AAPP-00061-2015_Resolucion-de-fecha-18-04-2016_Art-ii-culo-9-LOPD

1/17
Procedimiento Nº AP/00061/2015
RESOLUCIÓN: R/00711/2016
En el procedimiento de Declaración de Infracción de Administraciones Públicas
AP/00061/2015, instruido por la Agencia Española de Protección de Datos a la entidad
CENTRO PENITENCIARIO SEVILLA, (Secretaría General de Instituciones
Penitenciarias), vista la denuncia presentada por DON A.A.A., y otras nueve personas,
en virtud de los siguientes,
ANTECEDENTES
PRIMERO: Con fecha de 3/11/2014 tiene entrada en esta Agencia un escrito del
denunciante y otras nueve personas, pertenecientes al Cuerpo de Enfermería del Centro
Penitenciario (CP) de Sevilla en el que declaran que registran datos sanitarios de
internos en la aplicación informática SANIT y han detectado fallos en la seguridad de los
mismos. Aportan copia de dichas deficiencias comunicadas al Centro en un escrito
registrado el 22/10/2014, del que no obtuvieron respuesta. Del mismo destaca:
1. La Dirección del Centro les ha dado instrucciones y directrices para la introducción
en el programa SANIT de datos sobre tratamientos médicos que reciben los
internos, la “Nota de Dirección **/2014” sobre psicotrópicos les responsabiliza de la
introducción y actualización de dichos datos de cada interno a partir de documentos
que son facilitados por los Facultativos. También se efectúa tratamiento de datos
sobre serología de internos.
2. “La introducción de los datos en SANIT se efectúa por cada profesional de
enfermería mediante una clave, pero que está a disposición de los demás
enfermeros e incluso del personal administrativo, “a través de las hojas de firmas
que se encuentran al alcance de todos” que pueden entrar, consultar y modificar los
datos, sin que quede rastro de la manipulación.
Ni en su denuncia ni en el escrito se acompaña o explica que es la hoja de firmas
ni aporta evidencia probatoria que certifique lo aseverado.
SEGUNDO: A la vista de los hechos denunciados, en fase de actuaciones previas, los
Servicios de Inspección de esta Agencia efectúan visita de Inspección el 21/09/2015 al
Centro Penitenciario Sevilla, conociendo la siguiente información:
1.1. SANIT es un sistema informático que se encuentra operativo
aproximadamente desde el año 2000 desarrollado por la Secretaría
General de Instituciones Penitenciarias del Ministerio del Interior con la
finalidad de gestionar de forma automatizada un resumen de la historia
clínica de los internos que se custodia en una carpeta en formato papel y
también extrae y trata información sanitaria. El programa dispone de
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

2/17
varias bases de datos, por citar algunas: “Datos VIH”, “Serología,
“mantenimiento con metadona”. El sistema funciona de forma
descentralizada, cada centro penitenciario introduce los datos de salud de
sus internos, datos que quedan almacenados en un servidor ubicado en el
propio centro penitenciario, y cada centro penitenciario únicamente
dispone de acceso a los datos de los internos que están, o han estado, en
el centro.
1.2. El Subdirector Médico manifestó que en el Centro no se estaban
cumplimentando los datos sanitarios gestionados por el aplicativo SANIT,
por lo que se comunicó al personal sanitario: médicos y enfermeros, que
deben cumplimentar dicha información con la finalidad de gestionar los
traslados a otros centros y emitir la correspondiente hoja resumen del
interno para su inclusión en la historia clínica en papel. La citada
comunicación se efectuó a través de la NOTA DE DIRECCIÓN nº **/2014
y la ORDEN DE DIRECCIÓN nº ***/2014, de las se recaba copia. La
primera, de 3/09/2014 trata de la implantación en el programa SANIT
“Tratamiento psicotrópico” consistente en el volcado de datos a llevarse a
cabo por parte del personal facultativo y enfermeros, se contienen dosis y
fechas del tratamiento, y en el mantenimiento de los nuevos tratamientos
que se hayan de incluir a partir de 3/09/2014. La segunda trata de la
implantación del programa SURI en el CP Sevilla I, firmada el 1/10/2014
basado en listados de internos procedentes de historias clínicas o del
SANIT, en el que se aprecia que los resultados se comunican en
cajetín/bandeja y el enfermero asignado los introduce en el SANIT.
1.3. SANIT también es el nombre del fichero que ha sido creado mediante la
Orden 1202/2011 de Ministerio del Interior reconociéndose el nivel de
seguridad ALTO al tratar datos de salud y sexuales de personas. En el
fichero figura como responsable la Secretaria General de Instituciones
Penitenciarias, dependiente del MINISTERIO DEL INTERIOR. Entre las
finalidades declaradas del fichero figura la de atención sanitaria y contiene
datos de salud y de vida sexual. El sistema SANIT se ha ido actualizado
en diversas ocasiones estando actualmente utilizando la versión 2003, si
bien está previsto su sustitución por un nuevo sistema.
1.4. A los representantes del Centro no les consta la existencia de un
Documento de Seguridad sobre el fichero SANIT ni de protocolos
específicos de seguridad. Disponen de un documento denominado
Instrucción I-16/2005 de la Dirección General de Instituciones
Penitenciarias titulado “Medidas preventivas de seguridad aplicables
a sus equipos y sistemas informáticos y de comunicaciones” y del
procedimiento de gestión de cuentas de usuario y buzones de correo
electrónico de fecha 13/5/2015, recabándose copia de dichos
documentos. La Instrucción se refiere de modo genérico a las medidas
preventivas y de seguridad aplicables a equipos y sistemas informáticos y
de comunicaciones, sin referencia al fichero con nivel alto de seguridad.
En su punto 5 refiere la asignación de contraseñas de acceso a las redes
de comunicaciones de la Dirección General de Instituciones Penitenciarias
indicando que será realizada por el personal técnico que presta funciones
de Administrador de Red, forzando el cambio de esta contraseña por parte
del usuario una vez que este acceda por primera vez. El otro documento,
de carácter técnico, se refiere a la gestión de permisos de usuarios para
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

3/17
los correos y directorios para los que se dan los permisos.
1.5. A los representantes del Centro no les consta la existencia de auditorías
de seguridad en, al menos, los últimos 5 años.
1.6. A los representantes del Centro no les consta la existencia de un manual
de usuario y de administración actualizado del aplicativo SANIT. No
obstante, disponen de dos copias de manuales de versiones anteriores
(no se recoge fecha) del aplicativo que se han incorporado a las
actuaciones. Este manual describe los menús que contiene el programa.
1.7. En el aplicativo SANIT instalado en el Centro, se han definido dos perfiles
de usuarios identificados como: administrador/monitor informático y resto
de usuarios.
El perfil administrador o monitor informático únicamente permite las altas y bajas de
usuarios al aplicativo SANIT, encargado de dar de alta la contraseña de los diferentes
usuarios que acceden al sistema. El aplicativo no permite a un usuario cambiar por sí
mismo una contraseña sino que tiene que hacerlo el administrador y ser éste el que
introduzca en el sistema la contraseña que desea el usuario. Para el alta del usuario en
el sistema SANIT es necesario la cumplimentación de un formulario firmado por el
empleado y el Director haciéndole entrega al empleado de un ejemplar de la instrucción
I-16/2005. Se obtiene copia impresa del citado formulario. Para la baja de usuarios se
utiliza un formulario al efecto del que también se ha recabado copia. Se ha recabado
copia también del listado completo de usuarios definidos en el sistema, si bien
anonimizados los 24 nombres y apellidos que lo conforman, viéndose las categorías de
empleados que son usuarios, destacando: ATS/DUE, Auxiliar de Clínica, Médicos,
Auxiliar Informático y de Oficina, Administrativo.
Respecto del perfil identificado como resto de usuarios, engloba a los facultativos
médicos, personal de enfermería y administrativos, de tal forma que todos ellos
disponen de acceso a la totalidad de los datos de internos que se trata en el
sistema SANIT, tanto a los datos de filiación o no sanitarios como a los datos sanitarios
o de salud.
1.8 El aplicativo SANIT dispone de un registro de accesos o LOG denominado
“eventos” en el que se reflejan los accesos de los usuarios a los datos de los internos.
Los representantes del Centro manifiestan que desconocen la estructura de dicho LOG
así como los tratamientos que sobre dichos datos se realizan ya que a dicho fichero se
accede únicamente desde los Servicios Centrales. No obstante, tras solicitarlo a los
Servicios Centrales a requerimiento de los Inspectores, facilitan la estructura de dicho
fichero que ha sido incorporada a las actuaciones, si bien no acreditan copia alguna de
registros de accesos, al no aportar tal registro que reflejen fechas de accesos o
usuarios.
1.9. Durante la inspección se ha accedido al aplicativo SANIT verificándose las
opciones de accesos definidas por tipo de datos disponibles, obteniéndose
un informe u hoja resumen de datos de un interno al objeto de verificar el
contenido de los datos personales tratados en el aplicativo SANIT que
incluye datos de salud.
1.10.Se ha realizado también un acceso al aplicativo SANIT con el usuario de
un administrativo verificándose que dispone de acceso tanto a los
datos de filiación o no sanitarios, como a los datos sanitarios o de
salud, entre otros, a los datos de las pruebas de serología incluyendo fecha
y resultado y de las pruebas de TBC (tuberculosis).
