por objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar. El artículo 2.1 de la misma Ley Orgánica establece: La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento y a toda modalidad de uso posterior de estos datos por los sectores públicos y privados. El artículo. 3 de la LOPD establece las definiciones de responsable de fichero o tratamiento, de encargado de tratamiento y de cesión de datos: d) Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. g) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. i) Cesión o comunicación de datos: toda revelación de datos realizada a la persona distinta del interesado. III El artículo 9 de la LOPD dispone lo siguiente: 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

9 9/18 El transcrito artículo 9 de la LOPD establece el principio de seguridad de los datos, imponiendo al responsable del fichero la obligación de adoptar las medidas de índole técnica y organizativa que garanticen tal seguridad, así como para impedir el acceso no autorizado a los mismos por ningún tercero. Para poder delimitar cuáles son los accesos que la Ley pretende evitar, exigiendo las pertinentes medidas de seguridad, es preciso acudir a las definiciones de fichero y tratamiento contenidas en la LOPD. En lo que respecta al concepto de fichero el artículo 3.b) de la LOPD lo define como todo conjunto organizado de datos de carácter personal, con independencia de la modalidad de acceso al mismo. Por su parte el artículo 3.c) de la citada Ley Orgánica considera tratamiento de datos cualquier operación o procedimiento técnico que permita, en lo que se refiere al objeto del presente procedimiento, la comunicación o consulta de los datos personales tanto si las operaciones o procedimientos de acceso a los datos son automatizados o no. Sintetizando las previsiones legales citadas puede afirmarse que: a) Las operaciones y procedimientos técnicos automatizados o no, que permitan el acceso la comunicación o consulta- de datos personales, es un tratamiento sometido a las exigencias de la LOPD. b) Los ficheros que contengan un conjunto organizado de datos de carácter personal así como el acceso a los mismos, cualquiera que sea la forma o modalidad en que se produzca, están, también, sujetos a la LOPD. c) La LOPD impone al responsable del fichero la adopción de medidas de seguridad, regulado en normas reglamentarias. d) El mantenimiento de ficheros carentes de medidas de seguridad que permitan accesos o tratamientos no autorizados, cualquiera que sea la forma o modalidad de éstos, constituye una infracción del artículo 9 de la LOPD tipificada como grave en el artículo 44.3.h) de la citada Ley. El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD, define en su artículo 5.2 ñ) el Soporte como el objeto físico que almacena o contiene datos o documentos, u objeto susceptible de ser tratado en un sistema de información y sobre el cual se pueden grabar y recuperar datos. Por su parte el artículo 81.1 del mismo Reglamento señala que Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. Las medidas de seguridad de nivel básico están reguladas en los artículos 89 a 94, las de nivel medio se regulan en los artículos 95 a 100 y las medidas de seguridad de nivel alto se regulan en los artículos 101 a 104. El artículo 88, en su punto 3, referido al documento de seguridad, establece lo siguiente: El documento deberá contener, como mínimo, los siguientes aspectos: c. Jorge Juan Madrid

10 a) Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento. c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros. d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. e) Procedimiento de notificación, gestión y respuesta ante las incidencias. f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados. g) Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos. Las medidas de seguridad se clasifican en atención a la naturaleza de la información tratada, esto es, en relación con la mayor o menor necesidad de garantizar la confidencialidad y la integridad de la misma. En el caso que nos ocupa, como establece el artículo 81.3.a) del Reglamento de desarrollo de la LOPD, además de las medidas de nivel básico y medio, deberán adoptarse las medidas de nivel alto a los ficheros o tratamientos de datos de carácter personal que se refieran a datos de salud. De los hechos probados en este procedimiento, se deduce que HIPERCOR, S.A., en su calidad de responsable del tratamiento de los datos de salud contenidos en los resultados de las pruebas analíticas de sus empleados, debió adoptar las medidas necesarias para impedir cualquier acceso a la información de carácter personal que contenía dicha documentación. Tales medidas no fueron adoptadas totalmente en el presente caso, como lo acredita el hecho constatado en el acta de inspección de 1 de septiembre de 2010, de que desde un ordenador situado en el muelle de recepción de mercancías del centro comercial HIPERCOR-MERIDIANA de Barcelona, se accediera a datos personales de los empleados, relacionados con la salud. Esta necesidad de especial diligencia en la custodia de la documentación por el responsable del tratamiento ha sido puesta de relieve por la Audiencia Nacional, en su Sentencia de 11 de diciembre de 2008 (recurso 36/08), fundamento cuarto: Como ha dicho esta Sala en múltiples sentencias se impone, en consecuencia, una obligación de resultado, consistente en que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros la recurrente es, por disposición legal una deudora de seguridad en materia de datos, y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y se ejecuten con rigor. El artículo 5.1.g) del Reglamento de la LOPD dispone que se entenderá por datos de carácter personal relacionados con la salud: las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. No hay duda de que el acceso a los resultados de las analíticas de los

11 11/18 trabajadores del centro comercial HIPERCOR-MERIDIANA de Barcelona desde los ordenadores del muelle de recepción de mercancías, lleva a la conclusión de que las medidas de seguridad no evitaron el acceso de personas no autorizadas a los datos de carácter personal relacionados con la salud. El Tribunal Supremo viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes, tales como el especial valor del bien jurídico protegido, la profesionalidad exigible al infractor. En este sentido la Sentencia de 5 de junio de 1998 exige a los profesionales del sector... un deber de conocer especialmente las normas aplicables. Se ha alegado al acuerdo de inicio del expediente sancionador, que el error no consiste en la falta de implementación de medidas de seguridad, sino en que los equipos informáticos cuyas funciones eran ajenas al sistema de tratamiento de datos personales permitían el acceso a dicho sistema. En consecuencia, no estaban protegidos. Esa es precisamente la causa de la infracción cometida, que los ordenadores no estaban protegidos, carecían de medidas de seguridad por lo que permitían el acceso a la información a terceros no autorizados. En definitiva, HIPERCOR, S.A. no actuó con la diligencia debida al no adoptar las medidas de seguridad necesarias y suficientes para impedir el acceso a la información de carácter personal que contenían los documentos, por ello, debe considerarse que ha vulnerado la LOPD. Se alega también a la propuesta de resolución que la existencia del error que es objeto de este procedimiento no se debió sino a la mera imposibilidad de prever que desde los equipos afectados pudiera accederse a datos personales. Sobre esta cuestión el artículo 91 del Reglamento de desarrollo de la LOPD establece, con relación al control de accesos, lo siguiente: 1. Los usuarios tendrán acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones. 2. El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. 3. El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. 4. Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el responsable del fichero. 5. En caso de que exista personal ajeno al responsable del fichero que tenga acceso a los recursos deberá estar sometido a las mismas condiciones y obligaciones de seguridad que el personal propio. Este artículo 91 del RD 1720/2007, se encuentra entre las medidas de seguridad c. Jorge Juan Madrid

12 de nivel básico aplicables a ficheros y tratamientos automatizados y, en contra de lo alegado, si era posible prever que desde los equipos afectados se podía acceder a los datos personales de salud de los trabajadores de Hipercor SA. Esto es posible con la necesaria implantación de un sistema de control de accesos que permita que los usuarios tengan acceso únicamente a aquellos recursos que precisen para el desarrollo de sus funciones y en el que se establezcan los mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Aplicando la anterior doctrina, la Audiencia Nacional, en varias sentencias, entre otras las de fechas 14 de febrero y 20 de septiembre de 2002 y 13 de abril de 2005, exige a las entidades que operan en el mercado de datos una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o su cesión a terceros, visto que se trata de la protección de un derecho fundamental de las personas a las que se refieren los datos, por lo que los depositarios de éstos deben ser especialmente diligentes y cuidadosos a la hora de realizar operaciones con los mismos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurídicos protegidos por la norma. IV El artículo 44.3.h) tipifica como infracción grave la siguiente: Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen En el presente caso ha quedado acreditado que HIPERCOR, S.A. carecía de las medidas de seguridad que la Ley exige al responsable del fichero, al permitir el acceso a terceras personas no autorizadas a los resultados de las analíticas de sus trabajadores. De acuerdo con los fundamentos anteriores, se deduce que por parte de HIPERCOR, S.A. se ha producido una vulneración del principio de seguridad de los datos, que ha tenido como consecuencia que los datos personales de sus trabajadores fueran accesibles a un tercero no autorizado, infracción que procede calificar como grave, sin que pueda exonerarse su responsabilidad tal como se ha demostrado en este procedimiento, por lo que procede su imputación, elemento necesario en el derecho administrativo sancionador tal como establece la STS de 27/5/99: Para la imposición de una sanción y las consecuencias derivadas del ilícito administrativo, no basta que la infracción esté tipificada y sancionada sino que es necesario que se aprecie en el sujeto infractor el elemento o categoría denominado culpabilidad. La culpabilidad es el reproche que se hace a una persona, porque ésta debió haber actuado de modo distinto de cómo lo hizo. V

