Una incidencia de este tipo podría haber costado a una empresa privada una sanción de hasta 600.000 euros.
La Agencia Española de Protección de Datos ha emitido una resolución en la que pone de manifiesto que la Consejería de Sanidad cometió dos infracciones de carácter grave contra la Ley de Protección de Datos de Carácter Personal, (LOPD), al permitir que se filtraran datos de pacientes a través de su web. En concreto, considera que vulneró el deber de secreto garantizado, al haber posibilitado que terceras personas tuviesen acceso a datos personales de usuarios, y que no impidió “de manera fidedigna” que un usuario accediera a datos de otros ciudadanos.
La resolución, conocida por Ical, pone fin a la vía administrativa, y se pondrá en conocimiento del Defensor del Pueblo. Según fuentes del despacho de abogados especializados en protección de datos www.salirdeinternet.com, esta infracción podría haber supuesto para una empresa una sanción de hasta 600.000 euros, teniendo en cuenta que, por ejemplo, Vodafone fue sancionada con 100.000 euros por una incidencia que provocó que se pudiera acceder a los datos de 22 clientes y que solventó en 24 horas.
Los hechos se remontan a marzo de 2011, cuando un usuario de Sacyl accedió a la web de la Consejería para realizar una reclamación, y comprobó que al cambiar en la URL el número de reclamación podía ver las presentadas por otros usuarios. Entre otros datos personales, relativos al nombre, apellidos, dirección, correo electrónico, se podían leer las reclamaciones o sugerencias y, en algunos casos, datos vinculados a su salud.
El denunciante, cumplimentó un documento alertando a la Consejería de la incidencia, y desde la Dirección General de Planificación, Calidad y Ordenación se le acusó recibo de la reclamación. Si bien, comprobó que el problema no se había subsanado, por lo que puso los hechos en conocimiento de la Agencia Española de Protección de Datos.
Tras una notificación de la Agencia, firmada por su director, José Luis Rodríguez Álvarez, la Consejería reforzó los sistemas de seguridad para blindar los accesos. De hecho, emitió un informe en el que puso de manifiesto que en seis años había sido la única incidencia denunciada, y en el que explicaba los diferentes sistemas de protección.
En concreto, la Consejería vulneró los artículos 9 y 10 de la Ley de Protección de Datos de Carácter Personal, tipificadas como graves en los artículos 44.3.h y 44.3.d de esta norma. Debido a que tomó las medias adecuadas para subsanar la incidencia, la Agencia de Protección de Datos ha decidido no instar a que adopte otras medidas.
Fuente: Leonoticias.com