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

4/17
1.11.Se ha comprobado que el aplicativo SANIT utiliza dos bases de datos: la
base de datos conteniendo los datos de los pacientes y la base de datos
de los eventos asociados a la aplicación para cuyo acceso se precisa de
contraseña, manifestando los representantes del Centro no disponer de la
misma.
TERCERO: Con fecha 21/10/2015 se inició procedimiento de declaración de infracción
de las Administraciones Públicas al CENTRO PENITENCIARIO DE SEVILLA
(SECRETARÍA GENERAL DE INSTITUCIONES PENITENCIARIAS) por la comisión de
una infracción del artículo 9.1 de la Ley Orgánica 15/1999, de 13/12 de Protección de los
Datos de Carácter Personal (en lo sucesivo LOPD), en relación con los artículos 88,
89.2, 91.1 y 2, 92.1, 93, 95, 96,103 y 113 del Reglamento de Desarrollo de la LOPD,
aprobado por Real Decreto 1720/2007, de 21/12 (en adelante RLOPD); tipificada como
grave en el artículo 44.3.h) de dicha norma.
CUARTO: Con fecha 16/11/2015 el Director del CP alega:
1) La clave de acceso de cada usuario al fichero SANIT es personal e intransferible,
no es de conocimiento público como parece referirse por el denunciante salvo
que el propio profesional comparta dicha clave.
2) El fichero SANIT va a ser sustituido por otro programa diseñado por la Secretaria
General de Instituciones Penitenciarias. Dicho programa está en proceso de
adjudicación a empresa informática externa que se encargará de su nuevo
diseño y estructura, y que dotará de “novedosos sistemas de seguridad” y
“niveles de acceso a la información” con las máximas garantías...
3) Es incierto que no exista un manual de usuario de la última revisión del fichero
SANIT, dicho texto puede ser impreso en cualquier momento dado que
acompaña al fichero SANIT en formato PDF-
4) La clave de acceso al fichero SANIT puede ser cambiada por cualquier usuario si
bien dicho cambio debe hacerse por medio del monitor informático del centro
penitenciario. El sistema informático permite al Administrador del sistema tener
acceso total a claves y contenidos y facilita este servicio de renovación de claves
de forma totalmente confidencial
5) Existe un log de acceso que registra los eventos de cada día, si ese fuera el
interés y como prueba, se podría remitir el contenido del archivo LOG del día en
que los miembros de la AEPD realizaron la Inspección.
6) En cuanto al acceso a los datos por el personal administrativo que presta sus
servicios en el Centro Sanitario, cabe decir que la información sanitaria
propiamente dicha se constituye desde el ingreso de cada interno a quien se
abre una historia clínica individual. El manejo de la historia se produce conforme
a la Ley 41/2002 básica reguladora de la autonomía del paciente. En este
sentido los funcionarios de la Oficina de enfermería han de ser asimilados a los
trabajadores administrativos de cualquier centro sanitario público no
penitenciario-centro de salud hospital- quienes tienen igualmente acceso en
mayor o menor medida a la documentación sanitaria y a los archivos
correspondientes. A estos efectos, pueden ser citados los administrativos de los
servicios de admisión hospitalaria y los de recepción de los centros de salud. En
el ámbito penitenciario este personal efectúa tareas como gestión de citas con
nivel especializado, recepción y gestión de informes, gestión de depósitos de
farmacia o introducción de datos para elaboración de estadísticas sanitarias. La
introducción de datos, prescripción de pastillas psicotrópicas a algunos internos,
en la historia clínica informatizada del SANIT se encomienda exclusivamente a
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

5/17
los Facultativos y enfermeros, no a los funcionarios auxiliares.
QUINTO: Con fecha 28/12/2015 los denunciantes presentan escrito en el que se
personan como interesados, solicitan copia del expediente y declaran que “Tanto los
monitores informáticos como los funcionarios de Oficina están adscritos al cuerpo de
Ayudantes de Instituciones Penitenciarias”, y que “Los cajetines/bandejas a que se
refiere el punto 1.2 se encuentran ubicados en las salas de curas o consultas médicas
dependiendo de cada unidad.”
Finalizan indicando que “dado que desde la Subdirección Médica se insiste en la
utilización del programa, a pesar de que no se han adoptado aun medidas para
subsanar las irregularidades, solicitan se tomen medidas cautelares pertinentes hasta la
resolución del procedimiento o hasta la implantación del nuevo sistema previsto por la
Administración”.
Con fecha 12/01/2016 se remite copia del expediente a la persona que figuraba en
primer lugar de la denuncia, misma a la que se notificó el acuerdo de inicio.
