Un ciudadano se encontró en la calle una caja con jeringuillas y reconocimientos médicos. Este simple hallazgo ha acabado con una multa de 100.000 euros por parte de la Agencia Española de Protección de Datos para la empresa Medios de Prevención Externos (en adelante, MPE).
La Agencia, en su expediente sancionador del , castiga la falta de diligencia en el tratamiento de los datos personales de los cuerpos de seguridad del estado y considera acreditado que esta ausencia de protección vulnera el artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD).
18 reconocimientos médicos de policías fueron abandonados en la calle
Unos reconocimientos médicos efectuados el pasado 05/08/2023 a agentes de la Guardia Civil y de la Policía Nacional por parte de MPE acabaron abandonados en la calle, cerca de la vivienda de una de las empleadas de la compañía.
Dichos documentos se encontraban en una caja donde, además, había contenedores de jeringuillas. Fue un ciudadano quien dio el aviso a la Jefatura Superior de Islas Baleares de este hallazgo
La Policía de la comunidad balear denunció este hallazgo ante la AEPD al entender que estos chequeos médicos, que se enmarcan en el programa de vigilancia de salud del servicio de prevención de riesgos laborales, deben ser custodiados fiel y cuidadosamente por la adjudicataria y el personal de servicios de dicha compañía.
Lo justifica con la cláusula 8, con rúbrica ‘cláusula de reserva y sigilo’, del Pliego de prescripciones técnicas para la contratación de la ejecución de reconocimiento médico con el servicio de prevención de riesgos laborales para los empleados de la Dirección General de la Policía.
«La adjudicataria y el personal de su servicio adquieren la obligación de custodiar fiel y cuidadosamente los datos a los que pudieran tener acceso como consecuencia de la realización del servicio, así como compromiso de que dichos datos serán utilizados únicamente para el cumplimiento del objeto del contrato», raza dicha cláusula.
La AEPD sanciona con 100.000 euros por faltar al deber de tratamiento y custodia de datos personales
La Agencia examina la actitud del Grupo MPE, empresa que presta servicios de prevención de riesgos laborales. Dicha empresa, a criterio de la AEPD, realiza la recogida, registro, organización y conservación de datos personales (como define el artículo 4.1 del RGPD) como nombre, número de identificación, datos de localización o elementos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
Asimismo, MPE realiza esta actividad en su condición de responsable del tratamiento de datos personales, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD.
«En el presente caso, constaría una brecha de datos personales, al haberse expuesto a terceros los datos de reconocimiento médicos de agentes de la policía y de la guardia civil, al encontrarse en la vía pública una caja con la documentación relativa a categorías especiales de datos relativos a la salud», señala el expediente sancionador.
Por ello, la Agencia considera Que los hechos descritos son constitutivos de una infracción por vulneración del artículo 5.1.f) del RGPD. Para la fijación de la multa, el órgano velador por la protección de los datos valora que en este caso no solo consta la falta de diligencia de la persona que recogió los datos, sino también los receptores de la documentación.
Esta circunstancia, a juicio de la Agencia, «refleja una omisión palmaria del responsable en el deber de cuidado hacia la protección de los datos de sus clientes, lo que refuerza y amplifica la gravedad de la infracción».
Así las cosas, la AEPD sanciona al Grupo MPE con 100.000 euros por una infracción del artículo 5.1f) del RGPD además de obligar a la empresa a adoptar las medidas necesarias para garantizar el cumplimiento de lo dispuesto en citado precepto, para asegurar la confidencialidad y trazabilidad de la documentación relativa a reconocimientos médicos afectadas fuera de sus instalaciones.
