Otra vez el eMule

Procedimiento sancionador PS/00059/2008, instruido por la Agencia Española de Protección de Datos a DÑA. X.X.X., vista la denuncia presentada por la POLICÍA LOCAL DE OURENSE que encontró en una red de intercambio de ficheros accesible desde Internet (entorno compartido “eMule”), un fichero con datos de carácter personal correspondiente a una entidad denominada Centro Médico Lasaitasuna, cuya titularidad corresponde a Dña. X.X.X.
Este fichero había sido inscrito en el Registro General, y en la versión encontrado en Internet aparecen once mil trescientos registros asociados a pacientes y su historia clínica. De ellos, más de cuatro mil se refieren a consultas de interrupción voluntaria del embarazo (IVE Aspiración e IVE Píldora).
En fecha 11 de enero de 2008, en uno de los ordenadores del sistema de información del Centro Médico se encontraban directorios y ficheros auxiliares correspondientes a una instalación del programa de gestión de intercambio de ficheros “eMule” de fecha 26 de abril de 2006. No obstante, se verificó que el mismo no estaba instalado en el momento de realizar la comprobación.
A fecha 11 de enero de 2008, el Centro Médico no disponía de documento de seguridad. En fecha 25 de marzo de 2008, han aportado documento de seguridad estableciéndose medidas de seguridad de nivel alto.
La Agencia inicia el procedimiento sancionador por infracción de los artículos de la LOPD 9.1 (Seguridad de los datos) y 10 (Deber de secreto). Ya que la imputada reconoció su responsabilidad de inmediato, se resuelve el procedimiento imponiendo la sanción correspondiente.
Puesto que se da la circunstancia que la comisión de infracción una implica necesariamente la comisión de la otra, se establece un concurso medial procediendo subsumir ambas infracciones en una. Dado que, en este caso, una está tipificada como infracción grave y otra como muy grave, se considera que procede imputar únicamente la infracción muy grave del artículo 10 de la LOPD como infracción originaria que ha implicado la comisión de la otra, y así se resuelve el procedimiento imponiendo a DÑA. X.X.X., por una infracción del artículo 10 de la LOPD, tipificada como muy grave en el artículo 44.4.g) de dicha norma, una multa de 150.000 € (ciento cincuenta mil euros) de conformidad con lo establecido en el artículo 45.3, 4 y 5 de la citada Ley Orgánica.

Hay algunos detalles importantes a tomar en consideración:
  1. Este es un buen ejemplo de repercusión LOPD en la pequeña empresa. Estamos ante un empresario individual (Dña. X.X.X.) que disponía de sólo tres ordenadores.
  2. El daño causado a nivel empresarial no es sólo económico (150.000 €), sino también de repercusión, ya que el asunto se ha reflejado en la portada de El País, incluyendo la dirección del centro y una foto de la entrada. Y quizás tu y yo no sepamos quién es Dña. X.X.X., pero hay 11.000 pacientes que probablemente sí. Toda la repercusión mediática en el blog de Marketing Positivo.
  3. La clínica había sido avisada por los servicios de salud del Gobierno Vasco en el sentido de que debía mejorar la seguridad de sus sistemas informáticos, y además, puesto que había dado de alta el fichero, había recibido la carta de la AEPD en la que ya se le avisa de que de ese mero acto administrativo no se desprende el cumplimiento del resto de obligaciones en protección de datos.