SEXTO: Con fecha 1/02/2016, se registra el mismo escrito de la denunciada, fechado
de salida el 26/01/2016, acompañado de la siguiente documentación:
a) Ejemplar de notificación al interesado, con recibí, del alta en el aplicativo SANIT
en que se le informa del cumplimiento de la normativa de protección de datos y
de la Instrucción I 16/2005 de la DGIP.
b) Aporta 83 folios imprimidos el 22/01/2016 de eventos de 12 a 19/01/2016, tipo
Excel que recoge en columnas distintos datos de lo que podrían ser accesos a la
aplicación. En nombre figuran “Filiación”, “informe”, “formulario/Subformulario
SICO2” “Formulario Suri” sin que explique el contenido a que refiere cada campo
o un resumen de lo que se trata, indicando que son los logs de acceso a los
eventos de cada día.
c) Aporta una guía de SANIT 2003 que incluye nuevas funcionalidades y mejora
algunos aspectos. Acompaña instrucciones de manejo de la aplicación,
“Formulario de acceso” en el que se visualiza la opción “cambiar contraseña”.
Precisa que ahora para esta opción, no se precisa acudir al Administrador. Existe
el apartado de vinculación a través del que se accede a la base de datos que se
divide en tres partes:
a. Datos 2003, con datos de todos los internos.
b. EVENTOS 2003, registra todos los movimientos que se hacen en la base
de datos.
c. SANIT 2003. Permite ver los datos de los internos de forma ordenada.
Junto a la descripción de menús y accesos se indica que no se debe dejar el
programa abierto cuando no se está presente, o el cierre automático cuando transcurren
15 minutos sin actividad.
Entre otros datos a los que se pueden acceder figuran los de SEROLOGIAS, que
permite efectuar búsquedas de internos en los que se puede visualizar y dar de alta
programaciones para efectuar pruebas médicas.
Detalla las partes que componen el denominado formulario VIH que sirve para la
gestión de datos de internos con VIH positivo y su seguimiento sanitario, posología de
medicamentos
Detalla las partes del formulario VACUNAS que gestiona las suministradas y el
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

6/17
tiempo de la siguiente. Se completan otras referencias a otras formularios como
TUBERCULOSIS, METADONA, DIETAS, PSICOTROPOS o HEPATITIS c que sirve
para seguimiento y tratamiento
Destaca también la opción en “seguridad e instalación” de cambiar la contraseña y
de encriptarla.
d) Manifiestan que a cada interno que ingresa se le abre una historia
clínica individual. Reitera que los funcionarios de la Oficina de
Enfermería han de ser asimilados a los trabajadores administrativos
de cualquier centro sanitario y tienen acceso a lo que es
imprescindible para el ejercicio de sus funciones. Efectúan funciones
como gestión de citas, recepción y gestión de informes, gestión de
depósitos de farmacia o introducción de datos para elaboración de
estadísticas sanitarias. “La introducción de datos como la
prescripción de pastillas psicotrópicas a algunos internos en la
historia clínica informatizada del SANIT se encomienda
exclusivamente a los Facultativos y Enfermeros, no a los
funcionarios auxiliares.”
Finaliza reiterando que con carácter inminente se dotará de un nuevo programa que
gestione el fichero SANIT y sustituya al actual, que vendrá dotado de mayores controles
de seguridad, discriminando los diferentes niveles de acceso y será dotado de un
documento de seguridad
SÉPTIMO: Con fecha 11/01/2016 se accede al BOE en GOOGLE y se completa la
impresión del fichero SANIT, comprobando que se halla en la parte del ANEXO II de la
citada orden reguladora del fichero.
OCTAVO: Con fecha 12/01/2016 se inicia el período de pruebas, incorporando las
actuaciones previas, las alegaciones al acuerdo y se dirige escrito en fase de pruebas a
la denunciada del literal:
“Con el fin de proceder antes de la resolución a la subsanación de las deficiencias
detectadas y comprobar el nivel de cumplimiento, se les solicita que aporten o
informen en el plazo de diez días:
a) A denunciada, aporten copia del documento de seguridad del fichero SANIT
(art 88 del RLOPD).
b) A denunciada, aporte copia de la Auditoría del fichero SANIT (art 96 del
RLOPD).
c) A denunciada, que quiere decir, que es y en qué consisten las
hojas de firmas, donde se sitúan, croquis de habitación y personal
que tiene acceso, en relación con la manifestación de:
“La clave de acceso por la que se introducen los datos en SANIT está a
disposición de los demás enfermeros e incluso del personal administrativo, “a
través de las hojas de firmas que se encuentran al alcance de todos”.
