La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha resuelto un procedimiento sancionador contra una empresa, imponiéndole una sanción de 40.000 euros (reducida finalmente a 32.000 euros por pago voluntario), por una vulneración del artículo 5.1.f) del Reglamento General de Protección de Datos (en delante, “RGPD”), relativo al principio de integridad y confidencialidad en el tratamiento de datos personales.
El procedimiento sancionador se inició tras la reclamación de un trabajador cuyo informe de reconocimiento médico fue anexado erróneamente al historial clínico de otro empleado, quedando expuesto a terceros sin su conocimiento ni consentimiento.
En particular, la AEPD destaca los siguientes puntos:
- Pérdida de confidencialidad de datos de salud: El error se produjo al escanear e incorporar manualmente pruebas médicas al sistema de gestión, lo que derivó en la subida de un informe erróneo al portal del Servicio de Prevención, accesible por otro trabajador. Este hecho constituye una pérdida de confidencialidad, al permitir el acceso no autorizado a datos especialmente protegidos.
- Infracción calificada como muy grave: La conducta fue calificada como infracción muy grave conforme al artículo 83.5.a) del RGPD y al artículo 72.1.a) de la LOPDygdd, al suponer una vulneración sustancial del principio de confidencialidad en el tratamiento de datos personales, especialmente tratándose de información relativa a la salud.
- Rechazo de la alegación sobre el artículo 32 RGPD: Aunque inicialmente se incluyó también una posible infracción del artículo 32 del RGPD (medidas de seguridad), la AEPD acordó su archivo al no quedar acreditada la ausencia de medidas generales en materia de seguridad. Sin embargo, ello no eximió a la entidad de la infracción del artículo 5.1.f).
- Medidas correctoras insuficientes para eximir responsabilidad: La empresa alegó contar con formación continua, manuales, protocolos de seguridad y procesos de certificación (ISO 27001). La AEPD valoró positivamente estas medidas, pero consideró que fueron adoptadas tras el incidente y no eliminan la responsabilidad por el daño ya causado.
- Graduación de la sanción: La AEPD tuvo en cuenta como agravantes que los datos afectados eran especialmente sensibles (datos de salud), que la actividad de la entidad implica tratamientos sistemáticos de este tipo de datos, y que la víctima perdió de forma irremediable el control sobre su información personal.
- Terminación del procedimiento por pago voluntario: La empresa abonó la cuantía reducida de 32.000 euros conforme al artículo 85.2 de la Ley 39/2015, lo que supuso la terminación anticipada del procedimiento sin reconocimiento expreso de responsabilidad.
Esta resolución subraya la especial diligencia exigida en el tratamiento de datos de salud, y refuerza el principio de responsabilidad proactiva como eje fundamental del cumplimiento normativo en materia de protección de datos. La correcta implementación de medidas técnicas y organizativas debe ser efectiva, constante y verificable, especialmente en entornos donde se manejan datos sensibles por defecto.
