AAPP-00061-2015_Resolucion-de-fecha-18-04-2016_Art-ii-culo-9-LOPD
AAPP-00061-2015_Resolucion-de-fecha-18-04-2016_Art-ii-culo-9-LOPD
AAPP-00061-2015_Resolucion-de-fecha-18-04-2016_Art-ii-culo-9-LOPD
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
1/17<br />
Procedimiento Nº AP/<strong>00061</strong>/<strong>2015</strong><br />
RESOLUCIÓN: R/00711/<strong>2016</strong><br />
En el procedimiento <strong>de</strong> Declaración <strong>de</strong> Infracción <strong>de</strong> Administraciones Públicas<br />
AP/<strong>00061</strong>/<strong>2015</strong>, instruido por la Agencia Española <strong>de</strong> Protección <strong>de</strong> Datos a la entidad<br />
CENTRO PENITENCIARIO SEVILLA, (Secretaría General <strong>de</strong> Instituciones<br />
Penitenciarias), vista la <strong>de</strong>nuncia presentada por DON A.A.A., y otras nueve personas,<br />
en virtud <strong>de</strong> los siguientes,<br />
ANTECEDENTES<br />
PRIMERO: Con <strong>fecha</strong> <strong>de</strong> 3/11/2014 tiene entrada en esta Agencia un escrito <strong>de</strong>l<br />
<strong>de</strong>nunciante y otras nueve personas, pertenecientes al Cuerpo <strong>de</strong> Enfermería <strong>de</strong>l Centro<br />
Penitenciario (CP) <strong>de</strong> Sevilla en el que <strong>de</strong>claran que registran datos sanitarios <strong>de</strong><br />
internos en la aplicación informática SANIT y han <strong>de</strong>tectado fallos en la seguridad <strong>de</strong> los<br />
mismos. Aportan copia <strong>de</strong> dichas <strong>de</strong>ficiencias comunicadas al Centro en un escrito<br />
registrado el 22/10/2014, <strong>de</strong>l que no obtuvieron respuesta. Del mismo <strong>de</strong>staca:<br />
1. La Dirección <strong>de</strong>l Centro les ha dado instrucciones y directrices para la introducción<br />
en el programa SANIT <strong>de</strong> datos sobre tratamientos médicos que reciben los<br />
internos, la “Nota <strong>de</strong> Dirección **/2014” sobre psicotrópicos les responsabiliza <strong>de</strong> la<br />
introducción y actualización <strong>de</strong> dichos datos <strong>de</strong> cada interno a partir <strong>de</strong> documentos<br />
que son facilitados por los Facultativos. También se efectúa tratamiento <strong>de</strong> datos<br />
sobre serología <strong>de</strong> internos.<br />
2. “La introducción <strong>de</strong> los datos en SANIT se efectúa por cada profesional <strong>de</strong><br />
enfermería mediante una clave, pero que está a disposición <strong>de</strong> los <strong>de</strong>más<br />
enfermeros e incluso <strong>de</strong>l personal administrativo, “a través <strong>de</strong> las hojas <strong>de</strong> firmas<br />
que se encuentran al alcance <strong>de</strong> todos” que pue<strong>de</strong>n entrar, consultar y modificar los<br />
datos, sin que que<strong>de</strong> rastro <strong>de</strong> la manipulación.<br />
Ni en su <strong>de</strong>nuncia ni en el escrito se acompaña o explica que es la hoja <strong>de</strong> firmas<br />
ni aporta evi<strong>de</strong>ncia probatoria que certifique lo aseverado.<br />
SEGUNDO: A la vista <strong>de</strong> los hechos <strong>de</strong>nunciados, en fase <strong>de</strong> actuaciones previas, los<br />
Servicios <strong>de</strong> Inspección <strong>de</strong> esta Agencia efectúan visita <strong>de</strong> Inspección el 21/09/<strong>2015</strong> al<br />
Centro Penitenciario Sevilla, conociendo la siguiente información:<br />
1.1. SANIT es un sistema informático que se encuentra operativo<br />
aproximadamente <strong>de</strong>s<strong>de</strong> el año 2000 <strong>de</strong>sarrollado por la Secretaría<br />
General <strong>de</strong> Instituciones Penitenciarias <strong>de</strong>l Ministerio <strong>de</strong>l Interior con la<br />
finalidad <strong>de</strong> gestionar <strong>de</strong> forma automatizada un resumen <strong>de</strong> la historia<br />
clínica <strong>de</strong> los internos que se custodia en una carpeta en formato papel y<br />
también extrae y trata información sanitaria. El programa dispone <strong>de</strong><br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
2/17<br />
varias bases <strong>de</strong> datos, por citar algunas: “Datos VIH”, “Serología,<br />
“mantenimiento con metadona”. El sistema funciona <strong>de</strong> forma<br />
<strong>de</strong>scentralizada, cada centro penitenciario introduce los datos <strong>de</strong> salud <strong>de</strong><br />
sus internos, datos que quedan almacenados en un servidor ubicado en el<br />
propio centro penitenciario, y cada centro penitenciario únicamente<br />
dispone <strong>de</strong> acceso a los datos <strong>de</strong> los internos que están, o han estado, en<br />
el centro.<br />
1.2. El Subdirector Médico manifestó que en el Centro no se estaban<br />
cumplimentando los datos sanitarios gestionados por el aplicativo SANIT,<br />
por lo que se comunicó al personal sanitario: médicos y enfermeros, que<br />
<strong>de</strong>ben cumplimentar dicha información con la finalidad <strong>de</strong> gestionar los<br />
traslados a otros centros y emitir la correspondiente hoja resumen <strong>de</strong>l<br />
interno para su inclusión en la historia clínica en papel. La citada<br />
comunicación se efectuó a través <strong>de</strong> la NOTA DE DIRECCIÓN nº **/2014<br />
y la ORDEN DE DIRECCIÓN nº ***/2014, <strong>de</strong> las se recaba copia. La<br />
primera, <strong>de</strong> 3/09/2014 trata <strong>de</strong> la implantación en el programa SANIT<br />
“Tratamiento psicotrópico” consistente en el volcado <strong>de</strong> datos a llevarse a<br />
cabo por parte <strong>de</strong>l personal facultativo y enfermeros, se contienen dosis y<br />
<strong>fecha</strong>s <strong>de</strong>l tratamiento, y en el mantenimiento <strong>de</strong> los nuevos tratamientos<br />
que se hayan <strong>de</strong> incluir a partir <strong>de</strong> 3/09/2014. La segunda trata <strong>de</strong> la<br />
implantación <strong>de</strong>l programa SURI en el CP Sevilla I, firmada el 1/10/2014<br />
basado en listados <strong>de</strong> internos proce<strong>de</strong>ntes <strong>de</strong> historias clínicas o <strong>de</strong>l<br />
SANIT, en el que se aprecia que los resultados se comunican en<br />
cajetín/ban<strong>de</strong>ja y el enfermero asignado los introduce en el SANIT.<br />
1.3. SANIT también es el nombre <strong>de</strong>l fichero que ha sido creado mediante la<br />
Or<strong>de</strong>n 1202/2011 <strong>de</strong> Ministerio <strong>de</strong>l Interior reconociéndose el nivel <strong>de</strong><br />
seguridad ALTO al tratar datos <strong>de</strong> salud y sexuales <strong>de</strong> personas. En el<br />
fichero figura como responsable la Secretaria General <strong>de</strong> Instituciones<br />
Penitenciarias, <strong>de</strong>pendiente <strong>de</strong>l MINISTERIO DEL INTERIOR. Entre las<br />
finalida<strong>de</strong>s <strong>de</strong>claradas <strong>de</strong>l fichero figura la <strong>de</strong> atención sanitaria y contiene<br />
datos <strong>de</strong> salud y <strong>de</strong> vida sexual. El sistema SANIT se ha ido actualizado<br />
en diversas ocasiones estando actualmente utilizando la versión 2003, si<br />
bien está previsto su sustitución por un nuevo sistema.<br />
1.4. A los representantes <strong>de</strong>l Centro no les consta la existencia <strong>de</strong> un<br />
Documento <strong>de</strong> Seguridad sobre el fichero SANIT ni <strong>de</strong> protocolos<br />
específicos <strong>de</strong> seguridad. Disponen <strong>de</strong> un documento <strong>de</strong>nominado<br />
Instrucción I-16/2005 <strong>de</strong> la Dirección General <strong>de</strong> Instituciones<br />
Penitenciarias titulado “Medidas preventivas <strong>de</strong> seguridad aplicables<br />
a sus equipos y sistemas informáticos y <strong>de</strong> comunicaciones” y <strong>de</strong>l<br />
procedimiento <strong>de</strong> gestión <strong>de</strong> cuentas <strong>de</strong> usuario y buzones <strong>de</strong> correo<br />
electrónico <strong>de</strong> <strong>fecha</strong> 13/5/<strong>2015</strong>, recabándose copia <strong>de</strong> dichos<br />
documentos. La Instrucción se refiere <strong>de</strong> modo genérico a las medidas<br />
preventivas y <strong>de</strong> seguridad aplicables a equipos y sistemas informáticos y<br />
<strong>de</strong> comunicaciones, sin referencia al fichero con nivel alto <strong>de</strong> seguridad.<br />
En su punto 5 refiere la asignación <strong>de</strong> contraseñas <strong>de</strong> acceso a las re<strong>de</strong>s<br />
<strong>de</strong> comunicaciones <strong>de</strong> la Dirección General <strong>de</strong> Instituciones Penitenciarias<br />
indicando que será realizada por el personal técnico que presta funciones<br />
<strong>de</strong> Administrador <strong>de</strong> Red, forzando el cambio <strong>de</strong> esta contraseña por parte<br />
<strong>de</strong>l usuario una vez que este acceda por primera vez. El otro documento,<br />
<strong>de</strong> carácter técnico, se refiere a la gestión <strong>de</strong> permisos <strong>de</strong> usuarios para<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
