Multada con 40.000 euros una empresa de prevención de riesgos laborales por enviar los datos de salud de una persona a un tercero

La Agencia Española de Protección de Datos (AEPD) ha sancionado con 40.000 euros a una empresa de prevención de riesgos laborales por haber enviado los datos de salud de una mujer a un tercero por correo electrónico.

La mercantil cometió una vulneración del artículo 5.1, letra f), del Reglamento General de Protección de Datos (RGPD) al haberse producido una falta de confidencialidad en el tratamiento de los datos de carácter personal de la persona afectada, consecuencia de haber anexado el documento PDF con los resultados del reconocimiento médico de dicha parte a los resultados médicos de un tercero en la web del Servicio de Prevención y a los que este último tuvo acceso al proceder a la descarga del fichero.

Según consta en la resolución (disponible en el botón ‘descargar resolución’) los datos de salud fueron facilitados por un error humano, tratándose de un incidente y no de una brecha de seguridad. No obstante, los hechos ocurrieron por “la ausencia o indebida implementación de medidas técnicas y organizativas de todo tipo y que derivó en la pérdida de confidencialidad de los datos”, razona la AEPD.

(Imagen: E&J)

El caso

Los hechos llegan a raíz de que una empresa contara con los servicios de la mercantil dedicada a la prevención de riesgos laborales para que sus trabajadores se realizaras los correspondientes reconocimientos médicos.

Una de las trabajadoras interpuso ante la AEPD una reclamación contra la mercantil del sector sanitario después de que un compañero de trabajo le comunicara que, cuando había accedido a través de la web del Servicio de Prevención reclamado para descargar los resultados de su reconocimiento médico y que al abrir el documento PDF descargado, advirtió que, adjunto a su reconocimiento, figuraban anexas las pruebas médicas complementarias que se habían realizado a dicha mujer.

Cuando la empresa de prevención de riesgos tuvo conocimiento de la incidencia, se puso en contacto —a través de correo electrónico y mediante su DPD— con la afectada informándole del error y comunicando su subsanación. En dicho correo se informaba a la parte reclamante que “como medida de contención se ha eliminado de la web privada el reconocimiento médico que contenía información errónea, y se ha procedido a subirlo de nuevo con la información correcta. Además, se ha solicitado al usuario que proceda a eliminar la documentación confidencial que se haya podido descargar y/o imprimir contenida erróneamente en su reconocimiento médico”.

La Agencia Española de Protección de Datos, por su parte, tras interponerse la reclamación contactó con la parte reclamada (con la empresa de prevención de riesgos laborales). Esta segunda envió a la AEOD un escrito de respuesta reconociendo lo ocurrido, pero alegó que se trataba de un incidente y no de una brecha de seguridad “de acuerdo a la valoración del riesgo efectuada” y que tras el seguimiento realizado a la incidencia había quedado contrastado que “la violación de seguridad sólo había afectado a la confidencialidad de los datos” de la parte reclamante, por lo que la cantidad de datos afectados podía “considerarse baja”.

Asimismo, la empresa ponía en conocimiento de la Agencia que se habían adoptado medidas nuevas tras la violación de la seguridad de los datos personales de la reclamante en aras de asegurar un tratamiento de datos seguro por parte de todo el personal sanitario de la compañía.

Entre esas medidas señalan: “recibir una formación en el uso de las herramientas informáticas; todos los sanitarios disponen de manuales, procedimientos, tutoriales, etc., actualizados; se dispone de un paquete servicios contratado para realizar campañas de formación obligatorias y remitir informaciones periódicas a todos los empleados en materia de seguridad de la información; y, se han reforzado sus políticas de seguridad iniciando un proceso de adaptación y certificación en normativa ISO 27001”.

(Imagen: E&J)

40.000 euros de multa por no garantizar la seguridad de los datos

La Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador contra la empresa de prevención de riesgos laborales, el cual ha finalizado imponiendo a dicha mercantil una multa de 40.000 euros por haber vulnerado el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD).

La empresa realiza un tratamiento de datos personales en su actividad de negocio. Al tener la condición de responsable del tratamiento, está obligada a tratar los datos personal de tal modo que garantice su confidencialidad mediante la aplicación de medidas técnicas u organizativas apropiadas.

Sin embargo, se produjo una pérdida de confidencialidad o de integridad de los datos personales de una persona, por lo que la mercantil vulneró el artículo 5.1.f) del RGPD. Y dicha vulneración “se produjo por la ausencia o indebida implementación de medidas de técnicas y organizativas de todo tipo y que derivó en la pérdida de confidencialidad de los datos de la parte reclamante”, señala la AEPD en la resolución.

En este sentido, la Agencia argumenta que “un incidente como el ocurrido en el caso que nos ocupa puede tener una serie de efectos adversos considerables en las personas, susceptibles de ocasionar daños y perjuicios físicos, materiales o inmateriales, y que pueden incluir la pérdida de control sobre sus datos personales, la restricción de sus derechos, la discriminación, la usurpación de identidad o fraude, las pérdidas financieras, la reversión no autorizada de la seudonimización, el daño para la reputación y la pérdida de confidencialidad de datos personales sujetos al secreto profesional, especialmente considerando que en este caso se trata de información de carácter médico”.

Y aunque la AEPD afirma que las medias adoptadas por la empresa para eliminar o reducir las probabilidades de que ocurran hecho como los que han dado lugar a este procedimiento sancionador son positivas, recuerda que “el hecho de que se adopten medidas a posteriori, tal como la contratación de un centro de operaciones de seguridad, no elimina la responsabilidad por una infracción cometida con anterioridad”.