GENERAL
Datos de 11.300 pacientes de una clínica de Bilbao llegan a la Red por un descuido
Multan al centro médico con 150.000 euros por la difusión de los informes
25.04.08 -
La Agencia Española de Protección de Datos (AEPD) ha multado con 150.000 euros a una clínica de Bilbao tras localizarse en Internet 11.300 registros con datos de pacientes del centro y sus historiales médicos. Más de 4.000 de esos expedientes se referían a consultas de interrupción voluntaria del embarazo, ya sea por aspiración o con la píldora, según consta en la resolución dictada por la agencia el 14 de abril pasado. La colaboración «inmediata» de la responsable de la clínica le ha evitado una sanción mayor.
Los hechos fueron denunciados por la Policía Local de Orense el 30 de noviembre del pasado año. Según el escrito policial, habían detectado en una red de intercambio accesible a través de Internet mediante el programa eMule «un fichero con nombres, direcciones, teléfonos e historial médico de 11.300 pacientes de una clínica ginecológica denominada Centro Médico Lasaitasuna», tal y como consta en la resolución sancionadora. Unas informaciones, las de carácter clínico, consideradas especialmente sensibles y que por lo tanto gozan de mayor protección.
El 11 de enero pasado, inspectores de la agencia se desplazaron a la clínica, donde fueron informados del procedimiento de recopilación de datos y comprobaron la existencia de tres ordenadores personales con acceso a Internet. En uno de ellos hallaron además indicios de que había tenido instalado el eMule, aunque en esos momentos no lo estaba. Asimismo, verificaron que el fichero de Internet se correspondía con el que se encontraba en el centro, exactamente con «una versión previa del mismo».
Los denunciados aseguraron desconocer el medio por el cual dicho fichero había podido aparecer en la Red. No obstante, la titular de la clínica reconoció «voluntariamente la responsabilidad de los hechos imputados», que le valieron la apertura de un expediente por presunta infracción grave del artículo 9.1 y muy grave del artículo 10 de la Ley de Protección de Datos.
La primera de estas disposiciones determina que «el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado». El artículo 10 obliga al «secreto profesional» respecto a dichos informes y «al deber de guardarlos».
Sin «intencionalidad»
La vulneración de este último puede acarrear una sanción de entre 300.000 y 600.000 euros, pero la Agencia de Protección de Datos la rebajó sensiblemente al atender algunas de las alegaciones de la clínica, que argumentó que no hubo «intencionalidad, reincidencia, ni beneficio económico» y que «no consta» que los mismos llegaran a «persona alguna», puesto que fueron detectados en «un rastreo policial». Pidieron, asimismo, que se impusiera sólo una de las dos multas propuestas, al entender «absorbidos los hechos a sancionar como infracción grave dentro del tipo correspondiente a la infracción muy grave».
La AEPD ha dejado la sanción, recurrible ante la propia agencia o en la Audiencia Nacional, en 150.000 euros. En parte, al admitir la última de las alegaciones del centro sanitario, así como la relativa a la falta de intencionalidad y la ausencia de ánimo de lucro. Pero también porque la responsable de Lasaitasuna ha desarrollado «inmediatamente» una «extensa actividad» para evitar que se repita lo ocurrido, contratando a sendas empresas informáticas para desarrollar un sistema que garantice la confidencialidad en la custodia de los expedientes.
Los hechos fueron denunciados por la Policía Local de Orense el 30 de noviembre del pasado año. Según el escrito policial, habían detectado en una red de intercambio accesible a través de Internet mediante el programa eMule «un fichero con nombres, direcciones, teléfonos e historial médico de 11.300 pacientes de una clínica ginecológica denominada Centro Médico Lasaitasuna», tal y como consta en la resolución sancionadora. Unas informaciones, las de carácter clínico, consideradas especialmente sensibles y que por lo tanto gozan de mayor protección.
El 11 de enero pasado, inspectores de la agencia se desplazaron a la clínica, donde fueron informados del procedimiento de recopilación de datos y comprobaron la existencia de tres ordenadores personales con acceso a Internet. En uno de ellos hallaron además indicios de que había tenido instalado el eMule, aunque en esos momentos no lo estaba. Asimismo, verificaron que el fichero de Internet se correspondía con el que se encontraba en el centro, exactamente con «una versión previa del mismo».
Los denunciados aseguraron desconocer el medio por el cual dicho fichero había podido aparecer en la Red. No obstante, la titular de la clínica reconoció «voluntariamente la responsabilidad de los hechos imputados», que le valieron la apertura de un expediente por presunta infracción grave del artículo 9.1 y muy grave del artículo 10 de la Ley de Protección de Datos.
La primera de estas disposiciones determina que «el responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado». El artículo 10 obliga al «secreto profesional» respecto a dichos informes y «al deber de guardarlos».
Sin «intencionalidad»
La vulneración de este último puede acarrear una sanción de entre 300.000 y 600.000 euros, pero la Agencia de Protección de Datos la rebajó sensiblemente al atender algunas de las alegaciones de la clínica, que argumentó que no hubo «intencionalidad, reincidencia, ni beneficio económico» y que «no consta» que los mismos llegaran a «persona alguna», puesto que fueron detectados en «un rastreo policial». Pidieron, asimismo, que se impusiera sólo una de las dos multas propuestas, al entender «absorbidos los hechos a sancionar como infracción grave dentro del tipo correspondiente a la infracción muy grave».
La AEPD ha dejado la sanción, recurrible ante la propia agencia o en la Audiencia Nacional, en 150.000 euros. En parte, al admitir la última de las alegaciones del centro sanitario, así como la relativa a la falta de intencionalidad y la ausencia de ánimo de lucro. Pero también porque la responsable de Lasaitasuna ha desarrollado «inmediatamente» una «extensa actividad» para evitar que se repita lo ocurrido, contratando a sendas empresas informáticas para desarrollar un sistema que garantice la confidencialidad en la custodia de los expedientes.