3/17<br />
los correos y directorios para los que se dan los permisos.<br />
1.5. A los representantes <strong>de</strong>l Centro no les consta la existencia <strong>de</strong> auditorías<br />
<strong>de</strong> seguridad en, al menos, los últimos 5 años.<br />
1.6. A los representantes <strong>de</strong>l Centro no les consta la existencia <strong>de</strong> un manual<br />
<strong>de</strong> usuario y <strong>de</strong> administración actualizado <strong>de</strong>l aplicativo SANIT. No<br />
obstante, disponen <strong>de</strong> dos copias <strong>de</strong> manuales <strong>de</strong> versiones anteriores<br />
(no se recoge <strong>fecha</strong>) <strong>de</strong>l aplicativo que se han incorporado a las<br />
actuaciones. Este manual <strong>de</strong>scribe los menús que contiene el programa.<br />
1.7. En el aplicativo SANIT instalado en el Centro, se han <strong>de</strong>finido dos perfiles<br />
<strong>de</strong> usuarios i<strong>de</strong>ntificados como: administrador/monitor informático y resto<br />
<strong>de</strong> usuarios.<br />
El perfil administrador o monitor informático únicamente permite las altas y bajas <strong>de</strong><br />
usuarios al aplicativo SANIT, encargado <strong>de</strong> dar <strong>de</strong> alta la contraseña <strong>de</strong> los diferentes<br />
usuarios que acce<strong>de</strong>n al sistema. El aplicativo no permite a un usuario cambiar por sí<br />
mismo una contraseña sino que tiene que hacerlo el administrador y ser éste el que<br />
introduzca en el sistema la contraseña que <strong>de</strong>sea el usuario. Para el alta <strong>de</strong>l usuario en<br />
el sistema SANIT es necesario la cumplimentación <strong>de</strong> un formulario firmado por el<br />
empleado y el Director haciéndole entrega al empleado <strong>de</strong> un ejemplar <strong>de</strong> la instrucción<br />
I-16/2005. Se obtiene copia impresa <strong>de</strong>l citado formulario. Para la baja <strong>de</strong> usuarios se<br />
utiliza un formulario al efecto <strong>de</strong>l que también se ha recabado copia. Se ha recabado<br />
copia también <strong>de</strong>l listado completo <strong>de</strong> usuarios <strong>de</strong>finidos en el sistema, si bien<br />
anonimizados los 24 nombres y apellidos que lo conforman, viéndose las categorías <strong>de</strong><br />
empleados que son usuarios, <strong>de</strong>stacando: ATS/DUE, Auxiliar <strong>de</strong> Clínica, Médicos,<br />
Auxiliar Informático y <strong>de</strong> Oficina, Administrativo.<br />
Respecto <strong>de</strong>l perfil i<strong>de</strong>ntificado como resto <strong>de</strong> usuarios, engloba a los facultativos<br />
médicos, personal <strong>de</strong> enfermería y administrativos, <strong>de</strong> tal forma que todos ellos<br />
disponen <strong>de</strong> acceso a la totalidad <strong>de</strong> los datos <strong>de</strong> internos que se trata en el<br />
sistema SANIT, tanto a los datos <strong>de</strong> filiación o no sanitarios como a los datos sanitarios<br />
o <strong>de</strong> salud.<br />
1.8 El aplicativo SANIT dispone <strong>de</strong> un registro <strong>de</strong> accesos o LOG <strong>de</strong>nominado<br />
“eventos” en el que se reflejan los accesos <strong>de</strong> los usuarios a los datos <strong>de</strong> los internos.<br />
Los representantes <strong>de</strong>l Centro manifiestan que <strong>de</strong>sconocen la estructura <strong>de</strong> dicho LOG<br />
así como los tratamientos que sobre dichos datos se realizan ya que a dicho fichero se<br />
acce<strong>de</strong> únicamente <strong>de</strong>s<strong>de</strong> los Servicios Centrales. No obstante, tras solicitarlo a los<br />
Servicios Centrales a requerimiento <strong>de</strong> los Inspectores, facilitan la estructura <strong>de</strong> dicho<br />
fichero que ha sido incorporada a las actuaciones, si bien no acreditan copia alguna <strong>de</strong><br />
registros <strong>de</strong> accesos, al no aportar tal registro que reflejen <strong>fecha</strong>s <strong>de</strong> accesos o<br />
usuarios.<br />
1.9. Durante la inspección se ha accedido al aplicativo SANIT verificándose las<br />
opciones <strong>de</strong> accesos <strong>de</strong>finidas por tipo <strong>de</strong> datos disponibles, obteniéndose<br />
un informe u hoja resumen <strong>de</strong> datos <strong>de</strong> un interno al objeto <strong>de</strong> verificar el<br />
contenido <strong>de</strong> los datos personales tratados en el aplicativo SANIT que<br />
incluye datos <strong>de</strong> salud.<br />
1.10.Se ha realizado también un acceso al aplicativo SANIT con el usuario <strong>de</strong><br />
un administrativo verificándose que dispone <strong>de</strong> acceso tanto a los<br />
datos <strong>de</strong> filiación o no sanitarios, como a los datos sanitarios o <strong>de</strong><br />
salud, entre otros, a los datos <strong>de</strong> las pruebas <strong>de</strong> serología incluyendo <strong>fecha</strong><br />
y resultado y <strong>de</strong> las pruebas <strong>de</strong> TBC (tuber<strong>culo</strong>sis).<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
4/17<br />
1.11.Se ha comprobado que el aplicativo SANIT utiliza dos bases <strong>de</strong> datos: la<br />
base <strong>de</strong> datos conteniendo los datos <strong>de</strong> los pacientes y la base <strong>de</strong> datos<br />
<strong>de</strong> los eventos asociados a la aplicación para cuyo acceso se precisa <strong>de</strong><br />
contraseña, manifestando los representantes <strong>de</strong>l Centro no disponer <strong>de</strong> la<br />
misma.<br />
TERCERO: Con <strong>fecha</strong> 21/10/<strong>2015</strong> se inició procedimiento <strong>de</strong> <strong>de</strong>claración <strong>de</strong> infracción<br />
<strong>de</strong> las Administraciones Públicas al CENTRO PENITENCIARIO DE SEVILLA<br />
(SECRETARÍA GENERAL DE INSTITUCIONES PENITENCIARIAS) por la comisión <strong>de</strong><br />
una infracción <strong>de</strong>l artí<strong>culo</strong> 9.1 <strong>de</strong> la Ley Orgánica 15/1999, <strong>de</strong> 13/12 <strong>de</strong> Protección <strong>de</strong> los<br />
Datos <strong>de</strong> Carácter Personal (en lo sucesivo <strong>LOPD</strong>), en relación con los artí<strong>culo</strong>s 88,<br />
89.2, 91.1 y 2, 92.1, 93, 95, 96,103 y 113 <strong>de</strong>l Reglamento <strong>de</strong> Desarrollo <strong>de</strong> la <strong>LOPD</strong>,<br />
aprobado por Real Decreto 1720/2007, <strong>de</strong> 21/12 (en a<strong>de</strong>lante R<strong>LOPD</strong>); tipificada como<br />
grave en el artí<strong>culo</strong> 44.3.h) <strong>de</strong> dicha norma.<br />
CUARTO: Con <strong>fecha</strong> 16/11/<strong>2015</strong> el Director <strong>de</strong>l CP alega:<br />
1) La clave <strong>de</strong> acceso <strong>de</strong> cada usuario al fichero SANIT es personal e intransferible,<br />
no es <strong>de</strong> conocimiento público como parece referirse por el <strong>de</strong>nunciante salvo<br />
que el propio profesional comparta dicha clave.<br />
2) El fichero SANIT va a ser sustituido por otro programa diseñado por la Secretaria<br />
General <strong>de</strong> Instituciones Penitenciarias. Dicho programa está en proceso <strong>de</strong><br />
adjudicación a empresa informática externa que se encargará <strong>de</strong> su nuevo<br />
diseño y estructura, y que dotará <strong>de</strong> “novedosos sistemas <strong>de</strong> seguridad” y<br />
“niveles <strong>de</strong> acceso a la información” con las máximas garantías...<br />
3) Es incierto que no exista un manual <strong>de</strong> usuario <strong>de</strong> la última revisión <strong>de</strong>l fichero<br />
SANIT, dicho texto pue<strong>de</strong> ser impreso en cualquier momento dado que<br />
acompaña al fichero SANIT en formato PDF-<br />
4) La clave <strong>de</strong> acceso al fichero SANIT pue<strong>de</strong> ser cambiada por cualquier usuario si<br />
bien dicho cambio <strong>de</strong>be hacerse por medio <strong>de</strong>l monitor informático <strong>de</strong>l centro<br />
penitenciario. El sistema informático permite al Administrador <strong>de</strong>l sistema tener<br />
acceso total a claves y contenidos y facilita este servicio <strong>de</strong> renovación <strong>de</strong> claves<br />
<strong>de</strong> forma totalmente confi<strong>de</strong>ncial<br />
5) Existe un log <strong>de</strong> acceso que registra los eventos <strong>de</strong> cada día, si ese fuera el<br />
interés y como prueba, se podría remitir el contenido <strong>de</strong>l archivo LOG <strong>de</strong>l día en<br />
que los miembros <strong>de</strong> la AEPD realizaron la Inspección.<br />
6) En cuanto al acceso a los datos por el personal administrativo que presta sus<br />
servicios en el Centro Sanitario, cabe <strong>de</strong>cir que la información sanitaria<br />
propiamente dicha se constituye <strong>de</strong>s<strong>de</strong> el ingreso <strong>de</strong> cada interno a quien se<br />
abre una historia clínica individual. El manejo <strong>de</strong> la historia se produce conforme<br />
