Complir els aspectes formals que requereix la Llei de Protecció de Dades (LOPD), també té avantatges quan un treballador d’una empresa actua amb mala fe, tal com podem veure en un procediment d’Inspecció realitzat per l’Agència de Protecció de Dades, Procediment nº PS / 00146 / 2010.
L’assumpte es va iniciar al rebre a l’Agència Espanyola de Protecció de Dades (AEPD) un escrit de l’Institut Nacional de Seguretat Social de Sevilla, adjuntant documentació mèdica trobada a l’entrada del Centre d’Atenció i Informació de la Segureta Social d’aquesta localitat, juntament a acta de compareixença signada pel director i dos funcionaris d’aquest centre. A l’exterior d’aquests apareixia el nom de l’entitat denunciada i al marge superior dret figuraven els cognoms i nom de diferents persones. Aquests sobres contenien diversa documentació de caràcter mèdic.
Respecte al compliment de la Entitat en matèria de protecció de dades, es va poder verificar per part dels Inspectors de l’Agència que a les seves instal·lacions existien les següents mesures de seguretat:
- Es va mostrar als inspectors aquesta documentació: Informe d’auditoria, Actes d’establiment del deure de secret, de les que hi ha un total de 28, Document de designació del responsable de seguretat, Document de Seguretat, del que es recau còpia del índex.
- Els historials clínics en suport paper es trobaven emmagatzemats en una habitació tancada amb clau, que custodiava únicament el responsable de l’arxiu. Qualsevol sol·licitud d’història clínica se n’ha de fer responsable del arxiu, qui obra l’habitació en la que s’emmagatzema aquesta documentació, permetent l’accés a aquesta al sol·licitant. Trobada la història clínica al seu arxivador corresponent, es retirada d’aquest pel sol·licitant. Només té accés a la documentació emmagatzemada a l’arxiu personal mèdic subjecte al secret professional, qui el custodia fins a la devolució a l’arxiu.
L’empresa denunciada també afirma que “El fet de que s’hagin tirat al lloc en que van aparèixer, implica que la voluntat de fer mal a l’entitat per part de qui hagi realitzat aquesta acció, ja que no s’ha autoritzat cap sortida de documents ni s’ha realitzat cap trasllat de documents”. Senyala també a un metge concret com possible responsable de la fuga d’informació, a qui afirma la seva intenció de denunciar per la via penal.
Després de revisar la documentació aportada, la AEPD arriba a la conclusió que l’entitat denunciada no en té la culpa, sobre el suposat de que no va adoptar les mesures necessàries per impedir qualsevol recuperació posterior de la informació de caràcter personal que contenien aquests documents. Sense que dels fets se’n derivi una falta de diligència en la custodia de la informació esmentada, especialment sensible ja que contenia dades de salut. Aquestes mesures estaven implementades, no procedint a declarar-la responsable del fet de que unes històries clíniques hagin sortit de l’àmbit de l’entitat apareixent a la via pública, quan presumptament hi ha hagut una intervenció activa d’un tercer (en aquest cas només el personal mèdic subjecte al secret professional pot tenir accés a les històries clíniques emmagatzemades al arxiu), que en base al principi de presumpció d’innocència permet exonerar la responsabilitat de la denunciada.