Traigo a colación este tema porque recientemente la Audiencia Nacional ha ratificado una resolución de la Agencia Española de Protección de Datos en la que sancionaba al Servicio Cántabro de Salud por difundir datos personales de casi dos mil pacientes a través de Internet. En concreto se trata de un caso en el que se constató la existencia de un archivo accesible desde el programa Emule, que contenía datos de filiación de pacientes y ciertos datos de salud de los mismos. Dicha resolución fue recurrida por el Servicio Cántabro de Salud alegando, entre otros motivos, que la infracción pudo haber sido cometida por el personal que tenía acceso a las historias clínicas que sería quien habría infringido la observancia del deber de secreto. Es lógico pensar que efectivamente fue alguno de los trabajadores quien instaló el Emule en su ordenador y quien, probablemente de manera accidental, subió a este programa el archivo que contenía los datos de carácter personal de los pacientes. Sin embargo, manifiesta la Audiencia Nacional que si bien es posible que haya sido un trabajador quien haya realizado esta divulgación de datos a través de Internet, esto no deja sin efecto que el titular del fichero era el Servicio Cántabro de Salud y como responsable del mismo es a quien corresponde el cumplimiento de las medidas de seguridad, no sólo su aprobación sino su aplicación real y efectiva.
A pesar de que probablemente estamos un hecho accidental cometido por un trabajador, no se trata de un hecho aislado puesto que existen más resoluciones de la Agencia Española de Protección de Datos en las que se sanciona la aparición en Internet de archivos con datos de pacientes.
A modo de ejemplo mencionaremos dos resoluciones de la Agencia en la que se sancionó esta conducta. En concreto, el año pasado la Agencia impuso una multa de 6.000 euros a un médico nutricionista del que se encontró un archivo en Emule con datos de más de 500 pacientes. En el año 2008, en un caso similar se impuso una multa de 150.000 euros a una Clínica ginecológica privada después de verificar que desde el Emule se podía acceder a un fichero con los datos de las historias clínicas de sus pacientes.
Por tanto, el cumplimiento de las medidas de seguridad establecidas en el Reglamento que desarrolla la LOPD son importantes, pero de nada sirven si las mismas no son conocidas por el personal o si no se elaboran protocolos internos por los que los trabajadores conozcan sus obligaciones y responsabilidades. De este modo se reducirán los riesgos de actuaciones accidentales por parte de los trabajadores. Para las actuaciones malintencionadas, así como para aquéllas realizadas por error o accidente a pesar de los medios puestos por la empresa, sólo nos queda tener un buen seguro.