a la Ley 41/2002 básica reguladora <strong>de</strong> la autonomía <strong>de</strong>l paciente. En este<br />
sentido los funcionarios <strong>de</strong> la Oficina <strong>de</strong> enfermería han <strong>de</strong> ser asimilados a los<br />
trabajadores administrativos <strong>de</strong> cualquier centro sanitario público no<br />
penitenciario-centro <strong>de</strong> salud hospital- quienes tienen igualmente acceso en<br />
mayor o menor medida a la documentación sanitaria y a los archivos<br />
correspondientes. A estos efectos, pue<strong>de</strong>n ser citados los administrativos <strong>de</strong> los<br />
servicios <strong>de</strong> admisión hospitalaria y los <strong>de</strong> recepción <strong>de</strong> los centros <strong>de</strong> salud. En<br />
el ámbito penitenciario este personal efectúa tareas como gestión <strong>de</strong> citas con<br />
nivel especializado, recepción y gestión <strong>de</strong> informes, gestión <strong>de</strong> <strong>de</strong>pósitos <strong>de</strong><br />
farmacia o introducción <strong>de</strong> datos para elaboración <strong>de</strong> estadísticas sanitarias. La<br />
introducción <strong>de</strong> datos, prescripción <strong>de</strong> pastillas psicotrópicas a algunos internos,<br />
en la historia clínica informatizada <strong>de</strong>l SANIT se encomienda exclusivamente a<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
5/17<br />
los Facultativos y enfermeros, no a los funcionarios auxiliares.<br />
QUINTO: Con <strong>fecha</strong> 28/12/<strong>2015</strong> los <strong>de</strong>nunciantes presentan escrito en el que se<br />
personan como interesados, solicitan copia <strong>de</strong>l expediente y <strong>de</strong>claran que “Tanto los<br />
monitores informáticos como los funcionarios <strong>de</strong> Oficina están adscritos al cuerpo <strong>de</strong><br />
Ayudantes <strong>de</strong> Instituciones Penitenciarias”, y que “Los cajetines/ban<strong>de</strong>jas a que se<br />
refiere el punto 1.2 se encuentran ubicados en las salas <strong>de</strong> curas o consultas médicas<br />
<strong>de</strong>pendiendo <strong>de</strong> cada unidad.”<br />
Finalizan indicando que “dado que <strong>de</strong>s<strong>de</strong> la Subdirección Médica se insiste en la<br />
utilización <strong>de</strong>l programa, a pesar <strong>de</strong> que no se han adoptado aun medidas para<br />
subsanar las irregularida<strong>de</strong>s, solicitan se tomen medidas cautelares pertinentes hasta la<br />
resolución <strong>de</strong>l procedimiento o hasta la implantación <strong>de</strong>l nuevo sistema previsto por la<br />
Administración”.<br />
Con <strong>fecha</strong> 12/01/<strong>2016</strong> se remite copia <strong>de</strong>l expediente a la persona que figuraba en<br />
primer lugar <strong>de</strong> la <strong>de</strong>nuncia, misma a la que se notificó el acuerdo <strong>de</strong> inicio.<br />
SEXTO: Con <strong>fecha</strong> 1/02/<strong>2016</strong>, se registra el mismo escrito <strong>de</strong> la <strong>de</strong>nunciada, <strong>fecha</strong>do<br />
<strong>de</strong> salida el 26/01/<strong>2016</strong>, acompañado <strong>de</strong> la siguiente documentación:<br />
a) Ejemplar <strong>de</strong> notificación al interesado, con recibí, <strong>de</strong>l alta en el aplicativo SANIT<br />
en que se le informa <strong>de</strong>l cumplimiento <strong>de</strong> la normativa <strong>de</strong> protección <strong>de</strong> datos y<br />
<strong>de</strong> la Instrucción I 16/2005 <strong>de</strong> la DGIP.<br />
b) Aporta 83 folios imprimidos el 22/01/<strong>2016</strong> <strong>de</strong> eventos <strong>de</strong> 12 a 19/01/<strong>2016</strong>, tipo<br />
Excel que recoge en columnas distintos datos <strong>de</strong> lo que podrían ser accesos a la<br />
aplicación. En nombre figuran “Filiación”, “informe”, “formulario/Subformulario<br />
SICO2” “Formulario Suri” sin que explique el contenido a que refiere cada campo<br />
o un resumen <strong>de</strong> lo que se trata, indicando que son los logs <strong>de</strong> acceso a los<br />
eventos <strong>de</strong> cada día.<br />
c) Aporta una guía <strong>de</strong> SANIT 2003 que incluye nuevas funcionalida<strong>de</strong>s y mejora<br />
algunos aspectos. Acompaña instrucciones <strong>de</strong> manejo <strong>de</strong> la aplicación,<br />
“Formulario <strong>de</strong> acceso” en el que se visualiza la opción “cambiar contraseña”.<br />
Precisa que ahora para esta opción, no se precisa acudir al Administrador. Existe<br />
el apartado <strong>de</strong> vinculación a través <strong>de</strong>l que se acce<strong>de</strong> a la base <strong>de</strong> datos que se<br />
divi<strong>de</strong> en tres partes:<br />
a. Datos 2003, con datos <strong>de</strong> todos los internos.<br />
b. EVENTOS 2003, registra todos los movimientos que se hacen en la base<br />
<strong>de</strong> datos.<br />
c. SANIT 2003. Permite ver los datos <strong>de</strong> los internos <strong>de</strong> forma or<strong>de</strong>nada.<br />
Junto a la <strong>de</strong>scripción <strong>de</strong> menús y accesos se indica que no se <strong>de</strong>be <strong>de</strong>jar el<br />
programa abierto cuando no se está presente, o el cierre automático cuando transcurren<br />
15 minutos sin actividad.<br />
Entre otros datos a los que se pue<strong>de</strong>n acce<strong>de</strong>r figuran los <strong>de</strong> SEROLOGIAS, que<br />
permite efectuar búsquedas <strong>de</strong> internos en los que se pue<strong>de</strong> visualizar y dar <strong>de</strong> alta<br />
programaciones para efectuar pruebas médicas.<br />
Detalla las partes que componen el <strong>de</strong>nominado formulario VIH que sirve para la<br />
gestión <strong>de</strong> datos <strong>de</strong> internos con VIH positivo y su seguimiento sanitario, posología <strong>de</strong><br />
medicamentos<br />
Detalla las partes <strong>de</strong>l formulario VACUNAS que gestiona las suministradas y el<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
6/17<br />
tiempo <strong>de</strong> la siguiente. Se completan otras referencias a otras formularios como<br />
TUBERCULOSIS, METADONA, DIETAS, PSICOTROPOS o HEPATITIS c que sirve<br />
para seguimiento y tratamiento<br />
Destaca también la opción en “seguridad e instalación” <strong>de</strong> cambiar la contraseña y<br />
<strong>de</strong> encriptarla.<br />
d) Manifiestan que a cada interno que ingresa se le abre una historia<br />
clínica individual. Reitera que los funcionarios <strong>de</strong> la Oficina <strong>de</strong><br />
Enfermería han <strong>de</strong> ser asimilados a los trabajadores administrativos<br />
<strong>de</strong> cualquier centro sanitario y tienen acceso a lo que es<br />
imprescindible para el ejercicio <strong>de</strong> sus funciones. Efectúan funciones<br />
como gestión <strong>de</strong> citas, recepción y gestión <strong>de</strong> informes, gestión <strong>de</strong><br />
<strong>de</strong>pósitos <strong>de</strong> farmacia o introducción <strong>de</strong> datos para elaboración <strong>de</strong><br />
estadísticas sanitarias. “La introducción <strong>de</strong> datos como la<br />
prescripción <strong>de</strong> pastillas psicotrópicas a algunos internos en la<br />
historia clínica informatizada <strong>de</strong>l SANIT se encomienda<br />
exclusivamente a los Facultativos y Enfermeros, no a los<br />
funcionarios auxiliares.”<br />
Finaliza reiterando que con carácter inminente se dotará <strong>de</strong> un nuevo programa que<br />
gestione el fichero SANIT y sustituya al actual, que vendrá dotado <strong>de</strong> mayores controles<br />
<strong>de</strong> seguridad, discriminando los diferentes niveles <strong>de</strong> acceso y será dotado <strong>de</strong> un<br />
documento <strong>de</strong> seguridad<br />
SÉPTIMO: Con <strong>fecha</strong> 11/01/<strong>2016</strong> se acce<strong>de</strong> al BOE en GOOGLE y se completa la<br />
impresión <strong>de</strong>l fichero SANIT, comprobando que se halla en la parte <strong>de</strong>l ANEXO II <strong>de</strong> la<br />
citada or<strong>de</strong>n reguladora <strong>de</strong>l fichero.<br />
OCTAVO: Con <strong>fecha</strong> 12/01/<strong>2016</strong> se inicia el período <strong>de</strong> pruebas, incorporando las<br />
actuaciones previas, las alegaciones al acuerdo y se dirige escrito en fase <strong>de</strong> pruebas a<br />
la <strong>de</strong>nunciada <strong>de</strong>l literal:<br />
“Con el fin <strong>de</strong> proce<strong>de</strong>r antes <strong>de</strong> la resolución a la subsanación <strong>de</strong> las <strong>de</strong>ficiencias<br />
<strong>de</strong>tectadas y comprobar el nivel <strong>de</strong> cumplimiento, se les solicita que aporten o<br />
informen en el plazo <strong>de</strong> diez días:<br />
a) A <strong>de</strong>nunciada, aporten copia <strong>de</strong>l documento <strong>de</strong> seguridad <strong>de</strong>l fichero SANIT<br />
(art 88 <strong>de</strong>l R<strong>LOPD</strong>).<br />
