Proteccion de Datos

Posiblemente estemos ante la primera multa a una empresa por no disponer de Documento de Seguridad al ser requerido por la Agencia Española de Protección de Datos. En ocasiones se tiene la falsa creencia de que esto de cumplir con la protección de datos es poner un par de cláusulas aquí y allá e inscribir unos ficheros en noseque registro.

Nada más lejos de la realidad. El objetivo de la Ley Orgánica de Protección de Datos es precisamente ese, proteger los datos personales de los interesados o afectados, por tanto, medidas como incluir unas cláusulas o inscribir unos ficheros, realmente no persiguen esa finalidad protectora, aunque legalmente sea necesario hacerlo.

Es el Documento de Seguridad el instrumento que articula los mecanismos de seguridad que una determinada entidad ha decidido adoptar, respetando siempre los mínimos legales, pero permitiendo ampliar los sistemas de seguridad hasta donde estime oportuno.

A cierta Clínica y a cierto Hospital se les olvidó este pequeño detalle; redactar un Documento de Seguridad no es especialmente complejo, aunque sin duda es más que recomendable la intervención de especialistas en temas de protección de datos para contemplar y estudiar cada supuesto concreto.

En el caso expuesto, veremos como, extrañamente, ni la Clínica ni el Hospital facilitaron el Documento de Seguridad a la Agencia Española de Protección de Datos cuando le fue requerido, lo que, en el momento de la apertura del procedimiento sancionador le iba a costar entre 60.000 y 300.000 euros, aunque finalmente se lo dejaron en 6000 euros.

Para seguir leyendo haz clic en

El caso es curioso por varios motivos, principalmente por los hechos que causaron la denuncia ante la AEPD (pérdida de una historia clínica tras fallecer el enfermo en extrañas circunstancias) pero de esto hablaremos en otra ocasión.

El asunto es que la historia clínica parece que se pierde entre el Hospital y la Clínica; ante esta situación, la AEPD solicita a la Clínica y al Hospital que le remita el Documento de Seguridad de los ficheros con datos de los pacientes. Esto es una práctica habitual en fase de inspección: se solicita este Documento para conocer la situación de la empresa, responsable de seguridad, sistemas de información y seguridad, tratamiento de los datos, etc.

El 14 de julio de 2005 se le requiere el Documento de Seguridad a la Clínica y el 11 de agosto de 2005 la Clínica les responde que en este momento no podemos remitirle debido a la fecha en la que se solicita y que en breve les será remitido (mi propia experiencia profesional me indica, que en las fechas en las que fue solicitado el Documento de Seguridad (en pleno verano) la persona encargada de los temas de protección de datos debía encontrarse de vacaciones, y por tanto, en la Clínica nadie sabría dónde se encuentra ese Documento, y muy posiblemente, ni siquiera sabrían que existe, si es que existía).

Por su parte, el mismo día 14 de julio, se le requiere al Hospital el Documento de Seguridad, a lo cual, este Hospital responde el 2 de agosto que sin problemas y que el dichoso Documento va adjunto; sin embargo, adjunta a la contestación no iba nada. Misteriosamente, entre la documentación aportada se encuentra una certificación de la consultora que les estaba llevando el tema de protección de datos en el que se afirma que “hemos realizado el estudio de seguridad en el Hospital San Rafael de - Una vez realizado dicho estudio, actualmente estamos elaborando el documento de seguridad y se va a realizar la inscripción en la Agencia de Protección de Datos como regula la Ley. (ups)

Los días, meses y años transcurren, y la AEPD se cansa de esperar por lo que a finales de julio de 2007 acuerda iniciar el procedimiento sancionador contra estas dos entidades; rápidamente, en septiembre de 2007, les remiten los Documentos de Seguridad tanto del Hospital como de la Clínica, y les dice a la AEPD que los Documentos los tenían desde un primer momento, pero que entre unas cosas y otras no se los podían haber enviado antes.

