Sin embargo, se han dado casos en que una simple gotera en el techo de la dependencia donde se ubicaba el servidor con los ficheros de datos personales ha constituido una incidencia en materia de protección de datos personales. Como consecuencia de la gotera se mojó la máquina servidor que albergaba los ficheros de datos personales de un centro sanitario, con la consiguiente avería de dicho soporte. Tal infortunio constituyó una incidencia que afectó a la seguridad de los datos conforme al RLOPD, no debiéndose olvidar que la LOPD exige en su artículo noveno que las medidas de seguridad a adoptar por el responsable del fichero deben garantizar la seguridad de los datos de carácter personal y evitar su alteración, pérdida, tratamiento o acceso no autorizado.

Conforme al documento de seguridad del centro sanitario se tuvieron que llevar a cabo, bajo el control del responsable de seguridad, los siguientes procedimientos recogidos en dicho documento:

1º.- Una de las personas autorizadas para acceder a la dependencia donde se ubicaba el servidor de datos la trasladó a otra dependencia seca y sin goteras. El soporte se encontraba identificado mediante un sistema de etiquetado que permitía a los usuarios autorizados para su acceso identificar su contenido.

2º.- Se procedió a notificar y cumplimentar el registro de incidencias, consignándose, además de la información tipo de dicho registro, el procedimiento de recuperación de datos que a la postre hubo que realizar, pero que previamente tuvo que ser autorizado por el responsable del fichero a través de la persona delegada al efecto. La recuperación de los ficheros de datos fue posible gracias a que se realizaban copias de seguridad con periocidad al menos semanal. Y una de dichas copias se encontraba depositada en un centro de respaldo de datos personales.

3º.- Como la máquina servidor dejó de funcionar hubo que trasladarla a una empresa de informática especializada en reparación de Hardware y Software. Ello dio lugar a que previamente el responsable del fichero tuvo que autorizar la salida del soporte de la sede del centro sanitario, y se cumplimentó el registro de entrada y salida de soportes.

4º.- Hubo que celebrar por escrito un contrato de protección de datos en los términos recogidos por el artículo 12 LOPD y 20 RLOPD con la empresa de informática prestadora del servicio de reparación para habilitar legalmente el acceso a los ficheros de datos personales que contenía el soporte averiado.

5º.- Gracias a que la aplicación informática ubicada en la máquina averiada cifraba los datos personales relativos a la salud de los pacientes del centro sanitario, se pudo trasladar el soporte a la sede de la empresa de informática con garantía de que dicha información no iba a ser accesible o manipulada durante su transporte por terceros no autorizados.

Por todo ello, es importante que los responsables de seguridad de las empresas realicen cursos formativos sobre la aplicación del documento de seguridad y las medidas técnicas y organizativas que contienen. Dichos cursos pueden tener un coste bonificado para las empresas si se realizan con cargo a las partidas destinadas para la formación de los empleados a través de la Fundación Tripartita.

Los profesionales médicos que tienen su consulta privada y recaban datos personales de sus pacientes deben elaborar un documento de seguridad en donde se recojan las medidas de índole técnica y organizativas necesarias que garantice la seguridad de los datos de carácter personal y evite su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana, del medio físico o natural.

Dado que los profesionales médicos en la prestación de sus servicios de asistencia sanitaria recaban datos de salud, que son datos especialmente protegidos por el RLOPD con un nivel de seguridad alto, deberán proceder a cumplir, conforme a su documento de seguridad, la medida de carácter técnico conocida como registro de accesos en caso de tratamiento automatizado. Si el tratamiento no es automatizado, como el resultante de la llevanza de un fichero alfabetizado de fichas de pacientes manuales, deberá establecerse mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios.

Resulta, pues, que el profesional médico autónomo que tiene una consulta privada en donde son dos los usuarios que acceden a la aplicación informática que contiene los datos personales y de salud de los pacientes deberá, con periocidad al menos mensual, elaborar un informe donde se recojan las revisiones realizadas a la información de control registrada por la aplicación informática y especificar los problemas detectados. En teoría, en el acceso por los usuarios a la aplicación informática que recoge los datos de los pacientes deberá registrar, en cada intento de acceso, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

De esta forma, este profesional médico autónomo que tiene una consulta modesta con un solo empleado con acceso autorizado al fichero de pacientes debe cumplir con esta complicada medida de seguridad de índole técnico. También debe cumplir con dicha medida el profesional médico autónomo que ha constituido una sociedad mercantil para operar en el mercado, aunque sea el único usuario que accede al programa informático de gestión de datos de los pacientes. Ello es así, porque a ambos profesionales no se les aplica la excepción del artículo 103.6 del RLOPD que les eximiría de cumplir con el registro de accesos. Para que opere dicha excepción deben concurrir las siguientes circunstancias:

a) Que el responsable del fichero o tratamiento sea una persona física.

b) Que el responsable del fichero o tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

Uno de los principales problemas con que se encuentra el profesional médico autónomo para cumplir con el registro de accesos automatizado es que la aplicación informática con la que recaba los datos de carácter personal, entre ellos los datos de salud de los pacientes, no tiene funcionalidades para cumplir con las medidas de seguridad de nivel alto que impone el RLOPD. Muchos de los Software de gestión sanitaria comercializados con anterioridad a la entrada en vigor del RLOPD no contemplan el cumplimiento técnico de la normativa de protección de datos de carácter personal, lo que implica que deberían de ser retirados del mercado o adaptarse a la norma. Conforme a la Disposición adicional única del RLOPD, los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad, básico, medio o alto, que permitan alcanzar las medidas de seguridad descritas en la norma reglamentaria.