b) A <strong>de</strong>nunciada, aporte copia <strong>de</strong> la Auditoría <strong>de</strong>l fichero SANIT (art 96 <strong>de</strong>l<br />
R<strong>LOPD</strong>).<br />
c) A <strong>de</strong>nunciada, que quiere <strong>de</strong>cir, que es y en qué consisten las<br />
hojas <strong>de</strong> firmas, don<strong>de</strong> se sitúan, croquis <strong>de</strong> habitación y personal<br />
que tiene acceso, en relación con la manifestación <strong>de</strong>:<br />
“La clave <strong>de</strong> acceso por la que se introducen los datos en SANIT está a<br />
disposición <strong>de</strong> los <strong>de</strong>más enfermeros e incluso <strong>de</strong>l personal administrativo, “a<br />
través <strong>de</strong> las hojas <strong>de</strong> firmas que se encuentran al alcance <strong>de</strong> todos”.<br />
d) A <strong>de</strong>nunciada, en relación con los datos médicos <strong>de</strong> salud,<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
7/17<br />
<strong>de</strong>tallar las razones por las que en igualdad <strong>de</strong> condiciones<br />
acce<strong>de</strong>n con el personal <strong>de</strong> enfermería a dichos datos el personal<br />
administrativo, cuántos empleados son y categoría y Escala o<br />
Cuerpo <strong>de</strong> pertenencia, y explicación <strong>de</strong> porqué todos han <strong>de</strong><br />
acce<strong>de</strong>r, ya sea en modo consulta o introduciendo datos. Se<br />
adjunta listado <strong>de</strong> categorías <strong>de</strong> empleados (folio 74) para que<br />
señalen las categorías que acce<strong>de</strong>n a la historia clínica, sea<br />
añadiendo datos, introduciendo o consultando. (en la Inspección<br />
en documento 9 se verificó que un usuario administrativo disponía<br />
<strong>de</strong> acceso a los datos sanitarios <strong>de</strong> pruebas). Respondan<br />
también, si a todas las personas que manejan, introducen o<br />
pue<strong>de</strong>n consultar este tipo <strong>de</strong> datos se les ha informado <strong>de</strong> las<br />
normas <strong>de</strong> seguridad <strong>de</strong>l manejo <strong>de</strong> ficheros y las consecuencias<br />
en que pudiera incurrir en caso <strong>de</strong> incumplimiento. Dado que<br />
todos tienen accesos a los datos, listado folio 74, explicar si todos<br />
pue<strong>de</strong>n visualizar los datos y todos pue<strong>de</strong>n modificar cualquier<br />
dato que se visualiza. Explicar si los administrativos también<br />
podrían modificar los datos o se precisa algo más, y si se queda<br />
grabado o registrado el usuario que modifica un dato.<br />
e) Deberán obtener y aportar copia <strong>de</strong> registro <strong>de</strong> accesos al fichero<br />
SANIT, preferentemente <strong>de</strong> la semana anterior a la recepción <strong>de</strong><br />
este escrito, sino, <strong>de</strong> otro momento, aportando una prueba <strong>de</strong> que<br />
se registran dichos accesos, explicando en su caso brevemente<br />
el significado <strong>de</strong> las claves que pue<strong>de</strong>n aparecer a dicho registro<br />
y <strong>de</strong>tallando el tiempo en que conserva dicho registro <strong>de</strong> accesos.<br />
f) A <strong>de</strong>nunciada, si existe ya nombrado un responsable <strong>de</strong><br />
seguridad <strong>de</strong>l fichero SANIT.<br />
g) A la <strong>de</strong>nunciada, <strong>de</strong>tallen las medidas <strong>de</strong> control <strong>de</strong> acceso físico<br />
adoptadas para acce<strong>de</strong>r a los lugares don<strong>de</strong> se hallen instalados<br />
los equipos físicos que <strong>de</strong>n soporte a los sistemas <strong>de</strong> información<br />
(or<strong>de</strong>nadores) y carpetas o documentos en papel con datos.<br />
Aportar croquis esquemático si fuera posible.<br />
h) A <strong>de</strong>nunciada, en que consiste la base <strong>de</strong> datos <strong>de</strong> eventos<br />
asociados a la aplicación SANIT, impresión <strong>de</strong> datos que se<br />
pue<strong>de</strong>n recoger en la misma.<br />
i) Respecto <strong>de</strong> la manifestación en la inspección y la nota ORDEN<br />
DE DIRECCIÓN nº ***/2014, que trata <strong>de</strong> la implantación <strong>de</strong>l<br />
programa SURI en el CP Sevilla se indica en el apartado<br />
“personal <strong>de</strong> enfermería”… “cuando llegue—completa… basado<br />
en listados <strong>de</strong> internos proce<strong>de</strong>ntes <strong>de</strong> historias clínicas o <strong>de</strong>l<br />
SANIT, en el que se aprecia que los resultados se comunican en<br />
cajetín/ban<strong>de</strong>ja y el enfermero asignado los introduce en el<br />
SANIT.<br />
Deben informar si esa documentación es en papel, lugar en el que se coloca, si<br />
hay otros cajetines, personas que pue<strong>de</strong>n acce<strong>de</strong>r a dichos espacios y croquis<br />
<strong>de</strong> situación <strong>de</strong>l espacio, así como <strong>de</strong> salas contiguas con el personal que pue<strong>de</strong><br />
acce<strong>de</strong>r o no, y sistema para acce<strong>de</strong>r.<br />
j) En cuanto al uso <strong>de</strong> correos electrónicos que contienen datos<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
8/17<br />
médicos se les solicita que <strong>de</strong>tallen si lo utilizan, y el modo y<br />
personas que lo utilizan como <strong>de</strong>stinatario y remitente.<br />
La <strong>de</strong>nunciada recibió el comunicado, y no respondió a las cuestiones<br />
planteadas.<br />
NOVENO: Con <strong>fecha</strong> 25/02/<strong>2016</strong> el Instructor <strong>de</strong>l procedimiento emitió Propuesta <strong>de</strong><br />
Resolución, en el sentido <strong>de</strong> que por la Directora <strong>de</strong> la Agencia Española <strong>de</strong> Protección<br />
<strong>de</strong> Datos se <strong>de</strong>clare que el CENTRO PENITENCIARIO SEVILLA, Secretaría General <strong>de</strong><br />
Instituciones Penitenciarias ha infringido lo dispuesto en el artí<strong>culo</strong> 9.1 <strong>de</strong> la <strong>LOPD</strong>, en<br />
relación con los artí<strong>culo</strong>s 88, 93.3, 96, 99, 1<strong>04</strong>, y 111 y siguientes <strong>de</strong>l R<strong>LOPD</strong>,<br />
infracción tipificada como grave en el artí<strong>culo</strong> 44.3.h) como “ Mantener los ficheros,<br />
locales, programas o equipos que contengan datos <strong>de</strong> carácter personal sin las <strong>de</strong>bidas<br />
condiciones <strong>de</strong> seguridad que por vía reglamentaria se <strong>de</strong>terminen”.<br />
DÉCIMO: Con <strong>fecha</strong> 15/03/<strong>2016</strong>, la <strong>de</strong>nunciada presenta un escrito en el que reconoce<br />
la infracción y remite otro <strong>de</strong> la Subdirección General <strong>de</strong> Coordinación <strong>de</strong> Sanidad<br />
Penitenciaria, que forma parte <strong>de</strong> la estructura orgánica <strong>de</strong> la Secretaría General <strong>de</strong><br />
Instituciones Penitenciarias en el que señala:<br />
a) El <strong>18</strong>/01/<strong>2016</strong> se adjudicó a la empresa STACKS un contrato para realizar una<br />
nueva aplicación informática que venga a sustituir en su integridad la actual<br />
aplicación SANIT. La <strong>fecha</strong> <strong>de</strong> conclusión <strong>de</strong> la nueva aplicación está prevista en<br />
unos meses.<br />
“Se dará especial importancia a la elaboración <strong>de</strong>l documento <strong>de</strong> seguridad<br />
siguiendo las indicaciones justas y oportunas por la AEPD” y pasa a relatar<br />
elementos que han <strong>de</strong> conformar el citado documento.<br />
b) Finalizan indicando que se proce<strong>de</strong>rá a la legalización <strong>de</strong>l fichero y su<br />
publicación en el BOE.<br />
HECHOS PROBADOS<br />
1. SANIT es un sistema informático y el nombre <strong>de</strong> un fichero, que se encuentra<br />
operativo aproximadamente <strong>de</strong>s<strong>de</strong> el año 2000 con la finalidad <strong>de</strong> gestionar <strong>de</strong><br />
forma automatizada un resumen <strong>de</strong> la historia clínica <strong>de</strong> los internos, incluyendo<br />
carpetas y documentos en papel. El programa dispone <strong>de</strong> varias bases <strong>de</strong> datos<br />
como “Datos VIH”, “Serología, “mantenimiento con metadona”. El fichero SANIT<br />
se modifica por la Or<strong>de</strong>n 1202/2011 <strong>de</strong> Ministerio <strong>de</strong>l Interior reconociéndose el<br />
nivel <strong>de</strong> seguridad ALTO al tratar datos <strong>de</strong> salud y sexuales <strong>de</strong> personas,<br />
siendo responsable la SECRETARIA GENERAL DE INSTITUCIONES<br />
PENITENCIARIAS <strong>de</strong>pendiente <strong>de</strong>l MINISTERIO DEL INTERIOR. Aparece<br />
inscrito en el Registro <strong>de</strong> la AEPD el 28/10/2005 (86, 90 a 92, 116, 119). Entre<br />
las finalida<strong>de</strong>s <strong>de</strong>claradas <strong>de</strong>l fichero figura la <strong>de</strong> atención sanitaria y contiene<br />
datos <strong>de</strong> salud y <strong>de</strong> vida sexual. (38 a 71, 77, 86 a 89, 90 a 92).<br />
