Los servicios de salud tienen "responsabilidad" legal por la fuga de datos

El Tribunal de Justicia de la Unión Europea (TJUE) ha reconocido que las administraciones públicas también pueden tener “responsabilidad” legal cuando se ha producido una fuga de datos personales, independientemente de que la difusión de la información haya sido realizada por una tercera persona ajena a la institución. La aclaración llega en un momento marcado por los ciberataques a centros sanitarios o por algunos juicios contra profesionales de salud por revisar sin permiso historiales clínicos.

El abogado general del TJUE, Giovani Pitruzzella, ha aclarado que cuando se produzca un acceso no autorizado a información de carácter privado, las autoridades de cada estado miembro deberán analizar si los responsables de preservar esa documentación han tomado las "medidas de adecuación" suficientes, teniendo en cuenta los factores que se recogen en el Reglamento General de Protección de Datos de la Unión Europea.

“El hecho de que la infracción del citado Reglamento causante del daño en cuestión haya sido cometida por un tercero no constituye en sí mismo un motivo para eximir de responsabilidad al responsable del tratamiento y, a fin de acogerse a la exención prevista por esa disposición, el responsable del tratamiento debe demostrar que no es en modo alguno responsable de la infracción”, han apostillado.

Pitruzzella ha subrayado que, en todo caso, el factor de que se haya producido una fuga de información reservada en alguna administración no constituye por sí misma una “prueba” de que no se han preservado correctamente estos datos personales. “Para quedar exento de responsabilidad, el responsable del tratamiento debe demostrar, con un nivel probatorio elevado, que el hecho causante del daño no le es imputable en modo alguno”, ha apostillado.

Indemnizaciones por daños morales

Más allá del nivel de responsabilidad, el Tribunal de Justiciad de la UE también ha adelantado que este tipo de sucesos pueden dar derecho a los implicados a exigir una indemnización por el impacto moral que les han causado, “siempre que el interesado demuestre que ha sufrido individualmente un daño emocional real y cierto, lo cual corresponderá comprobar en cada caso concreto al juez nacional que conoce del asunto”.

Pitruzzella ha advertido que este daño moral no solo está vinculado a la propia difusión pública de los datos personales, sino que también se puede atribuir al “temor” a un potencial uso indebido de esta información por parte de las personas que hayan sustraído ilegalmente los datos de la administración pública.

Estas aclaraciones se han producido después de que el Tribunal Supremo de lo Contencioso-Administrativo de Bulgaria hubiese pedido la intervención de las instancias europeas para interpretar el Reglamento en un caso nacional. Los jueces buscaban respuestas para una demanda presentada por numerosas personas contra la Agencia Nacional de Recaudación del país por haber publicado en internet información fiscal y de seguridad social de millones de ciudadanos.  Aunque su interpretación abre las conclusiones a todas las administraciones públicas, incluidas las de sanidad.