La Agencia Vasca de Protección de Datos abrió en febrero un expediente sancionador a Osakidetza por una infracción muy grave consistente en difundir sin consentimiento números de teléfono personales de médicos del hospital de Gorliz. Resuelve en el expediente que no se ha garantizado una seguridad “adecuada” de los datos personales ni se ha protegido lo suficiente contra posibles tratamientos no autorizados o ilícitos. Protección de Datos también abronca a Osakidetza por no haber respondido a “ninguno de los requerimientos efectuados” durante el proceso y le reclama una “responsabilidad proactiva” para futuros casos.

La reclamación que llegó a manos de la Agencia Vasca de Protección de Datos decía así: “En fecha 13 de septiembre de 2023, se facilitó, sin autorización ni consentimiento previo, por parte de la Dirección del centro, la difusión de mi nombre y apellidos con mi número de teléfono personal al resto de médicos que realizan guardias en [el hospital de] Gorliz, y forman parte de la plantilla de médicos del centro, junto con los teléfonos personales de todos ellos, sin autorización, pero también a una serie de personas que no conozco, que únicamente realizan guardias en [el hospital de] Gorliz, también con sus respectivos nombres, apellidos y número de teléfono personal”. En el escrito, la reclamante recalcaba que en ningún momento se autorizó esta difusión del número de teléfono personal al ya disponer un teléfono corporativo.

En la resolución, fechada a 28 de febrero, Protección de Datos llama a apercibir a Osakidetza por su forma de actuar. “De las actuaciones y documentos que obran en el expediente resulta acreditado que el 13 de septiembre de 2023 por parte de Osakidetza, sin previa autorización ni consentimiento de la ahora reclamante, se remitió a través [de] un correo electrónico un listado en el que se incluía su nombre y apellidos con su número de teléfono personal al resto de médicos que realizaban guardias en el [hospital de] Gorliz, a pesar de que la reclamante, como el resto de médicos contenidos en el listado remitido, contaba con un número de teléfono corporativo facilitado por la organización para estar localizados”, resume Protección de Datos. Subraya, además, que Osakidetza no ha contestado a “ninguno de los requerimientos efectuados” por la agencia durante todo el procedimiento.

Una infracción muy grave y otra grave

La resolución apunta a dos infracciones, una muy grave y otra grave. La muy grave se refiere a un artículo del Reglamento General de Protección de Datos (el 5.1.f) que exige que “se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas”. Protección de Datos también insta a Osakidetza a que despliegue una “responsabilidad proactiva” y a que cumpla con sus obligaciones de colaboración con la agencia, que considera que en este caso no se han cumplido.

Se da la circunstancia de que este pasado martes, Protección de Datos ya le abrió otro expediente sancionador a Osakidetza, en esta ocasión por la instalación de cámaras en todos los vehículos de transporte sanitario urgente del grupo La Pau. Estos dispositivos tenían capacidad incluso para grabar las conversaciones de trabajadores y pacientes. La multa en ese caso podría alcanzar los 10.000 euros o un 2% de la facturación de la empresa.