2. La “Nota <strong>de</strong> Dirección **/2014” <strong>de</strong> 3/09/2014, <strong>de</strong>l Centro Penitenciario Sevilla sobre<br />
psicotrópicos responsabiliza <strong>de</strong> la introducción y actualización <strong>de</strong> datos <strong>de</strong> cada<br />
interno a partir <strong>de</strong> documentos que son facilitados por los Facultativos, a estos y a<br />
los Enfermeros, incluyéndose posología y <strong>fecha</strong>s <strong>de</strong> tratamiento. Con el fin a<strong>de</strong>más<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
9/17<br />
<strong>de</strong> disponer <strong>de</strong> documentos que son necesarios para la gestión <strong>de</strong> traslados a otros<br />
centros y emitir, la hoja resumen <strong>de</strong>l interno para su inclusión en la historia clínica en<br />
papel. También mediante la ORDEN DE DIRECCIÓN nº ***/2014 <strong>de</strong>l Centro<br />
Penitenciario Sevilla firmada el 1/10/2014 se inci<strong>de</strong> en el tratamiento <strong>de</strong> datos con el<br />
programa SURI <strong>de</strong> serología en el CP Sevilla (82 a 84). Los usuarios que introducen<br />
datos en el fichero SANIT son personal <strong>de</strong>l Centro Penitenciario <strong>de</strong> Sevilla,<br />
Facultativos, y Enfermeros. El personal administrativo, según la Inspección llevada<br />
a cabo, tiene acceso en modo consulta a datos <strong>de</strong> salud (23, 74) tales como<br />
resultados <strong>de</strong> pruebas.<br />
3. A los representantes <strong>de</strong>l Centro no les consta “documento <strong>de</strong> seguridad” <strong>de</strong> los<br />
ficheros que gestionan los datos <strong>de</strong> salud <strong>de</strong> los internos, es <strong>de</strong>cir <strong>de</strong>l fichero<br />
SANIT. Tampoco disponen <strong>de</strong> auditoría efectuada en sus sistemas <strong>de</strong> ficheros.<br />
4. La asignación <strong>de</strong> usuario y contraseña a la red <strong>de</strong> los usuarios, según la Instrucción<br />
16/2005 era asignada por la <strong>de</strong>nunciada (26) precisándose en la solicitud las<br />
carpetas o archivos a que tendría acceso el usuario. (72). La asignación <strong>de</strong><br />
contraseña según el citado documento, se realizaba por personal técnico <strong>de</strong> la<br />
<strong>de</strong>nunciada, si bien al vencimiento podrían ser cambiadas por el propio usuario.<br />
(26). Otras recomendaciones se incluían en la citada Instrucción como la prohibición<br />
<strong>de</strong>l acceso con usuario y contraseña distinto o el uso <strong>de</strong> dispositivos y programas<br />
<strong>de</strong> or<strong>de</strong>nador en los sistemas <strong>de</strong> información (27, 29). En el transcurso <strong>de</strong> la<br />
Inspección se manifestó por el Centro que “El perfil Administrador o monitor<br />
informático únicamente permite las altas y bajas al aplicativo SANIT. También es la<br />
persona encargada <strong>de</strong> dar <strong>de</strong> alta la contraseña <strong>de</strong> los diferentes usuarios que<br />
acce<strong>de</strong>n al sistema dado que el aplicativo no permite a un usuario cambiar por sí<br />
mismo una contraseña sino que tiene que hacerlo el Administrador y ser este el que<br />
introduzca en el sistema la contraseña que <strong>de</strong>sea el usuario” (22)<br />
5. La <strong>de</strong>nunciada dispone <strong>de</strong> un registro <strong>de</strong> logs o accesos producidos al fichero<br />
SANIT y aportó copia <strong>de</strong>l mismo (22. 76). La <strong>de</strong>nunciada no <strong>de</strong>talla las<br />
medidas <strong>de</strong> seguridad dispuestas en los espacios físicos en los que se<br />
gestionan datos <strong>de</strong> salud.<br />
6. Se <strong>de</strong>sconoce el uso <strong>de</strong>l correo electrónico en la se<strong>de</strong> <strong>de</strong> la <strong>de</strong>nunciada en<br />
relación con los datos <strong>de</strong> salud que gestiona ya que no se contestó en pruebas<br />
a dicho extremo.<br />
FUNDAMENTOS DE DERECHO<br />
I<br />
Es competente para resolver este procedimiento la Directora <strong>de</strong> la Agencia<br />
Española <strong>de</strong> Protección <strong>de</strong> Datos, <strong>de</strong> conformidad con lo dispuesto en el artí<strong>culo</strong> 37. g)<br />
en relación con el artí<strong>culo</strong> 36 <strong>de</strong> la <strong>LOPD</strong>.<br />
II<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
10/17<br />
La comisión <strong>de</strong> una infracción <strong>de</strong>l artí<strong>culo</strong> 9.1 <strong>de</strong> la Ley Orgánica 15/1999, <strong>de</strong><br />
13/12 <strong>de</strong> Protección <strong>de</strong> los Datos <strong>de</strong> Carácter Personal (en lo sucesivo <strong>LOPD</strong>), que<br />
señala que señala: ”El responsable <strong>de</strong>l fichero, y, en su caso, el encargado <strong>de</strong>l<br />
tratamiento <strong>de</strong>berán adoptar las medidas <strong>de</strong> índole técnica y organizativas necesarias<br />
que garantice la seguridad <strong>de</strong> los datos <strong>de</strong> carácter personal y evite su alteración,<br />
pérdida, tratamiento o acceso no autorizado, habida cuenta <strong>de</strong>l estado <strong>de</strong> la tecnología,<br />
la naturaleza <strong>de</strong> los datos almacenados y los riesgos a que están expuestos, ya<br />
provengan <strong>de</strong> la acción humana <strong>de</strong>l medio físico o natural”,<br />
El citado artí<strong>culo</strong> 9 <strong>de</strong> la <strong>LOPD</strong> establece el “principio <strong>de</strong> seguridad <strong>de</strong> los datos”<br />
La <strong>LOPD</strong> impone al responsable <strong>de</strong>l fichero la adopción <strong>de</strong> medidas <strong>de</strong> seguridad, cuyo<br />
<strong>de</strong>talle se refiere a normas reglamentarias.<br />
En lo que respecta al concepto <strong>de</strong> fichero, el art. 3.b) <strong>de</strong> la <strong>LOPD</strong> los <strong>de</strong>fine<br />
como “todo conjunto organizado <strong>de</strong> datos <strong>de</strong> carácter personal, cualesquiera que fuera<br />
la forma o modalidad <strong>de</strong> su creación, almacenamiento, organización y acceso”.<br />
Por su parte, la letra c) <strong>de</strong>l mismo artí<strong>culo</strong> <strong>de</strong>fine tratamiento <strong>de</strong> datos como<br />
“operaciones y procedimientos técnicos <strong>de</strong> carácter automatizado o no, que permitan la<br />
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación,<br />
así como las cesiones <strong>de</strong> datos que resulten <strong>de</strong> comunicaciones, consultas,<br />
interconexiones y transferencias.”<br />
El documento básico <strong>de</strong>l que parten las medidas <strong>de</strong> seguridad en ficheros es el<br />
documento <strong>de</strong> seguridad que <strong>de</strong>be implantar el responsable <strong>de</strong>l fichero, siendo un<br />
documento <strong>de</strong> obligado cumplimiento para el personal con acceso a los datos<br />
automatizados <strong>de</strong> carácter personal y a los sistemas <strong>de</strong> información. El documento<br />
<strong>de</strong>berá contener, como mínimo, los siguientes aspectos:<br />
-Ámbito <strong>de</strong> aplicación <strong>de</strong>l documento con especificación <strong>de</strong>tallada <strong>de</strong> los recursos<br />
protegidos.<br />
-Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el<br />
nivel <strong>de</strong> seguridad exigido en este Reglamento.<br />
-Funciones y obligaciones <strong>de</strong>l personal.<br />
-Estructura <strong>de</strong> los ficheros con datos <strong>de</strong> carácter personal y <strong>de</strong>scripción <strong>de</strong> los sistemas<br />
<strong>de</strong> información que los tratan.<br />
-Procedimientos <strong>de</strong> notificación, gestión y respuesta ante las inci<strong>de</strong>ncias.<br />
-Los procedimientos <strong>de</strong> realización <strong>de</strong> copias <strong>de</strong> respaldo y <strong>de</strong> recuperación <strong>de</strong> datos”.<br />
El R<strong>LOPD</strong> regula los "niveles <strong>de</strong> seguridad" en función <strong>de</strong> la naturaleza <strong>de</strong> la<br />
información tratada, y siendo datos <strong>de</strong> salud o <strong>de</strong> la vida sexual se <strong>de</strong>canta por un nivel<br />
alto <strong>de</strong> protección en los niveles <strong>de</strong> seguridad <strong>de</strong> los ficheros (artí<strong>culo</strong> 83.3.a). La<br />
<strong>de</strong>nunciada no ha aportado el documento <strong>de</strong> seguridad que ha <strong>de</strong> adaptarse al nivel alto<br />
<strong>de</strong> medidas <strong>de</strong> seguridad, acreditándose la infracción <strong>de</strong>l artí<strong>culo</strong> 9.1 <strong>de</strong> la citada <strong>LOPD</strong>.<br />
Al contenido <strong>de</strong>l documento <strong>de</strong> seguridad se refiere el artí<strong>culo</strong> 88 <strong>de</strong>l R<strong>LOPD</strong>:<br />