La conclusión práctica que se alcanza es que el RLOPD recoge medidas de seguridad que están totalmente al margen de los problemas y de la realidad en la que operan muchos profesionales autónomos y empresas. El resultado que se consigue es el incumplimiento generalizado de la norma porque no es sensible a la forma de trabajar, al tiempo y a los medios disponibles por los responsables de los ficheros o tratamientos.

Con la LOPD y su Reglamento de desarrollo (RD 1720/2007, de 21 de diciembre), se pretende básicamente garantizar el libre ejercicio de los derechos de acceso, rectificación, cancelación y oposición por los interesados (personas físicas titulares de los datos personales sometidos a tratamiento) y el cumplimiento de los principios de información, consentimiento, finalidad, calidad y seguridad recogidos en la Ley. A través de la LOPD y su desarrollo reglamentario cobra vida el núcleo esencial del derecho fundamental a la protección de los datos de carácter personal definido como el derecho de toda persona física a tener pleno poder disposición sobre sus datos personales, a conocer y consentir las finalidades para las que van a ser objeto de tratamiento por terceros, así como de las cesiones que de dichos datos se vayan a efectuar.

Muchas organizaciones (empresas, profesionales liberales, asociaciones, fundaciones, administraciones públicas, etc) cumplen ya con los principios y derechos recogidos en la LOPD mediante las siguientes acciones:

- Notificando los ficheros de datos personales al Registro General de Protección de Datos, dependiente de la Agencia Española de Protección de Datos (AEPD), institución independiente que vela por la garantía del derecho fundamental a la protección de los datos de carácter personal.

- Informando a los interesados de los pormenores del tratamiento de sus datos de carácter personal y recabando, en su caso, su consentimiento a los tratamientos informados.

- Imponiendo a terceros prestadores de servicios garantías contractuales en el acceso a los ficheros de datos personales o tratamientos a efectuar.

- Recogiendo en un documento de seguridad el elenco de medidas técnicas y organizativas de nivel básico o medio o alto a implementar en los ficheros de datos personales, automatizados o no automatizados, de los que sean responsables o que accedan cuando tengan la cualidad de encargados del tratamiento.

- Garantizado a los interesados el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición mediante procedimiento sencillos y gratuitos.

-Formando a los usuarios de los ficheros de datos personales sobre las medidas de seguridad recogidas en el documento de seguridad y su aplicación en el desarrollo de las funciones que se les asignen.

Dado que estamos en la Era del Conocimiento, de la transmisión de todo tipo de información por las redes de comunicaciones electrónicas, en un mundo global y virtual por el uso de Internet, está claro que el futuro de la protección del derecho fundamental a la protección de los datos de carácter personal pasa por establecer controles y habilitar procedimientos y recomendaciones que permitan a los internautas disfrutar de la red de redes (Internet), sin ver vulnerado este derecho fundamental y el restos de derechos fundamentales que pueden ser potencialmente vulnerados a través de la infracción de las normativas de la protección de datos.

Por ello, desear a la LOPD una larga vida, por ser medio de protección de las personas y contribuir al desarrollo de la calidad de vida de los ciudadanos.

Recientemente se ha suscitado la polémica sobre si un número de teléfono móvil sin asociarlo a ninguna otra información es un dato de carácter personal o no a efectos de la aplicación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo.

Conforme a la Sentencia de la Audiencia Nacional, Sala de lo Contencioso Administrativo, de 17 de septiembre de 2008, un número de teléfono móvil sin otras circunstancias que identifiquen o pudiesen permitir identificar al titular del mismo impide que pueda encajarse en la definición legal de datos de carácter personal.

Para comprender este fundamento jurídico de la Audiencia Nacional han de examinarse las siguientes definiciones recogidas en el artículo 5 del RD 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD:

Ø Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento.

Ø Datos de carácter personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

Ø Persona identificable: Toda persona cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información referida a su identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física no se considerará identificable si dicha identificación requiere plazos o actividades desproporcionados.

Ø Procedimiento de disociación: Todo tratamiento de datos personales que permita la obtención de datos disociados.

En consecuencia, se platea ahora si otras informaciones numéricas, como el número de DNI, la IP de un ordenador, el Código numérico asignado a un paciente y/o cliente, etc, pueden ser considerados como datos de carácter personal si no van asociados a otras informaciones que permitan llegar a identificar al afectado. Para ello habrá que atender a si dicha identificación requiere plazos o actividades desproporcionados. Pero, ¿Qué se entiende por actividades desproporcionadas? La consulta a la base de datos policial de DNI no lo puede hacer cualquier persona, para poder identificar la IP de un ordenador hace falta preguntarle al operador de telecomunicaciones que la asigna, para llegar a identificar a una persona a través del ID de un cliente hay que penetrar en las instalaciones y base de datos de las organizaciones, etc.

El concepto de “plazos o actividades desproporcionados” produce una inseguridad jurídica que puede tener graves consecuencias prácticas en el tratamiento de datos personales por las empresas, profesionales y organizaciones de todo tipo. De hecho el criterio que mantiene sobre esta cuestión la Agencia Española de Protección de Datos (AEPD) y la Audiencia Nacional ya es distinto, con la inseguridad que eso supone para las empresas que tratan estas informaciones numéricas sin asociarlas a otras informaciones que puedan permitir identificar a los afectados, existiendo auténtico miedo en el tráfico económico por una posible sanción administrativa de la AEPD por vulneración de la protección de datos de carácter personal.