La secretaria general de Instituciones Penitenciaria ha sido sancionado por parte de la autoridad de control en Protección de Datos debido a la pérdida de un historial clínico de un interno. En la resolución de dicho procedimiento sancionador la Agencia Española de Protección de Datos declara que dicho centro penitenciario en cuestión, ha infringido lo dispuesto en el artículo 9 de la anterior normativa, relativo a la seguridad y protección de los datos.

La cuestión principal es que el reclamante solicitaba su historial clínico debido que para éste, era de tal importancia para acreditar la conveniencia de recibir un tratamiento médico especializado que solicitó insistentemente con resultado negativo. Pues para sorpresa de todos, el centro penitenciario en el que se encontraba el preso “extravío” intencionadamente o no, eso quedará en el aire, la documentación solicitada por el reclamante en su derecho al acceso a la información.

La falta de adopción de medidas técnicas y organizativas por parte del personal de Instituciones Penitenciarias para asegurar la integridad y confidencialidad de los datos de los presos, le ha supuesto al organismo que le condenen por una infracción muy grave de la normativa que se le aplica.

Del expediente sancionador se pueden sacar en claro diversas cuestiones, como que dicha historia clínica en formato papel, del reclamante -quien ha estado interno en diversos centros penitenciarios- estuvo desaparecida al menos entre septiembre de 2017 y marzo de 2019. Además, la desaparición de la historia clínica del reclamante se confirmó por el DPD de Instituciones Penitenciarias durante la fase de admisión a trámite de la reclamación. La Subdirección General de Coordinación de Sanidad Penitenciaria informó que “efectivamente consta la desaparición de parte de la historia clínica del reclamante que estaba recogida en formato papel”.

El propio centro penitenciario en cuestión reconoce que, respecto a las historias clínicas en formato papel de los internos, venía incumpliendo varias de las disposiciones del RGPD en relación con el artículo 9 de la LOPD. Entonces, la cuestión principal es la siguiente. ¿Por qué en este procedimiento sancionador no procede imponer una sanción pecuniaria ni ninguna indicación por parte de la Agencia Española de Protección de Datos?

¿Tiene la autoridad competente una doble vara de medir, según provenga el incumplimiento de la normativa de un responsable del tratamiento u otro (por ejemplo una administración pública o una sociedad mercantil) o si afecta a un u otro tipo de usuarios? Son cuestiones interesantes, porque según mi experiencia la resolución de la Agencia Española de Protección de Datos hubiera sido diferente si dicha infracción la hubiera cometido el personal de un hospital privado, un psicólogo o un médico privado.

 

GONZALO OLIVER MARTÍN