d) A denunciada, en relación con los datos médicos de salud,
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

7/17
detallar las razones por las que en igualdad de condiciones
acceden con el personal de enfermería a dichos datos el personal
administrativo, cuántos empleados son y categoría y Escala o
Cuerpo de pertenencia, y explicación de porqué todos han de
acceder, ya sea en modo consulta o introduciendo datos. Se
adjunta listado de categorías de empleados (folio 74) para que
señalen las categorías que acceden a la historia clínica, sea
añadiendo datos, introduciendo o consultando. (en la Inspección
en documento 9 se verificó que un usuario administrativo disponía
de acceso a los datos sanitarios de pruebas). Respondan
también, si a todas las personas que manejan, introducen o
pueden consultar este tipo de datos se les ha informado de las
normas de seguridad del manejo de ficheros y las consecuencias
en que pudiera incurrir en caso de incumplimiento. Dado que
todos tienen accesos a los datos, listado folio 74, explicar si todos
pueden visualizar los datos y todos pueden modificar cualquier
dato que se visualiza. Explicar si los administrativos también
podrían modificar los datos o se precisa algo más, y si se queda
grabado o registrado el usuario que modifica un dato.
e) Deberán obtener y aportar copia de registro de accesos al fichero
SANIT, preferentemente de la semana anterior a la recepción de
este escrito, sino, de otro momento, aportando una prueba de que
se registran dichos accesos, explicando en su caso brevemente
el significado de las claves que pueden aparecer a dicho registro
y detallando el tiempo en que conserva dicho registro de accesos.
f) A denunciada, si existe ya nombrado un responsable de
seguridad del fichero SANIT.
g) A la denunciada, detallen las medidas de control de acceso físico
adoptadas para acceder a los lugares donde se hallen instalados
los equipos físicos que den soporte a los sistemas de información
(ordenadores) y carpetas o documentos en papel con datos.
Aportar croquis esquemático si fuera posible.
h) A denunciada, en que consiste la base de datos de eventos
asociados a la aplicación SANIT, impresión de datos que se
pueden recoger en la misma.
i) Respecto de la manifestación en la inspección y la nota ORDEN
DE DIRECCIÓN nº ***/2014, que trata de la implantación del
programa SURI en el CP Sevilla se indica en el apartado
“personal de enfermería”… “cuando llegue—completa… basado
en listados de internos procedentes de historias clínicas o del
SANIT, en el que se aprecia que los resultados se comunican en
cajetín/bandeja y el enfermero asignado los introduce en el
SANIT.
Deben informar si esa documentación es en papel, lugar en el que se coloca, si
hay otros cajetines, personas que pueden acceder a dichos espacios y croquis
de situación del espacio, así como de salas contiguas con el personal que puede
acceder o no, y sistema para acceder.
j) En cuanto al uso de correos electrónicos que contienen datos
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

8/17
médicos se les solicita que detallen si lo utilizan, y el modo y
personas que lo utilizan como destinatario y remitente.
La denunciada recibió el comunicado, y no respondió a las cuestiones
planteadas.
NOVENO: Con fecha 25/02/2016 el Instructor del procedimiento emitió Propuesta de
Resolución, en el sentido de que por la Directora de la Agencia Española de Protección
de Datos se declare que el CENTRO PENITENCIARIO SEVILLA, Secretaría General de
Instituciones Penitenciarias ha infringido lo dispuesto en el artículo 9.1 de la LOPD, en
relación con los artículos 88, 93.3, 96, 99, 104, y 111 y siguientes del RLOPD,
infracción tipificada como grave en el artículo 44.3.h) como “ Mantener los ficheros,
locales, programas o equipos que contengan datos de carácter personal sin las debidas
condiciones de seguridad que por vía reglamentaria se determinen”.
DÉCIMO: Con fecha 15/03/2016, la denunciada presenta un escrito en el que reconoce
la infracción y remite otro de la Subdirección General de Coordinación de Sanidad
Penitenciaria, que forma parte de la estructura orgánica de la Secretaría General de
Instituciones Penitenciarias en el que señala:
a) El 18/01/2016 se adjudicó a la empresa STACKS un contrato para realizar una
nueva aplicación informática que venga a sustituir en su integridad la actual
aplicación SANIT. La fecha de conclusión de la nueva aplicación está prevista en
unos meses.
“Se dará especial importancia a la elaboración del documento de seguridad
siguiendo las indicaciones justas y oportunas por la AEPD” y pasa a relatar
elementos que han de conformar el citado documento.
b) Finalizan indicando que se procederá a la legalización del fichero y su
publicación en el BOE.
