Los mediadores de seguros deben tener en cuenta que los datos personales relativos a la salud son de nivel alto en los que se refiere a Protección de Datos, lo que exige aplicarles las medidas de seguridad correspondientes a dicho nivel, y no se considera una medida válida el que un centro médico envíe por fax el informe médico de una paciente a la aseguradora para que ésta pueda autorizar una intervención. Son las conclusiones de una resolución de la Agencia Española de Protección de Datos (AEPD) tras la denuncia de una paciente, y que terminó en sanción para el centro médico, según informa PractiLetter Protección de Datos.

Los hechos ocurrieron cuando la denunciante acudió a un centro médico especializado en cirugía vascular como paciente de una compañía de seguros y, tras una prueba médica, se estimó la necesidad de una intervención quirúrgica. La aseguradora solicitó a la paciente un informe detallado del médico sobre la necesidad de la intervención, y al solicitarlo ésta a su vez al centro médico, le indicaron que ellos mismos se lo enviarían a la aseguradora como hacían siempre en esos casos. Y efectivamente lo hicieron…. pero por fax, un medio que, según la AEPD, no reúne las características técnicas de seguridad que exige la transmisión de datos de nivel alto como son los de salud, puesto que “no permite garantizar que la información no sea inteligible ni manipulada por terceros”.

La aseguradora, en defensa del método de transmisión de información que empleaban con los centros médicos asociados, esgrimió ante la AEPD que “el fax al que remiten los informes de nuestros asegurados es un medio de recepción seguro en la medida en que garantiza la confidencialidad de los datos remitidos”. Pero la AEPD insiste en que el fax no es un medio apropiado para la transmisión de información que contenga datos de salud, “por lo que su utilización incumple una medida de seguridad prevista en la normativa de protección de datos”. La AEPD recuerda que lo que aquí se imputa no es una infracción porque hayan accedido a esos datos personas no autorizadas, lo que supondría una infracción del deber de secreto (art. 10 de la LOPD), sino una infracción de medidas de seguridad (art. 9.1 de la LOPD). Aunque se trata de una infracción grave, sancionable con multa de 40.001 a 300.000 euros, la AEPD entiende que concurren circunstancias que permiten apreciar una cualificada disminución de la culpabilidad, por lo que impone al centro médico una sanción de 3.000 euros.

El día 8 de junio PractiLetter Protección de Datos ha organizado un seminario en el que, en una sola jornada, se analizarán todas las claves de la aplicación práctica de la Ley Orgánica de Protección de Datos (LOPD) en las empresas en todos sus ángulos (medidas de seguridad, documento de seguridad, auditorías, atención de derechos ARCO, consentimiento, proveedores, transferencias internacionales, marketing, relaciones laborales…). Descárguese aquí el programa.