El Servicio Murciano de Salud
La Agencia Española de Protección de Datos (AEPD) ha declarado que el Servicio Murciano de Salud, Subdirección General de Salud Mental, ha cometido dos infracciones sobre la Ley Orgánica de Protección de Datos (LOPD), en lo referente a la seguridad de los datos que trata y al deber de información.
En concreto, ha supuesto una infracción del artículo 9 (medidas de seguridad), tipificada como grave, y otra del artículo 5 (principio de información), tipificada como leve, de la LOPD.
Esta resolución, de fecha 17 de Octubre de 2006 tiene dos lecturas posibles: la primera, que esta normativa de protección de datos, es usada con frecuencia por los ciudadanos (u otras empresas) como un arma arrojadiza para dañar intereses de terceros. La segunda lectura, que a la sociedad en general y a la Administración en particular, aun les falta un largo camino por recorrer para tratar nuestros datos con las respectivas medidas de seguridad.
El Reglamento de Medidas de Seguridad (RD 994/1999) establece una serie de medidas de seguridad que deberían haberse cumplido.
Entre otras, destaca la mencionada en la resolución y correspondiente al artículo 24 del citado reglamento: este artículo obliga a mantener un listado de acceso a la base de datos por parte de los sujetos que dispongan de ese acceso autorizado, es decir, un fichero donde se guarde quién accede a la base de datos (usuario), cuándo (fecha y hora) y fichero que accede, entre otra información.
Los Inspectores de la AEPD constataron que ese tipo de registros no se estaba llevando a cabo lo que junto a la falta de información relativa al artículo 5 LOPD, motivó la resolución de declaración de infracción de las Administraciones Públicas.
Comment
Jose Miguel
El caso resuelto por la Agencia en esta resolución (la R/00756/2006 por si alguien la está buscando) debería de poner de manifiesto el tratamiento de los datos por parte de la administración pública. Sinceramente, es verdad que hay mucho descontrol por parte del personal administrativo pero sentencias así deberían de ser consecuentes no solo con la entidad sino que también con el personal que trata los datos.
Digo esto porque se me presenta una duda y por la cual se exime al personal que trata los datos. Si bien es cierto que el propio reglamento obliga al responsable del fichero a informar sobre las funciones y obligaciones de los usuarios, debemos de tener en cuenta que el hecho de no haber informado al trabajador no le da a este total libertad a realizar cualquier tipo de acto con los datos. Todos sabemos que la mayoría del personal que trata datos en centros y/o entidades privadas son personal titulado y colegiado. Por esto último en virtud del código deontológico del propio colegiado debería de guardarse ese deber de secreto. Comento esto por que en el escrito de resolución anteriormente comentado en su punto «segundo» hace referencia a «…la vulneración del deber de secreto», del que se dice que no hay constancia escrita. Pero… si revisamos el artículo 10 de la propia ley 15/99 no veo por ningún lado la obligación de que se recoja ese deber por escrito. Únicamente indica que debe de guardarse ese deber de secreto por parte del responsable del fichero y por todo aquel que participe en el tratamiento de los datos; pero sí que es cierto que en determinados códigos deontológicos sí que se requiere que este compromiso sobre el deber de secreto se realice por escrito.
Bajo mi punto de vista sí que considero que debería de ser por escrito el compromiso de mantener el deber de secreto por parte de la persona encargada de la gestión de los datos sea el nivel que sea dentro del organigrama empresarial, ya que siempre y al final llegado el caso, las palabras se las lleva el viento.