“1. El responsable <strong>de</strong>l fichero o tratamiento elaborará un documento <strong>de</strong> seguridad que<br />
recogerá las medidas <strong>de</strong> índole técnica y organizativa acor<strong>de</strong>s a la normativa <strong>de</strong><br />
seguridad vigente que será <strong>de</strong> obligado cumplimiento para el personal con acceso a los<br />
sistemas <strong>de</strong> información.<br />
2. El documento <strong>de</strong> seguridad podrá ser único y comprensivo <strong>de</strong> todos los ficheros o<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
11/17<br />
tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán<br />
elaborarse distintos documentos <strong>de</strong> seguridad agrupando ficheros o tratamientos según<br />
el sistema <strong>de</strong> tratamiento utilizado para su organización, o bien atendiendo a criterios<br />
organizativos <strong>de</strong>l responsable. En todo caso, tendrá el carácter <strong>de</strong> documento interno <strong>de</strong><br />
la organización.<br />
3. El documento <strong>de</strong>berá contener, como mínimo, los siguientes aspectos:<br />
a) Ámbito <strong>de</strong> aplicación <strong>de</strong>l documento con especificación <strong>de</strong>tallada <strong>de</strong> los recursos<br />
protegidos.<br />
b) Medidas, normas, procedimientos <strong>de</strong> actuación, reglas y estándares encaminados a<br />
garantizar el nivel <strong>de</strong> seguridad exigido en este Reglamento.<br />
c) Funciones y obligaciones <strong>de</strong>l personal en relación con el tratamiento <strong>de</strong> los datos <strong>de</strong><br />
carácter personal incluidos en los ficheros.<br />
d) Estructura <strong>de</strong> los ficheros con datos <strong>de</strong> carácter personal y <strong>de</strong>scripción <strong>de</strong> los<br />
sistemas <strong>de</strong> información que los tratan.<br />
e) Procedimiento <strong>de</strong> notificación, gestión y respuesta ante las inci<strong>de</strong>ncias.<br />
f) Los procedimientos <strong>de</strong> realización <strong>de</strong> copias <strong>de</strong> respaldo y <strong>de</strong> recuperación <strong>de</strong> los<br />
datos en los ficheros o tratamientos automatizados.<br />
g) Las medidas que sea necesario adoptar para el transporte <strong>de</strong> soportes y<br />
documentos, así como para la <strong>de</strong>strucción <strong>de</strong> los documentos y soportes, o en su caso,<br />
la reutilización <strong>de</strong> estos últimos.<br />
4. En caso <strong>de</strong> que fueran <strong>de</strong> aplicación a los ficheros las medidas <strong>de</strong> seguridad <strong>de</strong><br />
nivel medio o las medidas <strong>de</strong> seguridad <strong>de</strong> nivel alto, previstas en este título, el<br />
documento <strong>de</strong> seguridad <strong>de</strong>berá contener a<strong>de</strong>más:<br />
a) La i<strong>de</strong>ntificación <strong>de</strong>l responsable o responsables <strong>de</strong> seguridad.<br />
b) Los controles periódicos que se <strong>de</strong>ban realizar para verificar el cumplimiento <strong>de</strong> lo<br />
dispuesto en el propio documento.<br />
5. Cuando exista un tratamiento <strong>de</strong> datos por cuenta <strong>de</strong> terceros, el documento <strong>de</strong><br />
seguridad <strong>de</strong>berá contener la i<strong>de</strong>ntificación <strong>de</strong> los ficheros o tratamientos que se traten<br />
en concepto <strong>de</strong> encargado con referencia expresa al contrato o documento que regule<br />
las condiciones <strong>de</strong>l encargo, así como <strong>de</strong> la i<strong>de</strong>ntificación <strong>de</strong>l responsable y <strong>de</strong>l período<br />
<strong>de</strong> vigencia <strong>de</strong>l encargo.<br />
6. En aquellos casos en los que datos personales <strong>de</strong> un fichero o tratamiento se<br />
incorporen y traten <strong>de</strong> modo exclusivo en los sistemas <strong>de</strong>l encargado, el responsable<br />
<strong>de</strong>berá anotarlo en su documento <strong>de</strong> seguridad. Cuando tal circunstancia afectase a<br />
parte o a la totalidad <strong>de</strong> los ficheros o tratamientos <strong>de</strong>l responsable, podrá <strong>de</strong>legarse en<br />
el encargado la llevanza <strong>de</strong>l documento <strong>de</strong> seguridad, salvo en lo relativo a aquellos<br />
datos contenidos en recursos propios. Este hecho se indicará <strong>de</strong> modo expreso en el<br />
contrato celebrado al amparo <strong>de</strong>l artí<strong>culo</strong> 12 <strong>de</strong> la Ley Orgánica 15/1999, <strong>de</strong> 13 <strong>de</strong><br />
diciembre, con especificación <strong>de</strong> los ficheros o tratamientos afectados.<br />
En tal caso, se aten<strong>de</strong>rá al documento <strong>de</strong> seguridad <strong>de</strong>l encargado al efecto <strong>de</strong>l<br />
cumplimiento <strong>de</strong> lo dispuesto por este Reglamento.<br />
7. El documento <strong>de</strong> seguridad <strong>de</strong>berá mantenerse en todo momento actualizado y<br />
será revisado siempre que se produzcan cambios relevantes en el sistema <strong>de</strong><br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
12/17<br />
información, en el sistema <strong>de</strong> tratamiento empleado, en su organización, en el contenido<br />
<strong>de</strong> la información incluida en los ficheros o tratamientos o, en su caso, como<br />
consecuencia <strong>de</strong> los controles periódicos realizados. En todo caso, se enten<strong>de</strong>rá que un<br />
cambio es relevante cuando pueda repercutir en el cumplimiento <strong>de</strong> las medidas <strong>de</strong><br />
seguridad implantadas.<br />
8. El contenido <strong>de</strong>l documento <strong>de</strong> seguridad <strong>de</strong>berá a<strong>de</strong>cuarse, en todo momento, a<br />
las disposiciones vigentes en materia <strong>de</strong> seguridad <strong>de</strong> los datos <strong>de</strong> carácter personal.”<br />
Con in<strong>de</strong>pen<strong>de</strong>ncia <strong>de</strong>l aplicativo utilizado o <strong>de</strong> su próxima mejora, es indispensable<br />
contar con un documento <strong>de</strong> seguridad, y que este sea puesto en conocimiento <strong>de</strong> los<br />
empleados para su efectivo conocimiento y cumplimiento, circunstancias que no se dan<br />
en el presente caso. Lo mencionado es lo mínimo exigible, pero en este caso se están<br />
tramitando datos <strong>de</strong> salud, por lo que el nivel <strong>de</strong> seguridad y el documento <strong>de</strong> seguridad<br />
ha <strong>de</strong> acoplarse a lo que el Reglamento consigna para dicho tipo <strong>de</strong> ficheros y<br />
seguridad, en concreto los artí<strong>culo</strong>s 101 y siguientes. Ello, abarcando también el nivel<br />
básico y medio, pues así lo <strong>de</strong>termina el artí<strong>culo</strong> 81.3.a) <strong>de</strong>l R<strong>LOPD</strong>, que indica:<br />
“3. A<strong>de</strong>más <strong>de</strong> las medidas <strong>de</strong> nivel básico y medio, las medidas <strong>de</strong> nivel alto se<br />
aplicarán en los siguientes ficheros o tratamientos <strong>de</strong> datos <strong>de</strong> carácter personal:<br />
a) Los que se refieran a datos <strong>de</strong> i<strong>de</strong>ología, afiliación sindical, religión, creencias,<br />
origen racial, salud o vida sexual.”<br />
III<br />
En cuanto al tratamiento <strong>de</strong> los datos <strong>de</strong> salud, el artí<strong>culo</strong> 7.3 y 7.6 <strong>de</strong> la <strong>LOPD</strong> indica:<br />
“3. Los datos <strong>de</strong> carácter personal que hagan referencia al origen racial, a la salud y a<br />
la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones <strong>de</strong><br />
interés general, así lo disponga una ley o el afectado consienta expresamente.<br />
6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto <strong>de</strong><br />
tratamiento los datos <strong>de</strong> carácter personal a que se refieren los apartados 2 y 3 <strong>de</strong> este<br />
artí<strong>culo</strong>, cuando dicho tratamiento resulte necesario para la prevención o para el<br />
diagnóstico médicos, la prestación <strong>de</strong> asistencia sanitaria o tratamientos médicos o la<br />
gestión <strong>de</strong> servicios sanitarios, siempre que dicho tratamiento <strong>de</strong> datos se realice por un<br />
profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a<br />
una obligación equivalente <strong>de</strong> secreto.<br />
También podrán ser objeto <strong>de</strong> tratamiento los datos a que se refiere el párrafo anterior<br />
cuando el tratamiento sea necesario para salvaguadar el interés vital <strong>de</strong>l afectado o <strong>de</strong><br />
otra persona, en el supuesto <strong>de</strong> que el afectado esté física o jurídicamente incapacitado<br />
para dar su consentimiento.”<br />
Se <strong>de</strong>spren<strong>de</strong> <strong>de</strong>l literal, que no se necesita poseer una titulación relacionada<br />
con el ámbito <strong>de</strong> la salud para efectuar el tratamiento <strong>de</strong> los datos <strong>de</strong> salud.<br />
