Protección de Datos sanciona a Sanidad por “airear” tarjetas SIP de pacientes

La Agencia Española de Protección de Datos (AEPD) ha sancionado a la Conselleria de Sanidad por dos infracciones graves ante el abandono en la vía pública de «docenas de tarjetas sanitarias individuales (SIP) con datos de carácter personal de sus titulares».Los expedientes sancionadores contra la gestión de la consellera Carmen Montón se iniciaron por la información aparecida con fechas 12 y 13 de diciembre de 2016 en un periódico digital que narraba que un vecino de Valencia «localizó las tarjetas sanitarias con datos personales de sus titulares tiradas en la acera, concretamente junto a un contenedor de basura situado frente al centro de salud de esa ciudad».Según la Agencia de Protección de Datos, las citadas tarjetas «no habían sido sometidas a ningún proceso de destrucción», motivo por el cual los «datos de carácter personal de los titulares de las mismas resultaban legibles», tales como sus «nombres y apellidos, número de Documento Nacional de Identidad (DNI), número de identificación SIP y número de la Seguridad Social, además de otra información referida a las prestaciones médicas y farmacéuticas a las que pudieran tener derecho».
Ante la petición de explicaciones que hizo la agencia española, que vela para que no se airee información de carácter privado, a la Conselleria de Sanidad, el equipo de Montón remitió una carta en la que achacaba la aparición de las tarjetas personales en la vía pública a un error: «Solo puede ser consecuencia de un fallo puntual en la aplicación de protocolos establecidos para la retirada y destrucción de las tarjetas invalidadas». Sanidad además entregó una copia del Protocolo de recogida y destrucción de documentación de datos de carácter confidencial vigente en el departamento donde aparecieron en la calle los datos privados de usuarios. El equipo de Micer Mascó 31 intentó justificar el fallo con el argumento de que las tarjetas sanitarias «no contienen datos de salud ni ningún otro que exija la aplicación de medidas de seguridad de nivel alto, según el RD 1720/2017. Tampoco constan el domicilio ni datos de contacto». Desde la Conselleria también se presentó una disculpa esgrimiendo que el hecho denunciado «sólo puede interpretarse como un incumplimiento lamentable, pero puntual y extraordinario de los protocolos establecidos, añadiendo que con la aplicación de controles complementarios para el acceso a los servicios asistenciales difícilmente se puede entender que el incidente haya puesto en riesgo los derechos fundamentales de los titulares de las tarjetas».Sin embargo, pese a estas afirmaciones la Agencia Española de Protección de Datos considera que Sanidad cometió dos infracciones graves porque, en este caso, no aplicó el protocolo de eliminación de documentos que impone que debe ser eliminada «toda la documentación en la que puedan aparecer datos de pacientes, tanto referidos a datos administrativos como aquellos que contengan información clínica. Se incluye también cualquier tipo de listado en el que aparezca alguno de esos datos».Fotografías de las SIPLa AEPD pudo confirmar que un viandante se encontró las tarjetas y sorprendido por el hallazgo, decidió fotografiar los SIP esparcidas por la acera. De hecho, El artículo 9 de la LOPD dispone, bajo la rúbrica Seguridad de los datos, que el responsable del fichero, y, en su caso, el encargado del tratamiento, «deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural». Al no seguir el protocolo, la AEPD establece que no se custodiaron las tarjetas e impone dos infracciones graves, porque la aparición de los documentos «en la vía pública, junto a un contenedor de basura y sin destruir, pone de manifiesto que por parte del responsable del tratamiento no se prestó la diligencia necesaria en orden a hacer efectivas las medidas de seguridad».

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *