El Ministerio de Defensa, responsable de dejar sin protección miles de historias clínicas

Este es uno de los casos en los que la Agencia Española de Protección de Datos actua de oficio. En agosto de 2005 apareció en algunos medios de comunicación la noticia sobre la existencia de cientos de cajas amontonadas con historiales clínicos en un campo de fútbol en desuso en la localidad gaditana de San Fernando.
De ahí se trasladaron a las dependencias del Hospital Naval de San Carlos pero en el exterior de sus locales, estando a la intemperie y además la entrada al recinto a través del acceso peatonal no se encontraba restringido.

Las historias clínicas, cuyo origen era del Hospital Militar de Sevilla, estuvieron apiladas en 380 palés y simplemente protegidas por una valla metálica desmontable.

Estos hechos fueron suficientes para que la AEPD iniciara la investigación oportuna con el objeto de esclarecer si los hechos descritos podrían ser constitutivos de infracción de la Ley Orgánica de Protección de Datos, y que ha terminado por resolver hace unas semanas.

Como siempre, vamos a ponernos en situación:

El asunto gira en torno a unas historias clínicas del Hospital Militar de Sevilla, que al ser cedido al Servicio Andaluz de Salud, se decidió, provisionalmente, almacenarlas en 380 palés en un campo de fútbol en desuso de San Fernando mientras se les hacía sitio en su nuevo destino: el Hospital Naval de San Carlos de Cadiz.
Es mientras se encuentran en el campo de fútbol cuando sale en algunos medios las deficientes condiciones en las que se encuentran estas historias clínicas, recordemos, apiladas en cajas en 380 palés.

Como así no podía seguir, el Hospital Naval ordena que con urgencia saquen de allí las historias y se las lleven a su destino, es decir, al propio Hospital Naval; el problema es que como allí aun no habían terminado de hacer las obras oportunas para almacenar los historiales y demás, se les ocurre la idea de dejar los palés en el exterior del Hospital, y poner una valla desmontable alrededor, así que tenemos unas 4500 cajas con historias clínicas, cuya única protección es una valla metálica en un recinto sin acceso restringido según pudo constatar la Inspección de Datos.

Esto evidentemente provocó una nueva noticia en los medios, cebándose con la inapropiada decisión de dejar allí las historias clínicas; finalmente, a alguien se le ocurrió volver a trasladarlas a una nave de un Arsenal militar custodiadas por personal militar, ya sí, protegidas correctamente.

En vista de lo expuesto, la AEPD invoca los siguientes artículos para determina la posible responsabilidad, en este caso, de la Subsecretaría del Ministerio de Defensa:

El artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, que recoge:
1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
“2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.
“3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley

Y lo relaciona con el 4.3, 8.1 y 9 del aun vigente Real Decreto 994/1999 de 11 de junio, por el que se aprueba el Reglamento de Medidas de Seguridad que indica:

Artículo 4.3:
“Los ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual así como los que contengan datos recabados para fines policiales sin consentimiento de las personas afectadas deberán reunir, además de las medidas de nivel básico y medio, las calificadas como de nivel alto.

El artículo 8.1, establece:
“El responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizadas de carácter personal y a los sistemas de información.

Y el artículo 9 “ Funciones y obligaciones del personal, dispone:
“1. Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidos y documentadas, de acuerdo con lo previsto en el artículo 8.2.c).
2. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas se seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Finalmente afirma que la conducta descrita supone una infracción al articulo 9 de la LOPD y artículos trascritos del Reglamento de Medidas de Seguridad de los ficheros automatizados que contengan datos de carácter personal.

Y por lo tanto declara que la SUBSECRETARIA del Ministerio De Defensa ha infringido el artículo 9 de la LOPD, en relación con el artículo 9 del Reglamento de Medidas de Seguridad, tipificada como grave en el artículo 44.3.h de dicha norma.
Por supuesto, al tratarse de una Administración, no procede imponer sanción en formato de multa pecuniaria, sino simplemente se declara la infracción, por lo que el efecto ejemplarizante de esta clase de Resoluciones se diluye en el propio papel.
Por otro lado, me parece algo forzado enlazar los hechos con la vulneración del artículo 9 del Real Decreto 994/1999, el cual simplemente señala que el Responsable del Fichero deberá establecer las funciones y obligaciones de cada una de las personas que tengan acceso autorizado a los datos y que deberá hacer lo propio para que sean conocidas. Pero no olvidemos que el ámbito de aplicación de este Real Decreto 994/1999 de medidas de seguridad, según su artículo primero es:

Artículo 1.ámbito de aplicación y fines.

«El presente Reglamento tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal sujetos al régimen de la Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.»

Es decir, las medidas establecidas en este Real Decreto son de aplicación exclusivamente a los ficheros automatizados, tanto si hablamos de Ficheros como de las personas que intervengan en el tratamiento de los datos, y no por tanto al papel (algo que solucionará el Real Decreto 1720/2007). Es más, está interpretación del ámbito de aplicación del Real Decreto 994/1999, ha sido incluso objeto de pregunta en el Congreso de los Diputados, donde ha sido el propio Gobierno (intérprete auténtico del Real Decreto 994/1999 y cuyo criterio es superior al de cualquier Agencia) el que señaló en su día que no se aplicaba a los ficheros en papel (lo que por cierto viene a señalar el propio Real Decreto en lógica con el contexto LORTAD en el que fue aprobado). La pregunta fue publicada en el BOCCGG-CD, VII Legislatura, serie D, de 16 de mayo de 2002, núm. 351 y la respuesta del Gobierno en el BOCCGG-CD, VII Legislatura, serie D, de 25 de junio de 2002, núm. 377.
Transcribo directamente:

PREGUNTA: A la Mesa del Congreso de los Diputados
Don Jordi Jané i Guasch, en su calidad de Diputado del Grupo Parlamentario Catalán (Convergència i Unió), y de acuerdo con el artículo 185 y siguientes del Reglamento de la Cámara, presenta las siguientes preguntas, solicitando su respuesta por escrito.