13 13/18 El artículo 10 de la LOPD que se considera infringido dispone "El responsable del fichero y quienes intervengan en cualquier fase de tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero, o, en su caso, con el responsable del mismo". El artículo 10 de la LOPD contiene una regla que afecta a la confidencialidad como parte de la seguridad de los datos de carácter personal, tratando de salvaguardar el derecho de las personas a mantener la privacidad de tales datos y, en definitiva, el poder de control o disposición sobre los mismos. El deber de secreto trata de salvaguardar o tutelar el derecho de las personas a mantener la privacidad de sus datos de carácter personal y en definitiva el poder de control o disposición sobre sus datos. Este deber de secreto está lógicamente relacionado con el secreto profesional. Según el ATC de 11 de diciembre de 1989 "el secreto profesional se entiende como la sustracción al conocimiento ajeno, justificada por razón de una actividad, de datos o informaciones obtenidas que conciernen a la vida privada de las personas". El deber de secreto en el tratamiento de datos personales, tiene la misma fundamentación jurídica, pero se refiere al ámbito estricto del tratamiento de los datos personales, para que el responsable del fichero y, cualquier persona que intervenga en el tratamiento, esté obligado al mantener la confidencialidad de los datos personales. En este sentido el deber de sigilo como hemos señalado en las SSAN, Sec. 1ª, de 14 de septiembre de 2002 (Rec.196/00), 13 de abril de 2005 (Rec. 230/2003), 18 de julio de 2007 (Rec. 377/2005 ) "es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la STC 292/2000 (...) Este deber de sigilo resulta esencial en las sociedades actuales cada vez más complejas, en las que los avances de la técnica sitúan a la persona en zonas de riesgo para la protección de los derechos fundamentales, como la intimidad o el derecho a la protección de datos que recoge el artículo 18.4 de la CE (...)". El citado artículo 10 regula de forma individualizada el deber de secreto de quienes tratan datos personales, dentro del título dedicado a los principios de protección de datos, lo que refleja la gran importancia que el legislador atribuye al mismo. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros, salvo de acuerdo con lo dispuesto en otros preceptos de la LOPD, como por ejemplo el artículo 11 (comunicación de datos). En este caso, ese deber de secreto comporta que HIPERCOR, S.A., responsable de los datos de los resultados de las analíticas de sus trabajadores, no puede revelar ni dar a conocer su contenido a terceros, salvo con consentimiento expreso de los afectados (al contener los resultados analíticos, datos de salud especialmente protegidos artículo 7.3 LOPD) o en los casos autorizados por la ley, recordando que el 7.3 señala: 3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente. c. Jorge Juan Madrid

14 VI La conducta de la denunciada se incardina en el artículo 44.3.d) de la LOPD que indica como tal: La vulneración del deber de guardar secreto acerca de los datos de carácter personal a que se refiere el artículo 10 de la presente Ley. En este procedimiento se ha acreditado que la entidad imputada ha divulgado los datos de salud de sus trabajadores al haberse constatado que un empleado no autorizado pudo tener acceso a los datos contenidos en los resultados de las pruebas analíticas de sus empleados. La especial protección conferida a los datos relacionados con la salud de las personas no es arbitraria, sino que resulta de lo dispuesto en las normas Internacionales y Comunitarias reguladoras del tratamiento automatizado de datos de carácter personal. En este contexto, tanto el articulo 8 de la Directiva 95/46/CE del Parlamento y del Consejo, así como el artículo 6 del Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28/01/1981, ratificado por España en fecha 27/01/1984, hacen referencia a los datos de salud como sujetos a un régimen especial de protección, de tal forma que, como indica el citado Convenio, tales datos no podrán tratarse automatizadamente a menos que el derecho interno prevea garantías adecuadas El artículo 7 de la LOPD pretende que la información más sensible, que afecta en mayor medida a la intimidad y privacidad de las personas y al ejercicio de los derechos fundamentales consagrados por la Constitución, sea objeto de una protección reforzada, que pasa, en la mayor parte de los supuestos, por la exigencia del consentimiento del afectado para su tratamiento. Dado que ha existido una vulneración en el deber de secreto por parte de HIPERCOR, S.A. en relación a datos de salud especialmente protegidos, se considera que ha incurrido en la infracción descrita. VII El hecho constatado de la difusión de datos personales especialmente protegidos fuera del ámbito de los afectados, establece la base de facto para fundamentar la imputación de las infracciones de los artículos 9 y 10 de la LOPD. No obstante, nos encontramos ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica

