Una negligencia del SCS permitió que los datos de 1.748 pacientes llegaran a Internet

La Audiencia Nacional ha ratificado la resolución de la Agencia Española de Protección de Datos (AEPD) en la que se declaraba que el Servicio Cántabro de Salud había cometido una infracción al difundir datos personales de 1.748 pacientes a través de Internet. La resolución de la Agencia consideró la falta como «muy grave» e instó a la administración cántabra a poner en marcha los mecanismo para evitar su repetición en el futuro.

La denuncia de este caso fue interpuesta en dos ocasiones, en octubre y noviembre de 2006, por la Policía Local de Orense, uno de cuyos agentes se ha vuelto ya famoso por detectar en la red archivos de todo tipo, desde documentos oficiales hasta tramas de pederastia.

La sentencia de la Sala de lo Contencioso-Administrativo de la Audiencia Nacional desestima el recurso interpuesto por el Gobierno de Cantabria contra la resolución de la AEPD de 25 de febrero de 2009. En ella, la Agencia declaraba una infracción al Servicio Cántabro de Salud al constatar la existencia de un archivo accesible desde el programa eMule, que contenía nombres, apellidos, fechas de nacimiento, direcciones, teléfonos, sexo y, en algún caso, datos de salud tales como hipertensión o diabetes de 1.748 pacientes de localidades dependientes de la Zona de Salud de Miera.

Según la AEPD, el Servicio de Salud de Cantabria había infringido la normativa de protección de datos al incumplir el deber de secreto al que estaba obligado, por lo que le instó a adoptar las medidas internas oportunas para impedir que volviera a repetirse en el futuro.

La resolución recurrida estimaba que el Servicio Cántabro de Salud estaba obligado a adoptar, de manera efectiva, las medidas técnicas y organizativas necesarias previstas para ese tipo de ficheros y, entre ellas, las dirigidas a impedir el acceso a los datos contenidos en tales archivos por parte de terceros.

En el recurso, el Gobierno de Cantabria argumentó que la resolución no detallaba cuáles fueron las medidas que no se implementaron por parte del Servicio Cántabro de Salud y, además, consideraba que la conducta pudo haber sido cometida por el personal que tenía a su disposición las historias y que habría infringido el deber de secreto.

En la sentencia, según informa EFE, la Audiencia Nacional considera que queda acreditado que el Servicio Cántabro de Salud, responsable de la custodia de los datos, vulneró el deber de secreto garantizado en la Ley Orgánica de Protección de Datos, al haber posibilitado el acceso no restringido a datos personales sin consentimiento de sus titulares. El fallo del tribunal señala que «la efectividad de la revelación es innegable, puesto que los datos de los pacientes accedieron a Internet y quedaron a disposición del público». La Audiencia considera que el argumento utilizado por el Gobierno cántabro, de que hubiese sido un trabajador el que hubiera llevado a cabo la divulgación de los datos, «no deja sin efecto el hecho de que» el titular del fichero era el Servicio Cántabro de Salud. «No basta con la aprobación formal de las medidas de seguridad», sino que «resulta exigible que aquellas se instauren y se pongan en práctica de manera efectiva».