La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente con 40.000 € a una empresa dedicada a la prevención de riesgos laborales por un grave fallo de confidencialidad. En concreto, se envió por error un archivo en formato PDF que contenía los resultados médicos de una trabajadora, junto con los datos de otra persona, a través de la web privada del servicio, lo que permitió a un tercero acceder a información sensible ajena a su consentimiento .
Aunque la AEPD considera que el incidente fue resultado de un error humano y no de una brecha de seguridad deliberada, lo relevante fue la ausencia o implementación deficiente de medidas técnicas y organizativas adecuadas para proteger la confidencialidad de los datos de carácter personal, lo que constituye una infracción del artículo 5.1 f) del Reglamento General de Protección de Datos (RGPD) .
La trabajadora afectada presentó una reclamación tras descubrir que el PDF de su reconocimiento médico incluía anexos con las pruebas médicas de otra persona. La empresa, al detectar el error, actuó notificando a la afectada, retirando el documento comprometido de la web y sustituyéndolo por uno corregido. Además, solicitó al usuario que eliminase cualquier copia descargada o impresa del fichero erróneo .
En su defensa ante la AEPD, la mercantil intentó calificar el suceso como un incidente de baja afectación, señalando que solo se vulneró la confidencialidad de una parte, y presentó un plan de medidas correctivas. Estas incluyeron formación obligatoria en el uso de herramientas informáticas, manuales actualizados, campañas de sensibilización periódicas y el inicio de procesos de adaptación a la certificación ISO 27001 . No obstante, el regulador subrayó que estas acciones posteriores no eximen de responsabilidad por la infracción cometida.
La AEPD justificó la sanción recordando que un incidente, incluso considerado “limitado”, puede tener importantes consecuencias para las personas afectadas. Entre los posibles daños figuran la pérdida de control sobre sus datos, la discriminación, la suplantación de identidad o daños reputacionales y materiales, especialmente en casos que involucran información médica sensible .
Este caso ejemplifica la importancia crítica de implementar políticas robustas de protección de datos desde el diseño (“privacy by design”). Las organizaciones deben contar con procedimientos automáticos o manuales que prevengan este tipo de errores, así como auditorías periódicas, controles de acceso diferenciados, cifrado de documentos y formación continuada del personal, especialmente cuando se manejan datos sanitarios clasificados como categorías especiales.
Para empresas de servicios de salud ocupacional, prevención de riesgos o servicios sanitarios en general, esta resolución refuerza la necesidad de cumplir de forma estricta con el RGPD y la normativa nacional (LOPDGDD). La confidencialidad de los datos médicos no admite margen de error: su tratamiento exige medidas técnicas y organizativas apropiadas desde el primer momento.