15 15/18 necesariamente la comisión de la otra. Esto es, con el acceso inconsentido a los datos de salud de los trabajadores del centro comercial HIPERCOR-MERIDIANA de Barcelona, por persona sin autorización, se está produciendo un incumplimiento de las medidas de seguridad exigidas a dicho responsable que, a su vez, deriva en una vulneración del deber de secreto. Por lo tanto, aplicando el artículo 4.4 del Real Decreto 1398/1993, de 4 de agosto, por el que se aprueba el Reglamento del procedimiento para el ejercicio de la potestad sancionadora que señala que en defecto de regulación específica establecida en la norma correspondiente, cuando de la comisión de una infracción derive necesariamente la comisión de otra u otras, se deberá imponer únicamente la sanción correspondiente a la infracción más grave cometida, procede subsumir ambas infracciones en una. Dado que, en este caso, se ha producido una vulneración de las medidas de seguridad, calificada como grave por el artículo 44.3.h) de la LOPD y también un incumplimiento del deber de guardar secreto respecto de los datos de carácter personal de sus trabajadores, calificado como grave en el artículo 44.3.d) de la misma norma, por lo que al tratarse de infracciones de la misma gravedad procede imputar únicamente la infracción del artículo 9.1 de la LOPD al ser la que da lugar a la infracción de la vulneración del deber de secreto. VIII El artículo y.5 de la LOPD establece lo siguiente:. 2. Las infracciones graves serán sancionadas con multa de a La cuantía de las sanciones se graduará atendiendo a los siguientes criterios: a) El carácter continuado de la infracción. b) El volumen de los tratamientos efectuados. c) La vinculación de la actividad del infractor con la realización de tratamientos de datos de carácter personal. d) El volumen de negocio o actividad del infractor. e) Los beneficios obtenidos como consecuencia de la comisión de la infracción. f) El grado de intencionalidad. g) La reincidencia por comisión de infracciones de la misma naturaleza. h) La naturaleza de los perjuicios causados a las personas interesadas o a terceras personas. i) La acreditación de que con anterioridad a los hechos constitutivos de infracción la entidad imputada tenía implantados procedimientos adecuados de actuación en la recogida y tratamiento de Ios datos de carácter personal, siendo la infracción consecuencia de una anomalía en el funcionamiento de dichos procedimientos no debida a una falta de diligencia exigible al infractor. j) Cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. 5. El órgano sancionador establecerá la cuantía de la sanción aplicando la c. Jorge Juan Madrid

