Ricardo Martínez Platel. Madrid
La Sala de lo Contencioso de la Audiencia Nacional ha desestimado el recurso presentado frente a una resolución de la Agencia Española de Protección de Datos (AEPD), que impuso a una empresa una sanción de 20.000 euros por permitir que se pudieran visualizar los análisis clínicos de los trabajadores de la compañía.
La AEPD recibió una denuncia que alertaba que desde dos terminales ubicados en el muelle de recepción de mercancías de la entidad no era complicado acceder a estos datos, ya que en la inspección realizada se comprueba que aunque es necesarios suministrar un código de usuario y una contraseña, el usuario lo proporciona el sistema por defecto, y la contraseña es la misma que el código de usuario proporcionado, lo que de acceso a 300 análisis clínicos de los trabajadores.
La infracción imputada a la entidad es la del artículo 9.1 de la Ley Orgánica de Protección de Datos a cuyo responsable del fichero y el encargado del tratamiento “deberán adoptar las medidas de índole técnica y organizativas necesarias para garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado”.
Según la jurisprudencia de la Sala “no basta con la adopción de cualquier medida, sino que resulta exigible que se instauren y pongan en marcha de forma efectiva, porque de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales si luego no exige a los empleados la observancia de esas instrucciones. El fallo recoge que “es evidente la falta de diligencia en la custodia de la documentación, ya que se puede acceder sin dificultad a este tipo de información”.