Dos empresas sancionadas por no disponer de Documento de Seguridad

Las dos empresas no aportaron a la Agencia los Documentos de Seguridad cuando fueron requeridas para ello.

La Agencia de Protección de Datos inició en el año 2005 unas actuaciones previas de investigación a un hospital y una clínica por una supuesta pérdida del historial clínico de un paciente. En esas actuaciones previas requirió con fecha de Julio de 2005 a ambas entidades que remitieran copia del documento de seguridad. Ninguna de las dos aportó copia del documento de seguridad; solamente el Hospital aportó un certificado de una empresa privada en el que se afirmaba por parte de ésta la elaboración de un "estudio de seguridad" y la manifestación de que el documento "se estaba elaborando".

Posteriormente con fecha de Julio de 2007, la Agencia Española de Protección de Datos inicia un procedimiento sancionador contra estas dos entidades por carecer de documento de seguridad y por tanto vulnerar el principio de seguridad de los datos del artículo 9 de la LOPD. Tras las alegaciones de las partes, la Agencia Española de Protección de Datos formula una propuesta de sanción de 6000 euros a cada entidad, cantidad que se mantiene en la resolución final.

Lo curioso es que ambas entidades habían inscrito uno o varios ficheros en el Registro General de Protección de Datos con fecha 2002 y 2004 respectivamente. Desde DATAGESTION siempre recordamos que la inscripción de los ficheros NO ES EL UNICO REQUISITO EXIGIBLE por la normativa de protección de datos. El conjunto de obligaciones exigidas es más amplio e incluye, tal y como se pone de manifiesto en esta sanción, la existencia de un documento de seguridad debidamente actualizado que recogerá las medidas de seguridad de índole técnicas y organizativas en materia de seguridad de datos y que será de obligado cumplimiento para el personal con acceso a los sistemas de información.