Compartir contenido
Protección de datos
Tema: Vulneración LOPD sanitarios.
Protección de datos personales
Alcalde de Pamplona-Iruña
Excmo. Señor Alcalde:
El 19 de septiembre de 2017 esta institución recibió un escrito del señor don […], mediante el que formulaba una queja por una posible vulneración de la legislación de protección de datos de carácter personal en el procedimiento de reconocimiento de su incapacidad.
En dicho escrito, exponía que:
Por todo lo expuesto, solicitaba que se investigase cómo se habían divulgado los datos médicos contenidos en la resolución reconocedora de su incapacidad, así como que le fuese facilitada información acerca del personal que había tenido acceso a los mismos, pues su derecho fundamental de protección de datos se había visto vulnerado.
También solicitaba que el Ayuntamiento de Pamplona-Iruña implantase las medidas pertinentes para asegurar una protección efectiva de los datos de carácter personal de sus trabajadores, evitando, de este modo, situaciones como la relatada. Por último, solicitaba que el Instituto Navarro de Salud Laboral valorase la legalidad de la práctica de remitir las resoluciones de incapacidad junto con la información médica.
En el informe recibido del Ayuntamiento de Pamplona-Iruña, se señala lo siguiente:
“En relación a la queja formulada por D. (…) por una posible vulneración de la legislación de protección de datos de carácter personal en el procedimiento de reconocimiento de su incapacidad le informamos de lo siguiente.
Efectivamente el Instituto de Salud Pública y Laboral de Navarra remitió la propuesta del Tribunal Médico de Valoración de Incapacidades de Navarra de declaración incapacidad permanente total derivada de enfermedad común y de lesiones permanentes no invalidantes.
En virtud de dichas propuestas se le concedió al Sr. (…) la jubilación por incapacidad permanente total y se acordó el abono de la cuantía legalmente establecida por las lesiones permanentes no invalidantes establecidas en aquel dictamen.
Frente a la Resolución del Director de Recursos Humanos sobre su incapacidad interpuso el autor de la presente queja, Recurso de reposición, y frente a la desestimación de ese Recurso, sendos Recursos de Alzada ante el TAN, sobre el grado y contingencia, que fueron acumulados, y sobre los que recayó Resolución de dicho órgano desestimando sus pretensiones.
El procedimiento administrativo en el Ayuntamiento se gestiona a través de una aplicación informática denominada Gestión de expedientes. El Dictamen Médico del Tribunal de Valoración de Incapacidades de Navarra, que contiene los datos de salud del Sr. (…) y al que hace referencia en la queja, se ha almacenado en dicha aplicación informática como parte imprescindible del mismo. Esta aplicación guarda un log de los accesos producidos, tanto a los trámites como a los documentos incluidos en los mismos, log que ha sido revisado, comprobando que todas las personas que han accedido tenían permiso y lo han hecho de forma correcta.
Por otra parte, las Resoluciones del Área de Recursos Humanos, como las de otras áreas, se publican en la Intranet Municipal a través de Actas. El acceso a la intranet es restringido, pudiendo acceder únicamente los grupos o personas que lo necesitan para su trabajo o para el ejercicio de sus funciones legalmente establecidas. Este acceso no deja huella, por lo que no puede saberse qué personas de las que tienen permiso han accedido. En cualquier caso, cabe destacar que en las Resoluciones adoptadas por Dirección de Recursos Humanos y publicadas en la intranet, no se cita en ningún caso, los datos médicos del Sr. (…). Desconocemos qué datos han sido divulgados, quién ha sido el autor y lo que es más importante, de dónde se han obtenido. El hecho es que los órganos u organismos que han podido tener acceso a sus datos médicos fuera de este Ayuntamiento son variados, el Tribunal Administrativo de Navarra, el Instituto Navarro de Salud Laboral, y quién sabe cuántos más.
De este modo, y salvo que aporte algún medio probatorio concluyente, es imposible señalar a este Ayuntamiento como origen de la información supuestamente revelada.
Además, a la vista de la situación expuesta en la presente queja, y en aras a garantizar aún más si cabe, la seguridad de la información que obrante en este Ayuntamiento, se ha previsto implementar las siguientes medidas:
Analizar la posibilidad de sustituir, en las Resoluciones que contienen datos sensibles, los datos de nombre y apellidos por otros datos identificativos que causen una menor intromisión para el titular.
De igual forma, conviene señalar que actualmente se está realizando en el Ayuntamiento la auditoría del Esquema Nacional de Seguridad que incluye una fase de análisis de riesgos, y una de las medidas previstas, es la compra de una solución de auditoría y análisis forense que, entre otras cosas, permite almacenar los accesos que se han producido y que se instalará en las aplicaciones más críticas determinadas por la auditoría, pudiendo incluirse en las Resoluciones de RR.HH. de la intranet”.
Por su parte, el Departamento de Salud, en su informe, expone:
“El Instituto de Salud Pública y Laboral de Navarra (ISPLN) tiene encomendadas entre sus funciones tal como queda recogido en el Decreto Foral 242/2015, de 14 de octubre, por el que se modifica el Decreto Foral 63/2012, de 18 de julio, por el que se aprueban los Estatutos del organismo autónomo Instituto de Salud Pública y Laboral de Navarra (ISPLN), la vigilancia, control y evaluación de la incapacidad laboral en todas sus formas.
Estas actuaciones de control, vigilancia y evaluación de las incapacidades laborales, incluyen los procedimientos de control de bajas y altas y las situaciones de incapacidad temporal contempladas en la Orden Foral 703/1996 de 5 de diciembre, así como lo relativo a la Inspección médica y las altas médicas de oficio recogidas en el Decreto Foral 203/1993 de 28 de junio. Del mismo modo es el encargado de ejercer las funciones señaladas en el Decreto Foral 27/1994, de 31 de enero, que transfiere competencias del Tribunal Médico del Hospital de Navarra y regula el procedimiento de evaluación de las situaciones de incapacidad.
Todo lo anterior supone que el ISPLN debe manejar información relativa a la salud física o psíquica de una persona, que en suma, es no sólo una información íntima, sino además especialmente sensible desde cualquier punto de vista y, por tanto, digna de especial protección desde la garantía del derecho a la intimidad.
En este sentido hay que destacar que desde el ISPLN existe el firme compromiso de mantener las garantías apropiadas para impedir toda comunicación o divulgación de datos de carácter personal relativos a la salud. Es por ello que desde el 2008 se acometieron una serie de medidas cuyo objeto es la digitalización de todos los expedientes clínico-laborales de los trabajadores de Navarra, siendo uno de los objetivos de esta medida el conseguir una custodia de dicha información más eficaz y que asegure de la mejor manera posible la confidencialidad de esta información sensible a través de las oportunas medidas de seguridad informáticas.
De la misma manera se procedió desde el Servicio de Salud Laboral desde donde se ejercen las funciones del Tribunal Médico de Valoración de Incapacidades de Navarra a revisar el procedimiento de notificación de sus propuestas y a tomar medidas encaminadas a evitar que cualquier información referente a la salud de los usuarios pueda salir del ISPLN sin el debido consentimiento del interesado.
Para conseguirlo, ya desde el pasado mes de junio de 2009, se modificó el contenido de las notificaciones que históricamente se venían realizando a la Dirección General de Función Pública, así como a los diferentes departamentos médicos de los ayuntamientos, que contiene únicamente la propuesta resolutoria en materia de Incapacidad emitidas por el Tribunal Médico de Valoración de Incapacidades de Navarra de manera que no contengan más datos de salud.
Adjunto la propuesta resolutoria en materia de incapacidad emitida por el Tribunal Médico de Valoración de Incapacidades de Navarra, remitida a la Inspección Médica del Ayuntamiento de Pamplona con fecha 29 de septiembre de 2016. La propuesta resolutoria fue remitida a la Inspección Médica del Ayuntamiento sometida a secreto profesional. En dicha propuesta se envían los datos mínimos que permitan emitir la posterior resolución de Incapacidad Permanente.
Queremos dejar patente por tanto nuestro interés y voluntad de poner en marcha cuantas medidas sean necesarias para proteger los datos personales de los trabajadores tanto durante la tramitación de un proceso de Incapacidad Temporal y Permanente como con posterioridad”.
La cuestión principal que plantea la queja se refiere a si se han tomado las medidas necesarias para proteger los datos personales del interesado, con motivo de la tramitación de un procedimiento de reconocimiento de incapacidad.
El Tribunal Constitucional, en su Sentencia 70/2009 de 23 marzo, ha señalado que el derecho a la intimidad contenido en el artículo 18.1 de la Constitución no solo preserva al individuo de la obtención ilegítima de datos de su esfera íntima por parte de terceros, sino también de la revelación, divulgación o publicidad no consentida de esos datos, y del uso de los mismos sin autorización de su titular. El citado artículo garantiza el secreto sobre la propia esfera de vida personal y veda a los terceros, particulares o poderes públicos, acceder a esa esfera.
Dentro del ámbito reservado a la acción y el conocimiento de los demás que preserva el derecho a la intimidad, se comprende la información relativa a la salud física o psíquica de una persona, en la medida en que los datos de salud constituyen un elemento importante de su vida privada (sentencia del Tribunal Europeo de los Derechos Humanos de 10 de octubre de 2006). El Tribunal Europeo de Derechos Humanos establece que, teniendo en cuenta que el respeto al carácter confidencial de la información sobre la salud constituye un principio esencial del sistema jurídico de todos los Estados parte en la Convención, la legislación interna debe prever las garantías apropiadas para impedir toda comunicación o divulgación de datos de carácter personal relativos a la salud sin las garantías previstas en el artículo 8 del Convenio Europeo de Derechos Humanos.
La información relativa a la salud física o psíquica de una persona no es solo una información íntima. Además, está calificada legalmente como especialmente sensible y, por tanto, resulta digna de especial protección desde la garantía del derecho a la intimidad.
La Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y la Ley Foral 17/2010, de 8 de noviembre, de derechos y deberes de las personas en materia de salud en la Comunidad Foral de Navarra, disponen que toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud. Este carácter confidencial conlleva que el número de personas que pueden acceder a dichos datos es limitado.
En el mismo sentido, el artículo 22, apartado cuarto, de la Ley 31/1995, de Prevención de Riesgos Laborables, señala que el acceso a información médica de carácter personal se limita al personal médico y a las autoridades sanitarias que lleven a cabo la vigilancia de la salud de los trabajadores, sin que pueda facilitarse al empresario o a otras personas sin consentimiento expreso del trabajador. No obstante lo anterior, el empresario y las personas u órganos con responsabilidades en materia de prevención han de ser informados de las conclusiones que se deriven de los reconocimientos efectuados en relación con la aptitud del trabajador para el desempeño del puesto de trabajo o con la necesidad de introducir o mejorar las medidas de protección y prevención, a fin de que puedan desarrollar correctamente sus funciones en materia preventiva.
Por otra parte, el Decreto Foral 27/1994, de 31 de enero, por el que se transfieren al Instituto Navarro de Salud Laboral las competencias del Tribunal Médico del Hospital de Navarra y se regula el procedimiento de evaluación de las situaciones de incapacidad, dispone, en su artículo 4, que el Tribunal Médico de Valoración de Incapacidades de Navarra ha de realizar un Dictamen Médico con expresión del Juicio Clínico Laboral, en el que ha de especificarse la adecuación o inadecuación del empleado al puesto de trabajo habitual. El artículo 5 del mismo Decreto Foral señala que dicho Tribunal debe realizar propuestas de declaración o no de invalidez, de cambio de puesto de trabajo, de declaración de existencia de lesiones, o de prórroga de período de observación médica en enfermedades profesionales. Dichas propuestas se elevan al Director General de Función Pública o al Director General de Administración Local, que dictan la resolución que proceda en cada caso.
De lo anterior se deduce que únicamente se debe dar traslado a la Administración donde trabaje el funcionario en situación de incapacidad de la propuesta realizada por el Tribunal Médico, pero no de los diagnósticos, ni de otros datos sobre su salud.
