Sanción de 20.000 euros por no garantizar la seguridad de los datos clínicos de los trabajadores

web de la Agencia Española de Protección de Datos

Según el artículo 9.1 de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), los responsables o administradores de los ficheros de datos personales deben adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado”. Su incumplimiento puede suponer sanciones económicas.

Esto es lo que ha ocurrido con una empresa que fue sancionada por la Agencia Española de Protección de Datos (AEPD) con 20.000 euros de multa por descuidar y permitir el acceso a los análisis clínicos de los trabajadores, una información que se considera de carácter personal y por tanto que debe protegerse para cumplir con lo expuesto en la LOPD.

La empresa no estuvo de acuerdo con esta decisión y la recurrió a la Audiencia Nacional, que finalmente ha desestimado la demanda al considerar que hay pruebas que muestran que la entidad no puso las medidas necesarias para evitar el acceso a estos datos.

Concretamente como se puede ver en la resolución de la AEPD, la empresa no cuenta con las medidas de seguridad oportunas con relación a información de datos clínicos, ya que desde dos terminales ubicados en el muelle de recepción de mercancías se pueden visualizar, entre otros, datos de análisis clínicos de trabajadores de la empresa. Aunque es necesario introducir un usuario y una contraseña, se observa que el usuario lo proporciona el Sistema por defecto, siendo la contraseña la misma que el código de usuario proporcionado. Al acceder se visualiza un escritorio con varios iconos entre los que se encuentra el denominado “Mi PC”, se selecciona dicha opción visualizándose entre otros el archivo de almacenamiento denominado Administracion$, verificándose que contiene 27 carpetas, entre las que se encuentran las denominadas: “Servicio Médico” y “Personal Todos”, desde donde se accede a los datos.

La Audiencia Nacional considera que la empresa está obligada a adoptar las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros… y por tanto debe dar una explicación adecuada y razonable de cómo los datos han ido a parar a un lugar en el que son susceptibles de recuperación por parte de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y se ejecuten con rigor”. De ahí que desestime la demanda, tal y como ha informado el portal de noticias Redacción Médica.

 

 

Esta entrada fue publicada en Noticias, Protección de Datos y etiquetada , , , . Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *