La Agencia Española de Protección de Datos ha declarado que la Dirección General de Atención Primaria del Servicio Madrileño de Salud ha infringido el deber de secreto que le impone la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante LOPD) por facilitar datos personales a terceros no autorizados.
No todo vale a la hora de documentar y probar las pretensiones que defendamos en un procedimiento judicial. Existen numerosos límites y en particular la normativa de protección de datos puede ser uno de ellos.
La Agencia Española de Protección de Datos (en adelante AEPD) se ha pronunciado en una curiosa y reciente resolución, la número 01739/2015 de fecha 25 de agosto, donde castiga no a quién aportó la información de carácter personal en un procedimiento judicial de forma indebida sino a quién la facilitó.
Los hechos ocurrieron el 29 de octubre de 2013 cuando los afectados, entre ellos un menor de edad, fueron emplazados judicialmente para contestar a una demanda instada por sus hermanos en un tema de división de la cosa común, concretamente de unas fincas que mantenían en proindiviso.
En la demanda presentada se aportó diversa documentación e información, entre ella y la que aquí nos interesa unos documentos obtenidos directamente por los demandantes sobre datos sanitarios de los afectados, obrantes en el Servicio Madrileño de Salud de la Consejería de Sanidad de la Comunidad de Madrid y referidos al Centro de Salud al que habitualmente acuden, el médico de cabecera y enfermera que les atiende y el hospital que les corresponde. Por ejemplo, documentos relativos al cambio de domicilio del Servicio Madrileño de Salud en los que constan los siguientes datos personales: nombre, apellidos, fecha y lugar de nacimiento, sexo, tipo de usuario "T" "general titular normal", NIF, nº de afiliación, domicilio postal, teléfonos, centro de salud, facultativo y hospital asignado; así como otra documentación relativa a la tarjeta sanitaria.
Los afectados que vieron sus datos personales privados aportados en la demanda denunciaron al Servicio Madrileño de Salud por entender que éste habría vulnerado el artículo 10 de la LOPD que recoge, con las siguientes expresiones, el denominado deber de secreto: "El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo."
El citado artículo 10 regula de forma individualizada ese deber de secreto de quienes tratan datos personales dentro del título dedicado a los principios de protección de datos, lo que refleja la gran importancia que el legislador atribuye al mismo. Este deber de secreto pretende que los datos personales no puedan conocerse por terceros salvo de acuerdo con lo dispuesto en otros preceptos de la LOPD, como por ejemplo el artículo 11 (cesión de datos). Y esta obligación es de las denominadas "de resultado", de suerte que si no se respeta el resultado protegido por la norma podríamos estar ante la infracción descrita.
Cabe destacar el hecho de que los denunciantes no parece que se dirigieran contra la los demandantes que aportaron la información en el expediente judicial, sino contra la entidad que consideraron responsable de la filtración de los datos personales.
Tras la denuncia el Servicio Madrileño de Salud alegó, en síntesis, que no había quedado acreditado que fueran ellos los que habrían facilitado la información personal de los denunciantes (podrían haberla obtenido por otros conductos) y que además por las fechas en la que sucedieron los hechos y parece que fueron impresos los documentos el sistema informático del Servicio Madrileño no disponía de un registro-traza de qué usuario imprime qué documento, mejora que se implementó en diciembre de 2014.
Sin embargo la AEPD considera que los datos personales de los denunciantes son datos que se encuentran en origen en los ficheros del propio Servicio Madrileño de Salud y, el hecho de que la aplicación no permitiera conocer qué usuario concreto imprime qué documento y cuándo le lleva a la determinación de considerar que el Servicio Madrileño de Salud infringió lo dispuesto en el artículo 10 de la LOPD.
La AEPD califica como grave la conducta y declara la infracción al Servicio Madrileño de Salud; estas declaraciones de infracciones no llevan aparejada sanción económica alguna.