Esta propuesta de declaración es la que remitió el Instituto Navarro de Salud Laboral al Ayuntamiento de Pamplona-Iruña y se almacenó en la aplicación informática denominada Gestión de expedientes.
Según indica el Ayuntamiento de Pamplona-Iruña en el informe remitido, revisados los accesos producidos al expediente del autor de la queja, los mismos se realizaron por personas que tenían permiso para hacerlo, habiéndolo realizado de forma correcta.
No obstante, la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, en su artículo 15.1, reconoce el derecho de los interesados a acceder a la información sobre sus datos personales, disponiendo lo siguiente:
El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos
.
En el caso que nos ocupa, a la vista de la solicitud que formula el interesado en la queja, la institución ve necesario recomendar al Ayuntamiento de Pamplona-Iruña que informe al interesado acerca de qué personas están habilitadas para acceder a conocer sus datos personales incluidos en el expediente de incapacidad, así como qué personas consta que han accedido. Se trata de una información que se corresponde con el derecho de acceso al que se ha aludido (datos sometidos a tratamiento y comunicaciones realizadas), por lo que esta institución estima que el interesado tiene derecho legal a que se le facilite.
Por otra parte, el Ayuntamiento de Pamplona-Iruña expone que las resoluciones del Área de Recursos Humanos se publican en la intranet municipal, a la que únicamente pueden acceder personas que lo requieren para el ejercicio de sus funciones legalmente establecidas.
Sin perjuicio de ello, manifiesta el Ayuntamiento que, en aras a garantizar la seguridad de la información, además de realizar una nueva revisión de los usuarios y permisos de accesos a las resoluciones de Recursos Humanos de la intranet, va analizar la posibilidad de sustituir en dichas resoluciones los datos de nombre y apellidos por otros datos identificativos que causen una menor intromisión para el titular.
El artículo 7 de la Ley Orgánica de protección de datos de carácter personal dispone, en su apartado tercero, que los datos de carácter personal que hagan referencia a la salud solo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente.
A juicio de esta institución, la publicación, aun cuando sea en la intranet municipal, de la resolución que reconoce la incapacidad laboral del interesado, identificando a este (por su nombre y apellidos), debería evitarse, pues supone exponer y, en definitiva, comunicar, ante o a una pluralidad de personas una información sobre datos personales y de salud y sobre la situación laboral y sanitaria de una persona con revelación de su nombre, apellidos y nuevo estado (aunque no se hagan referencias a datos médicos más concretos, la resolución alude a que la incapacidad se reconoce por enfermedad).
La Ley Orgánica de protección de datos de carácter persona contempla el procedimiento de disociación [artículos 3, letra f), y 11.6], como todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable
. De tal modo que, si finalmente se viera pertinente mantener la publicación en la intranet de resoluciones de este tipo (de incapacidad), sería exigible previamente disociar los datos.
Por todo ello, la institución considera necesario recordar al Ayuntamiento de Pamplona-Iruña su deber legal de proteger los datos personales de sus trabajadores, especialmente los relacionados con la salud de estos o sus consecuencias, tomando las medidas que se sean necesarias para tal fin; y recomendar que, bien se evite la publicación de las resoluciones de incapacidad laboral en la intranet municipal, bien dicha publicación se haga previa disociación de los datos personales correspondientes, de tal modo que no sea posible su identificación.
De conformidad con el artículo 34.2 de la Ley Foral 4/2000, de 3 de julio, del Defensor del Pueblo de la Comunidad Foral de Navarra, procede que el Ayuntamiento de Pamplona-Iruña informe, como es preceptivo, en el plazo máximo de dos meses, si acepta esta resolución, y, en su caso, las medidas adoptadas para su cumplimiento.
De acuerdo con lo establecido en dicho precepto legal, la no aceptación de la resolución podrá determinar la inclusión del caso en el Informe anual correspondiente al año 2017 que se exponga al Parlamento de Navarra con mención expresa de la Administración que no haya adoptado una actitud favorable cuando se considere que era posible.
A la espera de su respuesta, le saluda atentamente,
El Defensor del Pueblo de Navarra
Nafarroako Arartekoa
Francisco Javier Enériz Olaechea
Compartir contenido