IV<br />
El artí<strong>culo</strong> 93.3 <strong>de</strong>l R<strong>LOPD</strong> indica en un epígrafe titulado “I<strong>de</strong>ntificación y<br />
autenticación”, aplicable <strong>de</strong>s<strong>de</strong> el nivel básico <strong>de</strong> seguridad:<br />
“3. Cuando el mecanismo <strong>de</strong> autenticación se base en la existencia <strong>de</strong> contraseñas<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
13/17<br />
existirá un procedimiento <strong>de</strong> asignación, distribución y almacenamiento que garantice su<br />
confi<strong>de</strong>ncialidad e integridad.<br />
4. El documento <strong>de</strong> seguridad establecerá la periodicidad, que en ningún caso será<br />
superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras<br />
estén vigentes, se almacenarán <strong>de</strong> forma ininteligible.”<br />
Durante la visita <strong>de</strong> Inspección, el Centro manifestó que: “El perfil Administrador<br />
o monitor informático únicamente permite las altas y bajas al aplicativo SANIT. También<br />
es la persona encargada <strong>de</strong> dar <strong>de</strong> alta la contraseña <strong>de</strong> los diferentes usuarios que<br />
acce<strong>de</strong>n al sistema dado que el aplicativo no permite a un usuario cambiar por sí mismo<br />
una contraseña sino que tiene que hacerlo el Administrador y ser este el que introduzca<br />
en el sistema la contraseña que <strong>de</strong>sea el usuario”<br />
La asignación <strong>de</strong> contraseñas conociéndose por el Administrador al ser el mismo<br />
el que las asigna, infringe la confi<strong>de</strong>ncialidad <strong>de</strong>l acceso a los datos y contraria el<br />
principio <strong>de</strong> uso por su titular, ya que la misma tiene como función la i<strong>de</strong>ntificación <strong>de</strong><br />
forma inequívoca y personalizada <strong>de</strong>l usuario.<br />
V<br />
La <strong>de</strong>nunciada incumple otra medida <strong>de</strong>l nivel medio <strong>de</strong> seguridad, la auditoría<br />
<strong>de</strong> fichero, artí<strong>culo</strong> 96 que indica:<br />
“1. A partir <strong>de</strong>l nivel medio los sistemas <strong>de</strong> información e instalaciones <strong>de</strong> tratamiento<br />
y almacenamiento <strong>de</strong> datos se someterán, al menos cada dos años, a una auditoría<br />
interna o externa que verifique el cumplimiento <strong>de</strong>l presente título.<br />
Con carácter extraordinario <strong>de</strong>berá realizarse dicha auditoría siempre que se realicen<br />
modificaciones sustanciales en el sistema <strong>de</strong> información que puedan repercutir en el<br />
cumplimiento <strong>de</strong> las medidas <strong>de</strong> seguridad implantadas con el objeto <strong>de</strong> verificar la<br />
adaptación, a<strong>de</strong>cuación y eficacia <strong>de</strong> las mismas. Esta auditoría inicia el cómputo <strong>de</strong><br />
dos años señalado en el párrafo anterior.<br />
2. El informe <strong>de</strong> auditoría <strong>de</strong>berá dictaminar sobre la a<strong>de</strong>cuación <strong>de</strong> las medidas y<br />
controles a la Ley y su <strong>de</strong>sarrollo reglamentario, i<strong>de</strong>ntificar sus <strong>de</strong>ficiencias y proponer<br />
las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los<br />
datos, hechos y observaciones en que se basen los dictámenes alcanzados y las<br />
recomendaciones propuestas.<br />
3. Los informes <strong>de</strong> auditoría serán analizados por el responsable <strong>de</strong> seguridad<br />
competente, que elevará las conclusiones al responsable <strong>de</strong>l fichero o tratamiento para<br />
que adopte las medidas correctoras a<strong>de</strong>cuadas y quedarán a disposición <strong>de</strong> la Agencia<br />
Española <strong>de</strong> Protección <strong>de</strong> Datos o, en su caso, <strong>de</strong> las autorida<strong>de</strong>s <strong>de</strong> control <strong>de</strong> las<br />
Comunida<strong>de</strong>s Autónomas.”<br />
El R<strong>LOPD</strong> se aprobó en 2007, el fichero SANIT figura inscrito <strong>de</strong>s<strong>de</strong> 2005. La<br />
<strong>de</strong>nunciada no aporta ni dispone <strong>de</strong> la citada Auditoría sobre el fichero.<br />
El artí<strong>culo</strong> 99 <strong>de</strong>termina: “Control <strong>de</strong> acceso físico”: “Exclusivamente el personal<br />
autorizado en el documento <strong>de</strong> seguridad podrá tener acceso a los lugares don<strong>de</strong> se<br />
hallen instalados los equipos físicos que <strong>de</strong>n soporte a los sistemas <strong>de</strong> información.”<br />
VI<br />
Referido al posible uso <strong>de</strong> correos electrónicos que contengan datos <strong>de</strong> salud, el<br />
artí<strong>culo</strong> 1<strong>04</strong>, titulado “ Telecomunicaciones” <strong>de</strong>termina que “Cuando, conforme al<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
14/17<br />
artí<strong>culo</strong> 81.3 <strong>de</strong>ban implantarse las medidas <strong>de</strong> seguridad <strong>de</strong> nivel alto, la transmisión<br />
<strong>de</strong> datos <strong>de</strong> carácter personal a través <strong>de</strong> re<strong>de</strong>s públicas o re<strong>de</strong>s inalámbricas <strong>de</strong><br />
comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando<br />
cualquier otro mecanismo que garantice que la información no sea inteligible ni<br />
manipulada por terceros.”<br />
A la <strong>de</strong>nunciada se solicitó en pruebas la distribución <strong>de</strong> los equipos <strong>de</strong><br />
información y lugares en los que circulaban soportes con datos así como situación <strong>de</strong><br />
equipos físicos que <strong>de</strong>n soporte a los sistemas <strong>de</strong> información, siendo <strong>de</strong>sconocida la<br />
situación <strong>de</strong> los mismos al no respon<strong>de</strong>r, por lo que <strong>de</strong>berá aclarar estas circunstancias<br />
al efecto <strong>de</strong> consi<strong>de</strong>rar a<strong>de</strong>cuada la situación a la normativa<br />
VII<br />
En cuanto a ficheros y tratamientos no automatizados su régimen se <strong>de</strong>sarrolla<br />
en los artí<strong>culo</strong>s 105 y siguientes <strong>de</strong>l R<strong>LOPD</strong> con especial mención al artí<strong>culo</strong> 108 que<br />
precisa: “Custodia <strong>de</strong> soportes”: ”Mientras la documentación con datos <strong>de</strong> carácter<br />
personal no se encuentre archivada en los dispositivos <strong>de</strong> almacenamiento establecidos<br />
en el artí<strong>culo</strong> anterior, por estar en proceso <strong>de</strong> revisión o tramitación, ya sea previo o<br />
posterior a su archivo, la persona que se encuentre al cargo <strong>de</strong> la misma <strong>de</strong>berá<br />
custodiarla e impedir en todo momento que pueda ser accedida por persona no<br />
autorizada. ” El artí<strong>culo</strong> 111 y siguientes <strong>de</strong>l citado Reglamento se refiere en concreto a<br />
los ficheros <strong>de</strong> nivel alto <strong>de</strong> seguridad, y que en el caso <strong>de</strong> la <strong>de</strong>nunciada por contenerse<br />
diversa información en documentos se recuerda la necesidad <strong>de</strong> su cumplimiento:<br />
<strong>Art</strong>í<strong>culo</strong> 111. Almacenamiento <strong>de</strong> la información<br />
“1. Los armarios, archivadores u otros elementos en los que se almacenen los<br />
ficheros no automatizados con datos <strong>de</strong> carácter personal <strong>de</strong>berán encontrarse en áreas<br />
en las que el acceso esté protegido con puertas <strong>de</strong> acceso dotadas <strong>de</strong> sistemas <strong>de</strong><br />
apertura mediante llave u otro dispositivo equivalente. Dichas áreas <strong>de</strong>berán<br />
permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el<br />
fichero.<br />
2. Si, atendidas las características <strong>de</strong> los locales <strong>de</strong> que dispusiera el responsable <strong>de</strong>l<br />
fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el<br />
responsable adoptará medidas alternativas que, <strong>de</strong>bidamente motivadas, se incluirán en<br />
el documento <strong>de</strong> seguridad.”<br />
<strong>Art</strong>í<strong>culo</strong> 112. Copia o reproducción<br />
“1. La generación <strong>de</strong> copias o la reproducción <strong>de</strong> los documentos únicamente<br />
podrá ser realizada bajo el control <strong>de</strong>l personal autorizado en el documento <strong>de</strong><br />
seguridad.<br />
2. Deberá proce<strong>de</strong>rse a la <strong>de</strong>strucción <strong>de</strong> las copias o reproducciones <strong>de</strong>sechadas <strong>de</strong><br />
forma que se evite el acceso a la información contenida en las mismas o su<br />
recuperación posterior.”<br />
<strong>Art</strong>í<strong>culo</strong> 113. Acceso a la documentación<br />
“1. El acceso a la documentación se limitará exclusivamente al personal<br />
