Conforme al RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, RLOPD en adelante, incidencia es cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. Normalmente cuando hablamos de incidencia en materia de protección de datos de carácter personal estamos pensando en que se ha producido una pérdida de datos, en que ha entrado un virus en el servidor u ordenador y ha causado daños en la base de datos personales, o que se ha producido un acceso no autorizado a los ficheros de datos personales por un hacker.

Sin embargo, se han dado casos en que una simple gotera en el techo de la dependencia donde se ubicaba el servidor con los ficheros de datos personales ha constituido una incidencia en materia de protección de datos personales. Como consecuencia de la gotera se mojó la máquina servidor que albergaba los ficheros de datos personales de un centro sanitario, con la consiguiente avería de dicho soporte. Tal infortunio constituyó una incidencia que afectó a la seguridad de los datos conforme al RLOPD, no debiéndose olvidar que la LOPD exige en su artículo noveno que las medidas de seguridad a adoptar por el responsable del fichero deben garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Conforme al documento de seguridad del centro sanitario se tuvieron que llevar a cabo, bajo el control del responsable de seguridad, los siguientes procedimientos recogidos en dicho documento:

1º.- Una de las personas autorizadas para acceder a la dependencia donde se ubicaba el servidor de datos la trasladó a otra dependencia seca y sin goteras. El soporte se encontraba identificado mediante un sistema de etiquetado que permitía a los usuarios autorizados para su acceso identificar su contenido.

2º.- Se procedió a notificar y cumplimentar el registro de incidencias, consignándose, además de la información tipo de dicho registro, el procedimiento de recuperación de datos que a la postre hubo que realizar, pero que previamente tuvo que ser autorizado por el responsable del fichero a través de la persona delegada al efecto. La recuperación de los ficheros de datos fue posible gracias a que se realizaban copias de seguridad con periocidad al menos semanal. Y una de dichas copias se encontraba depositada en un centro de respaldo de datos personales.

3º.- Como la máquina servidor dejó de funcionar hubo que trasladarla a una empresa de informática especializada en reparación de Hardware y Software. Ello dio lugar a que previamente el responsable del fichero tuvo que autorizar la salida del soporte de la sede del centro sanitario, y se cumplimentó el registro de entrada y salida de soportes.

4º.- Hubo que celebrar por escrito un contrato de protección de datos en los términos recogidos por el artículo 12 LOPD y 20 RLOPD con la empresa de informática prestadora del servicio de reparación para habilitar legalmente el acceso a los ficheros de datos personales que contenía el soporte averiado.

5º.- Gracias a que la aplicación informática ubicada en la máquina averiada cifraba los datos personales relativos a la salud de los pacientes del centro sanitario, se pudo trasladar el soporte a la sede de la empresa de informática con garantía de que dicha información no iba a ser accesible o manipulada durante su transporte por terceros no autorizados.

Por todo ello, es importante que los responsables de seguridad de las empresas realicen cursos formativos sobre la aplicación del documento de seguridad y las medidas técnicas y organizativas que contienen. Dichos cursos pueden tener un coste bonificado para las empresas si se realizan con cargo a las partidas destinadas para la formación de los empleados a través de la Fundación Tripartita.