HECHOS PROBADOS
1. SANIT es un sistema informático y el nombre de un fichero, que se encuentra
operativo aproximadamente desde el año 2000 con la finalidad de gestionar de
forma automatizada un resumen de la historia clínica de los internos, incluyendo
carpetas y documentos en papel. El programa dispone de varias bases de datos
como “Datos VIH”, “Serología, “mantenimiento con metadona”. El fichero SANIT
se modifica por la Orden 1202/2011 de Ministerio del Interior reconociéndose el
nivel de seguridad ALTO al tratar datos de salud y sexuales de personas,
siendo responsable la SECRETARIA GENERAL DE INSTITUCIONES
PENITENCIARIAS dependiente del MINISTERIO DEL INTERIOR. Aparece
inscrito en el Registro de la AEPD el 28/10/2005 (86, 90 a 92, 116, 119). Entre
las finalidades declaradas del fichero figura la de atención sanitaria y contiene
datos de salud y de vida sexual. (38 a 71, 77, 86 a 89, 90 a 92).
2. La “Nota de Dirección **/2014” de 3/09/2014, del Centro Penitenciario Sevilla sobre
psicotrópicos responsabiliza de la introducción y actualización de datos de cada
interno a partir de documentos que son facilitados por los Facultativos, a estos y a
los Enfermeros, incluyéndose posología y fechas de tratamiento. Con el fin además
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

9/17
de disponer de documentos que son necesarios para la gestión de traslados a otros
centros y emitir, la hoja resumen del interno para su inclusión en la historia clínica en
papel. También mediante la ORDEN DE DIRECCIÓN nº ***/2014 del Centro
Penitenciario Sevilla firmada el 1/10/2014 se incide en el tratamiento de datos con el
programa SURI de serología en el CP Sevilla (82 a 84). Los usuarios que introducen
datos en el fichero SANIT son personal del Centro Penitenciario de Sevilla,
Facultativos, y Enfermeros. El personal administrativo, según la Inspección llevada
a cabo, tiene acceso en modo consulta a datos de salud (23, 74) tales como
resultados de pruebas.
3. A los representantes del Centro no les consta “documento de seguridad” de los
ficheros que gestionan los datos de salud de los internos, es decir del fichero
SANIT. Tampoco disponen de auditoría efectuada en sus sistemas de ficheros.
4. La asignación de usuario y contraseña a la red de los usuarios, según la Instrucción
16/2005 era asignada por la denunciada (26) precisándose en la solicitud las
carpetas o archivos a que tendría acceso el usuario. (72). La asignación de
contraseña según el citado documento, se realizaba por personal técnico de la
denunciada, si bien al vencimiento podrían ser cambiadas por el propio usuario.
(26). Otras recomendaciones se incluían en la citada Instrucción como la prohibición
del acceso con usuario y contraseña distinto o el uso de dispositivos y programas
de ordenador en los sistemas de información (27, 29). En el transcurso de la
Inspección se manifestó por el Centro que “El perfil Administrador o monitor
informático únicamente permite las altas y bajas al aplicativo SANIT. También es la
persona encargada de dar de alta la contraseña de los diferentes usuarios que
acceden al sistema dado que el aplicativo no permite a un usuario cambiar por sí
mismo una contraseña sino que tiene que hacerlo el Administrador y ser este el que
introduzca en el sistema la contraseña que desea el usuario” (22)
5. La denunciada dispone de un registro de logs o accesos producidos al fichero
SANIT y aportó copia del mismo (22. 76). La denunciada no detalla las
medidas de seguridad dispuestas en los espacios físicos en los que se
gestionan datos de salud.
6. Se desconoce el uso del correo electrónico en la sede de la denunciada en
relación con los datos de salud que gestiona ya que no se contestó en pruebas
a dicho extremo.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g)
en relación con el artículo 36 de la LOPD.
II
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

10/17
La comisión de una infracción del artículo 9.1 de la Ley Orgánica 15/1999, de
13/12 de Protección de los Datos de Carácter Personal (en lo sucesivo LOPD), que
señala que señala: ”El responsable del fichero, y, en su caso, el encargado del
tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias
que garantice la seguridad de los datos de carácter personal y evite su alteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología,
la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya
provengan de la acción humana del medio físico o natural”,
El citado artículo 9 de la LOPD establece el “principio de seguridad de los datos”
La LOPD impone al responsable del fichero la adopción de medidas de seguridad, cuyo
detalle se refiere a normas reglamentarias.
En lo que respecta al concepto de fichero, el art. 3.b) de la LOPD los define
como “todo conjunto organizado de datos de carácter personal, cualesquiera que fuera
la forma o modalidad de su creación, almacenamiento, organización y acceso”.
Por su parte, la letra c) del mismo artículo define tratamiento de datos como
“operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la
recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación,
así como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias.”