16 escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a aquella en que se integra la considerada en el caso de que se trate, en los siguientes supuestos: a) Cuando se aprecie una cualificada disminución de la culpabilidad del imputado o de la antijuridicidad del hecho como consecuencia de la concurrencia significativa de varios de los criterios enunciados en el apartado 4 de este artículo. b) Cuando la entidad infractora haya regularizado la situación irregular de forma diligente. c) Cuando pueda apreciarse que la conducta del afectado ha podido inducir a la comisión de la infracción. d) Cuando el infractor haya reconocido espontáneamente su culpabilidad. e) Cuando se haya producido un proceso de fusión por absorción y la infracción fuese anterior a dicho proceso, no siendo imputable a la entidad absorbente.. En el presente caso la entidad denunciada ha manifestado en las alegaciones al acuerdo de inicio que: Todo se debe a un error material, que incluso se resolvió durante el acto de inspección. Durante la visita de la inspección de esta Agencia al centro comercial Hipercor-Meridiana de Barcelona, el 1 de septiembre de 2010, se verificó que el error se subsanó en el transcurso de la propia inspección. Se considera que concurren por tanto los supuestos previstos en los puntos b y d del artículo 45.5 por cuanto la entidad infractora ha reconocido espontáneamente su culpabilidad y ha regularizado la situación de forma diligente. Por otra parte alega la entidad denunciada a la propuesta de resolución que si las medidas de seguridad no fueron adoptadas, no fue por falta de diligencia en la custodia de información, sino porque los propios equipos afectados estaban destinados a una finalidad totalmente ajena a la de los equipos dedicados al tratamiento de datos personales en la empresa, limitándose a gestionar la entrada y salida de mercancías del almacén. Es decir, en principio no debería haber existido esa necesidad de implementar medidas de seguridad. A este respecto, el Tribunal Supremo (Sentencias de 5 de julio de 1998 y 2 de marzo de 1999) viene entendiendo que existe imprudencia siempre que se desatiende un deber legal de cuidado, es decir, cuando el sujeto infractor no se comporta con la diligencia exigible. Diligencia cuyo grado de exigencia se determinará en atención a las circunstancias concurrentes en cada caso, tales como el especial valor del bien jurídico protegido o la profesionalidad exigible al infractor. En este sentido, la citada Sentencia de 5 de julio de 1998 exige a los profesionales del sector un deber de conocer especialmente las normas aplicables. Aplicando la anterior doctrina, la Audiencia Nacional exige a las entidades que operan en el mercado de datos una especial diligencia a la hora de llevar a cabo el uso o tratamiento de tales datos o la cesión a terceros. Y ello porque siendo el de la protección de datos un derecho fundamental (Sentencia del Tribunal Constitucional 292/2000), los depositarios de estos datos deben ser especialmente diligentes y cuidadosos a la hora de operar con ellos y deben optar siempre por la interpretación más favorable a la protección de los bienes jurídicos protegidos por la norma. En este sentido, entre otras, Sentencias de la Audiencia Nacional de fechas 14 de febrero de 2002, 20 de septiembre de 2002, 13 de abril de 2005 y 18 de mayo de Conforme a este criterio es evidente que, a pesar de lo alegado, HIPERCOR S.A. no ha prestado la diligencia debida al vulnerar el principio de seguridad de los datos

17 17/18 personales de sus trabajadores, que ha tenido como consecuencia que esos datos personales fueran accesibles por un tercero no autorizado. Respecto a los criterios de graduación de las sanciones recogidos en el artículo 45.4 de la LOPD es necesario tener en cuenta la entidad de la infracción cometida al vulnerar el principio de seguridad de los datos, que ha tenido como consecuencia que los datos personales de sus trabajadores fueran accesibles por un tercero no autorizado. Como ya se mencionó, el derecho fundamental a la protección de los datos persigue garantizar a la persona un poder de control sobre sus datos personales, sobre su uso y destino que impida que se produzcan situaciones atentatorias con la dignidad de la persona es decir, el poder de resguardar su vida privada de una publicidad no querida. Por otra parte, a este respecto, no se pueden ignorar las circunstancias apuntadas por HIPERCOR, S.A., tales como la ausencia de beneficio, de intencionalidad y de perjuicio, que es el primer expediente por hechos de esta naturaleza, que se ha implantado un procedimiento de control de accesos, que disponen de documentos de seguridad, y la formación en la materia que se imparte a los empleados. Por todo ello, se estima ponderada y proporcionada a la gravedad del hecho la imposición de una multa de (veinte mil euros) por la vulneración del principio de seguridad de los datos que incumbe al responsable del fichero, recogido en el artículo 9 de la LOPD. Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a la entidad HIPERCOR S.A, por una infracción del artículo 9.1 de la LOPD, tipificada como grave en el artículo 44.3.h) de dicha norma, una multa de (veinte mil euros) de conformidad con lo establecido en el artículo y.5 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a HIPERCOR S.A y a D. A.A.A.. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el c. Jorge Juan Madrid

18 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 22 de julio de 2011 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Jose Luis Rodríguez Álvarez