La Gerencia Regional de Salud de Castilla y León (Sacyl) no cumplió entre 2011 y 2017 con los protocolos de seguridad necesarios en la instalación del programa Medora, un sistema con el que trabajan los sanitarios de Atención Primaria para pasar consulta, acceder a los historiales médicos y emitir recetas.
Así lo declararon dos peritos de Sacyl en un juicio en 2021 en la Audiencia Provincial de León en el que, a pesar de la confesión, se condenó a una enfermera a 2 años y 9 meses de cárcel por consultar 18 veces el historial médico de otra.
Sólo reconoció haber accedido en una ocasión para buscar el teléfono móvil de la otra sanitaria por motivos de trabajo porque había llegado documentación a su nombre.
Esta condena fue recurrida ante el Tribunal Superior de Justicia de Castilla y León, pero los magistrados la confirmaron íntegramente. Va a ser recurrida en casación y las letradas encargadas de llevar el caso son Ofelia Tejerina y Beatriz Saura.
Pues bien, para poner en contexto los hechos, hay que resaltar que Sacyl instaló en 2011 el programa Medora en el ordenador de la enfermera a petición del jefe de sección porque ésta era la única que sabía utilizarlo. Por tanto, era la responsable de enseñar al resto de compañeros el uso de la aplicación. Pero eso sí, sólo había un usuario y una contraseña, el de ella.
El ordenador no se bloqueaba
Este ordenador, que era viejo y no se bloqueaba, no cerraba la sesión hasta pasados 40 minutos, por lo que “podía acceder a la aplicación cualquier otro técnico de la sección”, según el informe remitido a la Fiscalía Provincial por el Jefe del Servicio Territorial de Sanidad y Bienestar Social en octubre de 2016.
Durante el juicio, la abogada Ofelia Tejerina realizó diversas preguntas a dos peritos de Sacyl sobre los protocolos de seguridad del programa al considerar que otras personas podrían haber accedido con sus credenciales.
El jefe del Servicio de Tecnología de la Información en la Gerencia Regional de Salud, en calidad de perito reconoció que no tenía pruebas de que la clave fuera imposible de transferir. Declaró que “pudo ser usado por distintas personas” y que le había llegado información de que se cedían credenciales.
También confesó no tener pruebas de que el resto de funcionarios tuviesen sus propias credenciales individualizadas ni que se hubiesen llevado a cabo cursos de formación para aprender a usar el software.
Fue tras la denuncia cuando en el año 2017 comenzaron a conceder credenciales al resto de compañeros.
Un perito reconoció que en 6 años no se había cambiado la contraseña
Por otro lado, reconoció que en seis años (desde que se instaló el programa hasta la denuncia) no se había cambiado la contraseña, cuando realmente hay que hacerlo, al menos, una vez al año.
Es decir, que no se dio ninguna medida de seguridad exigidas por la normativa vigente, el Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de la Ley Orgánica 15/1999 de 13 de diciembre de protección de datos de carácter personal, para la información cuya custodia encomendaron a la acusada.
Por otro lado, el segundo perito, el asesor jurídico del Servicio Territorial de Sanidad en la Comunidad, puso de manifiesto el compromiso de confidencialidad que adquirían los funcionarios a quienes se les autorizaba como usuarios de la base de datos Medora, siendo las claves que se les entregaban secretas, personales e intransferibles, solo conocidas por ellos mismos”.
En cambio, reconoció que era muy habitual que con una sola clave pudieran trabajar diferentes personas en una sección. “Puedo asegurar que eso era así”, señaló. Por lo que consideró factible que durante su ausencia del puesto de trabajo- salidas a tomar café, trabajar o por alguna otra pausa- alguien accediera con su clave informática al programa.
Sentencia similar pero con 60 accesos, reconociendo hechos y con condena más baja
La Audiencia Provincial de León también enjuició otro caso similar a este. Esta enfermera accedió a las historias clínicas de 16 compañeros hasta en 60 ocasiones.
Fue condenada a dos años y seis meses de prisión, es decir, tres meses menos que la otra condenada a pesar de que accedió más veces, reconoció los hechos y afectó a más personas.