El documento básico del que parten las medidas de seguridad en ficheros es el
documento de seguridad que debe implantar el responsable del fichero, siendo un
documento de obligado cumplimiento para el personal con acceso a los datos
automatizados de carácter personal y a los sistemas de información. El documento
deberá contener, como mínimo, los siguientes aspectos:
-Ámbito de aplicación del documento con especificación detallada de los recursos
protegidos.
-Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el
nivel de seguridad exigido en este Reglamento.
-Funciones y obligaciones del personal.
-Estructura de los ficheros con datos de carácter personal y descripción de los sistemas
de información que los tratan.
-Procedimientos de notificación, gestión y respuesta ante las incidencias.
-Los procedimientos de realización de copias de respaldo y de recuperación de datos”.
El RLOPD regula los "niveles de seguridad" en función de la naturaleza de la
información tratada, y siendo datos de salud o de la vida sexual se decanta por un nivel
alto de protección en los niveles de seguridad de los ficheros (artículo 83.3.a). La
denunciada no ha aportado el documento de seguridad que ha de adaptarse al nivel alto
de medidas de seguridad, acreditándose la infracción del artículo 9.1 de la citada LOPD.
Al contenido del documento de seguridad se refiere el artículo 88 del RLOPD:
“1. El responsable del fichero o tratamiento elaborará un documento de seguridad que
recogerá las medidas de índole técnica y organizativa acordes a la normativa de
seguridad vigente que será de obligado cumplimiento para el personal con acceso a los
sistemas de información.
2. El documento de seguridad podrá ser único y comprensivo de todos los ficheros o
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

11/17
tratamientos, o bien individualizado para cada fichero o tratamiento. También podrán
elaborarse distintos documentos de seguridad agrupando ficheros o tratamientos según
el sistema de tratamiento utilizado para su organización, o bien atendiendo a criterios
organizativos del responsable. En todo caso, tendrá el carácter de documento interno de
la organización.
3. El documento deberá contener, como mínimo, los siguientes aspectos:
a) Ámbito de aplicación del documento con especificación detallada de los recursos
protegidos.
b) Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a
garantizar el nivel de seguridad exigido en este Reglamento.
c) Funciones y obligaciones del personal en relación con el tratamiento de los datos de
carácter personal incluidos en los ficheros.
d) Estructura de los ficheros con datos de carácter personal y descripción de los
sistemas de información que los tratan.
e) Procedimiento de notificación, gestión y respuesta ante las incidencias.
f) Los procedimientos de realización de copias de respaldo y de recuperación de los
datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y
documentos, así como para la destrucción de los documentos y soportes, o en su caso,
la reutilización de estos últimos.
4. En caso de que fueran de aplicación a los ficheros las medidas de seguridad de
nivel medio o las medidas de seguridad de nivel alto, previstas en este título, el
documento de seguridad deberá contener además:
a) La identificación del responsable o responsables de seguridad.
b) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo
dispuesto en el propio documento.
5. Cuando exista un tratamiento de datos por cuenta de terceros, el documento de
seguridad deberá contener la identificación de los ficheros o tratamientos que se traten
en concepto de encargado con referencia expresa al contrato o documento que regule
las condiciones del encargo, así como de la identificación del responsable y del período
de vigencia del encargo.
6. En aquellos casos en los que datos personales de un fichero o tratamiento se
incorporen y traten de modo exclusivo en los sistemas del encargado, el responsable
deberá anotarlo en su documento de seguridad. Cuando tal circunstancia afectase a
parte o a la totalidad de los ficheros o tratamientos del responsable, podrá delegarse en
el encargado la llevanza del documento de seguridad, salvo en lo relativo a aquellos
datos contenidos en recursos propios. Este hecho se indicará de modo expreso en el
contrato celebrado al amparo del artículo 12 de la Ley Orgánica 15/1999, de 13 de
diciembre, con especificación de los ficheros o tratamientos afectados.
En tal caso, se atenderá al documento de seguridad del encargado al efecto del
cumplimiento de lo dispuesto por este Reglamento.
7. El documento de seguridad deberá mantenerse en todo momento actualizado y
será revisado siempre que se produzcan cambios relevantes en el sistema de
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

12/17
información, en el sistema de tratamiento empleado, en su organización, en el contenido
de la información incluida en los ficheros o tratamientos o, en su caso, como
consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un
cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de
seguridad implantadas.
8. El contenido del documento de seguridad deberá adecuarse, en todo momento, a
las disposiciones vigentes en materia de seguridad de los datos de carácter personal.”
