Multa de 40.000 euros a un servicio médico de prevención por compartir el informe de un trabajador con otro compañero

Pudo quedar en una anécdota, pero el empleado consideró que «el error» era lo suficientemente grave como para quedarse de brazos cruzados. De nada sirvieron las disculpas de la empresa Valora Prevención S. L. U. de la que recibió un correo electrónico de su delegada de protección de datos: «Me pongo en contacto con usted por una incidencia que me han comunicado respecto del último reconocimiento médico que se ha realizado. En primer lugar, le pido disculpas por el error y le informo que como medida de contención se ha eliminado de la web privada el reconocimiento médico que contenía información errónea, y se ha procedido a subirlo de nuevo con la información correcta. Además, se ha solicitado al usuario que proceda a eliminar la documentación confidencial que se haya podido descargar y/o imprimir contenida erróneamente en su reconocimiento médico», recoge la resolución de la Agencia Española de Protección de Datos (AEPD) consultada por este periódico y que ha resuelto sancionar a la empresa con 40.000 euros por no garantizar un tratamiento adecuado de datos confidenciales.

Tras comunicarle la reclamación realizada por el afectado, la empresa se justificó en estos términos: «Tras la investigación de los hechos ocurridos se constata que el reconocimiento médico se ha realizado en un centro sanitario externo y al mecanizar manualmente por parte del sanitario de Valora Prevención los datos en nuestro sistema y escanear las pruebas complementarias del 'trabajador', se han incorporado erróneamente al reconocimiento médico del 'compañero' debido a un error humano».

Tras el seguimiento realizado, la AEPD expone que ha quedado contrastado que la violación de seguridad solo afectó a la confidencialidad de los datos y «el hecho de que el trabajador se haya puesto en contacto con su compañero de trabajo para informarle de la incidencia se considera un factor de reducción de riesgo». «Debido a las medidas adecuadas adoptadas tras la violación de seguridad de los datos, es probable que no tenga ninguna repercusión en los derechos y libertades del interesado», avanza.

Pese a todo, en julio del pasado año la directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador a la empresa por las presuntas infracciones del artículo 5.1.f) del Reglamento General de Protección de Datos y artículo 32 del RGPD.

La empresa detalló en sus alegaciones que para asegurar un tratamiento de datos acorde a las medidas de seguridad implantadas en la compañía «todo el personal sanitario recibe al empezar a trabajar una formación en el uso de las herramientas informáticas; todos los sanitarios disponen de manuales, procedimientos, tutoriales, etc., actualizados; se dispone de un paquete servicios contratado para realizar campañas de formación obligatorias y remitir informaciones periódicas a todos los empleados en materia de seguridad de la información; y, se han reforzado sus políticas de seguridad iniciando un proceso de adaptación y certificación en normativa ISO 27001».

La AEPD califica de «positivas» estas medidas adoptadas por la entidad para eliminar las probabilidades de que volvieran a ocurrir hechos como los que dieron lugar a este procedimiento sancionador, si bien, el hecho de que se adoptasen «a posteriori», tal como la contratación de un centro de operaciones de seguridad en el año 2024, «no elimina la responsabilidad por una infracción cometida con anterioridad», con lo que la agencia desestimó tal alegación.

La empresa trató también de que se archivasen estas actuaciones o, al menos, que se modificaran las sanciones económicas por un «apercibimiento». Tampoco prosperó esta solicitud, ya que la AEPD contestó que no cabía imponer esta medida «debido a la naturaleza y severidad de la infracción, teniendo en cuenta que afecta al artículo 5 del RGPD y que es considerada muy grave debido a la importancia fundamental de los principios que establece para el tratamiento de datos personales».

El artículo 5.1.f) del RGPD establece que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas. «Este principio atribuye a Valora Prevención S. L. U., como responsable del tratamiento de datos personales, la obligación de impedir tratamientos no autorizados o ilícitos de estos datos, su pérdida o destrucción. Por lo tanto, no debería tratar datos personales si no está en disposición de garantizar la confidencialidad e integridad de estos e impedir que un tercero acceda a datos que no le conciernen, así como evitar su pérdida o destrucción», subraya.

Por último, desde la agencia advierten de que un incidente de estas características «puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales, y que pueden incluir la pérdida de control sobre sus datos personales, la restricción de sus derechos, la discriminación, la usurpación de identidad o fraude, las pérdidas financieras, la reversión no autorizada de la seudonimización (procesar la información de manera que sea imposible atribuirla a una persona específica), el daño para la reputación y la pérdida de confidencialidad de datos personales sujetos al secreto profesional, especialmente considerando que en este caso se trata de información de carácter médico», zanja la agencia.