autorizado.<br />
2. Se establecerán mecanismos que permitan i<strong>de</strong>ntificar los accesos realizados en el<br />
caso <strong>de</strong> documentos que puedan ser utilizados por múltiples usuarios.<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
15/17<br />
3. El acceso <strong>de</strong> personas no incluidas en el párrafo anterior <strong>de</strong>berá quedar<br />
a<strong>de</strong>cuadamente registrado <strong>de</strong> acuerdo con el procedimiento establecido al efecto en el<br />
documento <strong>de</strong> seguridad.”<br />
<strong>Art</strong>í<strong>culo</strong> 114. Traslado <strong>de</strong> documentación<br />
“Siempre que se proceda al traslado físico <strong>de</strong> la documentación contenida en un<br />
fichero, <strong>de</strong>berán adoptarse medidas dirigidas a impedir el acceso o manipulación <strong>de</strong> la<br />
información objeto <strong>de</strong> traslado.”<br />
La <strong>de</strong>nunciada, requerida en pruebas sobre la ubicación <strong>de</strong> las hojas <strong>de</strong> firmas,<br />
<strong>de</strong>l personal que maneja datos, <strong>de</strong> localización <strong>de</strong> equipos y servidor y lugares don<strong>de</strong> se<br />
sitúan y guardan las carpetas y documentos con datos en papel, no aporta información<br />
alguna.<br />
VIII<br />
La infracción cometida, aparece tipificada como grave en el artí<strong>culo</strong> 44.3.h), que<br />
consi<strong>de</strong>ra como tal, "Mantener los ficheros, locales, programas o equipos que contengan<br />
datos <strong>de</strong> carácter personal sin las <strong>de</strong>bidas condiciones <strong>de</strong> seguridad que por vía<br />
reglamentaria se <strong>de</strong>terminen".<br />
IX<br />
El artí<strong>culo</strong> 46.1) y .4) <strong>de</strong> la <strong>LOPD</strong> indican:<br />
“1. Cuando las infracciones a que se refiere el artí<strong>culo</strong> 44 fuesen cometidas en<br />
ficheros <strong>de</strong> titularidad pública o en relación con tratamientos cuyos responsables lo<br />
serían <strong>de</strong> ficheros <strong>de</strong> dicha naturaleza, el órgano sancionador dictará una resolución<br />
estableciendo las medidas que proce<strong>de</strong> adoptar para que cesen o se corrijan los efectos<br />
<strong>de</strong> la infracción. Esta resolución se notificará al responsable <strong>de</strong>l fichero, al órgano <strong>de</strong>l<br />
que <strong>de</strong>penda jerárquicamente y a los afectados si los hubiera.<br />
4. El Director <strong>de</strong> la Agencia comunicará al Defensor <strong>de</strong>l Pueblo las actuaciones<br />
que efectúe y las resoluciones que dicte al amparo <strong>de</strong> los apartados<br />
anteriores.”<br />
Vistos los preceptos citados y <strong>de</strong>más <strong>de</strong> general aplicación,<br />
La Directora <strong>de</strong> la Agencia Española <strong>de</strong> Protección <strong>de</strong> Datos RESUELVE:<br />
PRIMERO: DECLARAR que el CENTRO PENITENCIARIO SEVILLA, (Secretaría<br />
General <strong>de</strong> Instituciones Penitenciarias) ha infringido lo dispuesto en el artí<strong>culo</strong> 9.1 <strong>de</strong><br />
la <strong>LOPD</strong>, en relación con los artí<strong>culo</strong>s 88, 93.3, 96, 99, 1<strong>04</strong> y 111 <strong>de</strong>l R<strong>LOPD</strong><br />
tipificada como grave en el artí<strong>culo</strong> 44.3.h) <strong>de</strong> la citada Ley Orgánica.<br />
SEGUNDO: REQUERIR al CENTRO PENITENCIARIO SEVILLA, <strong>de</strong> acuerdo con lo<br />
establecido en el apartado 3 <strong>de</strong>l artí<strong>culo</strong> 46 <strong>de</strong> la <strong>LOPD</strong>, para que acredite en el plazo<br />
<strong>de</strong> un mes <strong>de</strong>s<strong>de</strong> este acto <strong>de</strong> notificación las medidas <strong>de</strong> or<strong>de</strong>n interno que impidan<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
16/17<br />
que en el futuro pueda producirse una nueva infracción <strong>de</strong>l artí<strong>culo</strong> 9.1 <strong>de</strong> la <strong>LOPD</strong>, para<br />
lo que se abre expediente <strong>de</strong> actuaciones previas E/01970/<strong>2016</strong>.<br />
En concreto <strong>de</strong>berá implementar el documento <strong>de</strong> seguridad <strong>de</strong>l fichero que<br />
figura creado, inscrito y en funcionamiento <strong>de</strong>s<strong>de</strong> 2005, informando <strong>de</strong> los extremos<br />
que afecten al personal que opera con datos.<br />
Deberá proce<strong>de</strong>r a realizar una auditoría <strong>de</strong>l fichero y remitirla a esta Agencia.<br />
Deberá acreditar que cumple las medidas <strong>de</strong> seguridad <strong>de</strong> control <strong>de</strong> acceso<br />
físico <strong>de</strong> ficheros, sean equipos <strong>de</strong> información o sean documentos en papel. En<br />
idéntico sentido, respecto al almacenamiento <strong>de</strong> soportes que contengan datos.<br />
Deberá informar <strong>de</strong>l sistema <strong>de</strong> tratamiento <strong>de</strong> información que realiza a través<br />
<strong>de</strong> correo electrónico si lo utiliza o <strong>de</strong>l registro y envío <strong>de</strong> historias clínicas a otros<br />
centros<br />
TERCERO: NOTIFICAR la presente resolución al CENTRO PENITENCIARIO SEVILLA,<br />
a<br />
DON A.A.A. y a la SECRETARÍA GENERAL DE INSTITUCIONES PENITENCIARIAS.<br />
CUARTO: COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, <strong>de</strong><br />
conformidad con lo establecido en el artí<strong>culo</strong> 46.4 <strong>de</strong> la <strong>LOPD</strong>.<br />
De conformidad con lo establecido en el apartado 2 <strong>de</strong>l artí<strong>culo</strong> 37 <strong>de</strong> la <strong>LOPD</strong>, en la<br />
redacción dada por el artí<strong>culo</strong> 82 <strong>de</strong> la Ley 62/2003, <strong>de</strong> 30/12, <strong>de</strong> medidas fiscales,<br />
administrativas y <strong>de</strong>l or<strong>de</strong>n social, la presente Resolución se hará pública, una vez haya<br />
sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la<br />
Instrucción 1/20<strong>04</strong>, <strong>de</strong> 22/12, <strong>de</strong> la Agencia Española <strong>de</strong> Protección <strong>de</strong> Datos sobre<br />
publicación <strong>de</strong> sus <strong>Resolucion</strong>es y con arreglo a lo dispuesto en el artí<strong>culo</strong> 116 <strong>de</strong>l<br />
R<strong>LOPD</strong>.<br />
Contra esta resolución, que pone fin a la vía administrativa (artí<strong>culo</strong> 48.2 <strong>de</strong> la<br />
<strong>LOPD</strong>), y <strong>de</strong> conformidad con lo establecido en el artí<strong>culo</strong> 116 <strong>de</strong> la Ley 30/1992, <strong>de</strong><br />
26/11, <strong>de</strong> Régimen Jurídico <strong>de</strong> las Administraciones Públicas y <strong>de</strong>l Procedimiento<br />
Administrativo Común, se podrá interponer potestativamente recurso <strong>de</strong> reposición ante<br />
la Directora <strong>de</strong> la Agencia Española <strong>de</strong> Protección <strong>de</strong> Datos en el plazo <strong>de</strong> un mes a<br />
contar <strong>de</strong>s<strong>de</strong> el día siguiente a la notificación <strong>de</strong> esta resolución, o, directamente recurso<br />
contencioso administrativo ante la Sala <strong>de</strong> lo Contencioso-administrativo <strong>de</strong> la Audiencia<br />
Nacional con arreglo a lo dispuesto en el artí<strong>culo</strong> 25 y en el apartado 5 <strong>de</strong> la disposición<br />
adicional cuarta <strong>de</strong> la Ley 29/1998, <strong>de</strong> 13/07, reguladora <strong>de</strong> la Jurisdicción Contenciosoadministrativa<br />
(en lo sucesivo LJCA), en el plazo <strong>de</strong> dos meses a contar <strong>de</strong>s<strong>de</strong> el día<br />
siguiente a la notificación <strong>de</strong> este acto, según lo previsto en el artí<strong>culo</strong> 46.1 <strong>de</strong>l referido<br />
texto legal.<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es
17/17<br />
Sin embargo, el responsable <strong>de</strong>l fichero <strong>de</strong> titularidad pública, <strong>de</strong> acuerdo con el<br />
artí<strong>culo</strong> 44.1 <strong>de</strong> la LJCA, sólo podrá interponer directamente recurso contencioso<br />
administrativo ante la Sala <strong>de</strong> lo Contencioso-administrativo <strong>de</strong> la Audiencia Nacional<br />
con arreglo a lo dispuesto en el artí<strong>culo</strong> 25 y en el apartado 5 <strong>de</strong> la disposición adicional<br />
cuarta <strong>de</strong> la LJCA, en el plazo <strong>de</strong> dos meses a contar <strong>de</strong>s<strong>de</strong> el día siguiente a la<br />
notificación <strong>de</strong> este acto, según lo previsto en el artí<strong>culo</strong> 46.1 <strong>de</strong>l referido texto legal.<br />
Mar España Martí<br />
Directora <strong>de</strong> la Agencia Española <strong>de</strong> Protección <strong>de</strong> Datos<br />
C/ Jorge Juan, 6 www.agpd.es<br />
28001 – Madrid se<strong>de</strong>agpd.gob.es