¿Realiza la Agencia de Protección de Datos algún control sobre los ficheros manuales creados a partir de la entrada en vigor de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos?
¿Cuántas comunicaciones sobre la existencia de nuevos ficheros manuales se han recibido en la Agencia de Protección de Datos desde la entrada en vigor de la mencionada Ley Orgánica?
¿Se aplica por parte del Gobierno el Reglamento de medidas de seguridad (aprobado mediante el Real Decreto 994/1999, de 11 de junio) a los ficheros manuales creados a partir de la entrada en vigor de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos?
Palacio del Congreso de los Diputados, 12 de abril de 2002.-Jordi Jané i Guasch, Diputado.-Xavier Trias i Vidal de Llobatera, Portavoz del Grupo Parlamentario Catalán (Convergència i Unió).

RESPUESTA: En anexo se remite la información solicitada por el Gobierno a la Agencia de Protección de Datos.
Madrid, 29 de mayo de 2002.-El Secretario de Estado de Relaciones con las Cortes.
3. El Real Decreto 994/1999, tiene por objeto establecer las medidas de índole técnica y organizativas necesarias para garantizar la seguridad que deben reunir los ficheros automatizados, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento automatizado de los datos de carácter personal. Por lo tanto, el citado Real Decreto únicamente es aplicable a ficheros o tratamientos automatizados.

Queda por tanto más que claro, que los criterios seguidos por las distintas Agencias de aplicar el Real Decreto 994/1999 a ficheros en papel no se ajustaba a los preceptos establecidos legalmente, aunque también es cierto, que dejar impunes casos como los expuestos del Hospital mencionado, sería olvidar un principio fundamental: el de Justicia.
Aunque ciertamente, se podría haber acudido directamente a la LOPD sin pasar por su Reglamento de Medidas de Seguridad para encauzar el tema de las historias clínicas.

Descargar la Resolución de la AEPD sobre la infracción al Ministerio de Defensa

Comments
  • JC
    Posted 18 marzo 2008 06:33 0Likes

    Efectivamente… dejar impune un caso como este, iría contra la Justicia… pero no hacerlo, va contra la seguridad jurídica y el principio de tipicidad.

    Es más, me consta que en otras ocasiones (supermercados S.R., hospitales, …) sí se archivó el procedimiento precisamente por que no existía norma que estableciese medidas de seguridad para ficheros en formato papel.

    De todas formas, clama al cielo que no se hayan tomado unas medidas de seguridad mínimas, y más siendo un hospital… pero como es administración pública y no hay sanciones económicas… nunca pasa nada.

  • pamplinas
    Posted 3 julio 2009 12:07 0Likes

    !Huy, qué tremendo, fíjate tú! !Así todo el mundo pudo saber quien tenía neumonía, a quién habian operado de almorranas, a quien le quitaron una verruga, quien tuvo una angina de pecho, quién tuvo un esguince! !Anda, qué información tan interesante y confidencial! !Menudo morbazo! (Creo que se me capta la intención irónica…tontitos.)

    • Bernardo
      Posted 21 abril 2021 12:46 0Likes

      ¿Sabes que los datos medicos de las personas son CONFIDENCIALES? Pues el garante de la confidencialidad y de la seguridad de los datos médicos de un Hospital público es el Estado, en este caso el Ministerio de Defensa.
      Y da lo mismo que existan datos de operaciones de almorranas o que los existan de operaciones a corazón abierto o de enfermedades graves, que también los había. Datos necesarios por los enfermos en muchas ocasiones y que una vez perdidos causan un problema sanitario a las personas.
      No entiendo como se puede ser tan ignorante y no tener vergüenza de hacer el ridículo en las redes con un comentario como el tuyo.

  • Anonimo
    Posted 6 julio 2009 01:54 0Likes

    pamplinas dijo:

    !Huy, qué tremendo, fíjate tú! !Así todo el mundo pudo saber quien tenía neumonía, a quién habian operado de almorranas, a quien le quitaron una verruga, quien tuvo una angina de pecho, quién tuvo un esguince! !Anda, qué información tan interesante y confidencial! !Menudo morbazo! (Creo que se me capta la intención irónica…tontitos.)

    ¿Y a quien se le diagnosticó gonorrea, o sífilis, a quien se le practico un aborto, a quien se le hizo una vasectomía, un «pitotomia», etc.?
    Hay que ser mas imaginativo, tontito, que parece que solo da morbo el sexo. Si te extirpasen medio colon y te tuviesen que poner ano artificial ¿te daría mucho gusto que tu historia clinica fuese de mano en mano?
    Ponte siempre en la piel del afectado, que desde la barrera siempre ha sido muy fácil torear.

Leave A Comment

Your email address will not be published. Required fields are marked *