Por supuesto, ya era demasiado tarde. La AEPD terminó en sancionar tanto a la Clínica como al Hospital con 6000 euros a cada uno (una rebaja considerable teniendo en cuenta que la sanción mínima para la infracción grave que es la que cometieron es de 60.000 euros)

Ahora bien, uno puede hacerse dos preguntas si ha seguido el hilo de los acontecimientos:

• 1º: ¿Por qué tardaron tanto en enviar el Documento de Seguridad?
• 2º: ¿Qué diablos es el Documento de Seguridad?

Respecto a la primera cuestión. Me imagino que tanto el Hospital como la Clínica estarían asesorados por profesionales en materia de protección de datos y éstos les explicarían lo de la prescripción de las infracciones. No disponer de Documento de Seguridad es constitutivo de infracción grave (artículo 44.3.h LOPD). Las infracciones graves prescriben, según artículo 47.1 LOPD a los dos años desde el día en que se hubiera cometido la infracción.
La infracción se cometió en el mismo momento en que la AEPD requirió formalmente el Documento de Seguridad y éste no fue entregado en el plazo previsto de 10 días desde la recepción del requerimiento.Por tanto, pensarían los abogados del Hospital y la Clínica que podrían dejar transcurrir el tiempo, en concreto, 2 años o más, sin hacer nada y sin emitir ninguna comunicación más a la AEPD, con el objeto de conseguir la prescripción de la infracción y salir airosos del asunto.
Este sin duda era el último argumento que les quedaba para evitar la multa, y estoy convencido que ya se imaginaban lo que les diría la AEPD: que en este caso nos encontramos ante una infracción continuada en el tiempo. Así, la AEPD afirma en su resolución que “Respecto a la prescripción […], debe señalarse que se trata de una infracción permanente pues los efectos de la falta de documento de seguridad permanecen mientras no se elabore el mismo.
De lo que se desprende que el dies a quo, en cuanto al cómputo del plazo de la prescripción, es el día en que cesa la lesión al citado artículo […], es decir el día en que se dota al fichero del documento de seguridad que exige el artículo 8 del Real Decreto 994/1998. Con lo cual la prescripción alegada no se ha producido, toda vez que con fecha 14/07/2005 se requirió a las entidades imputadas la aportación del citado documento de seguridad, mediante escritos que recibieron el 21/07/2005 y 26/07/2005. Tales entidades no apartaron los documentos de seguridad de sus ficheros en el plazo de diez días concedido a tal efecto, por lo que si en las citadas fechas carecían de documentos de seguridad, desde dicha fecha hasta la apertura del presente procedimiento, el día 20/07/2007, notificado el 24/07/2007, no ha transcurrido el plazo de dos años y la prescripción alegada no se ha producido.”
Nótese también lo astuto de la AEPD que acordaron iniciar el procedimiento sancionador cerca de la posible fecha de prescripción de los dos años. Sin duda alguna un interesante juego de estrategia con las prescripciones.

Y en relación a la segunda pregunta, sobre qué es el Documento de Seguridad.
En primer lugar dejar claro que la existencia de este Documento de Seguridad es obligatorio en todas las empresas que traten datos de carácter personal, artículo 8 del Real Decreto 994/1999: Artículo 8.Documento de seguridad. 1. El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.El contenido del Documento también está especificado en la Ley:a)ámbito de aplicación del documento con especificación detallada de los recursos protegidos. b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento.

c) Funciones y obligaciones del personal.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

3. El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

4. El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

Además el artículo 15 dispone que “el documento de seguridad deberá contener, además de lo dispuesto en el artículo 8 del presente Reglamento, la identificación del responsable o responsables de seguridad, los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento y las medidas que sea necesario adoptar cuando un soporte vaya a ser desechado o reutilizado.
Las medidas de seguridad de los ficheros con nivel de protección alto se recogen en los artículos 23 a 26 del citado Real Decreto 994/1998.

En definitiva, el Documento de Seguridad es el lugar donde hemos especificado las medidas que se han adoptado para proteger los datos personales, pues el artículo 9 LOPD impone el principio de seguridad de los datos, que es precisamente esto, y es obligatorio tenerlo en todas las empresas que traten datos de carácter personal.

Descargar la resolución de la AEPD desde aquí