Con independencia del aplicativo utilizado o de su próxima mejora, es indispensable
contar con un documento de seguridad, y que este sea puesto en conocimiento de los
empleados para su efectivo conocimiento y cumplimiento, circunstancias que no se dan
en el presente caso. Lo mencionado es lo mínimo exigible, pero en este caso se están
tramitando datos de salud, por lo que el nivel de seguridad y el documento de seguridad
ha de acoplarse a lo que el Reglamento consigna para dicho tipo de ficheros y
seguridad, en concreto los artículos 101 y siguientes. Ello, abarcando también el nivel
básico y medio, pues así lo determina el artículo 81.3.a) del RLOPD, que indica:
“3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se
aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal:
a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias,
origen racial, salud o vida sexual.”
III
En cuanto al tratamiento de los datos de salud, el artículo 7.3 y 7.6 de la LOPD indica:
“3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a
la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de
interés general, así lo disponga una ley o el afectado consienta expresamente.
6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de
tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este
artículo, cuando dicho tratamiento resulte necesario para la prevención o para el
diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la
gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un
profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a
una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior
cuando el tratamiento sea necesario para salvaguadar el interés vital del afectado o de
otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado
para dar su consentimiento.”
Se desprende del literal, que no se necesita poseer una titulación relacionada
con el ámbito de la salud para efectuar el tratamiento de los datos de salud.
IV
El artículo 93.3 del RLOPD indica en un epígrafe titulado “Identificación y
autenticación”, aplicable desde el nivel básico de seguridad:
“3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

13/17
existirá un procedimiento de asignación, distribución y almacenamiento que garantice su
confidencialidad e integridad.
4. El documento de seguridad establecerá la periodicidad, que en ningún caso será
superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras
estén vigentes, se almacenarán de forma ininteligible.”
Durante la visita de Inspección, el Centro manifestó que: “El perfil Administrador
o monitor informático únicamente permite las altas y bajas al aplicativo SANIT. También
es la persona encargada de dar de alta la contraseña de los diferentes usuarios que
acceden al sistema dado que el aplicativo no permite a un usuario cambiar por sí mismo
una contraseña sino que tiene que hacerlo el Administrador y ser este el que introduzca
en el sistema la contraseña que desea el usuario”
La asignación de contraseñas conociéndose por el Administrador al ser el mismo
el que las asigna, infringe la confidencialidad del acceso a los datos y contraria el
principio de uso por su titular, ya que la misma tiene como función la identificación de
forma inequívoca y personalizada del usuario.
V
La denunciada incumple otra medida del nivel medio de seguridad, la auditoría
de fichero, artículo 96 que indica:
“1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento
y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría
interna o externa que verifique el cumplimiento del presente título.
Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen
modificaciones sustanciales en el sistema de información que puedan repercutir en el
cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la
adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de
dos años señalado en el párrafo anterior.
2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y
controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer
las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los
datos, hechos y observaciones en que se basen los dictámenes alcanzados y las
recomendaciones propuestas.
3. Los informes de auditoría serán analizados por el responsable de seguridad
competente, que elevará las conclusiones al responsable del fichero o tratamiento para
que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia
Española de Protección de Datos o, en su caso, de las autoridades de control de las
Comunidades Autónomas.”
El RLOPD se aprobó en 2007, el fichero SANIT figura inscrito desde 2005. La
denunciada no aporta ni dispone de la citada Auditoría sobre el fichero.
El artículo 99 determina: “Control de acceso físico”: “Exclusivamente el personal
autorizado en el documento de seguridad podrá tener acceso a los lugares donde se
hallen instalados los equipos físicos que den soporte a los sistemas de información.”
VI
Referido al posible uso de correos electrónicos que contengan datos de salud, el
artículo 104, titulado “ Telecomunicaciones” determina que “Cuando, conforme al
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

14/17
artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión
de datos de carácter personal a través de redes públicas o redes inalámbricas de
comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando
cualquier otro mecanismo que garantice que la información no sea inteligible ni
manipulada por terceros.”
A la denunciada se solicitó en pruebas la distribución de los equipos de
información y lugares en los que circulaban soportes con datos así como situación de
equipos físicos que den soporte a los sistemas de información, siendo desconocida la
situación de los mismos al no responder, por lo que deberá aclarar estas circunstancias
al efecto de considerar adecuada la situación a la normativa
VII
En cuanto a ficheros y tratamientos no automatizados su régimen se desarrolla
en los artículos 105 y siguientes del RLOPD con especial mención al artículo 108 que
precisa: “Custodia de soportes”: ”Mientras la documentación con datos de carácter
personal no se encuentre archivada en los dispositivos de almacenamiento establecidos
en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o
posterior a su archivo, la persona que se encuentre al cargo de la misma deberá
custodiarla e impedir en todo momento que pueda ser accedida por persona no
autorizada. ” El artículo 111 y siguientes del citado Reglamento se refiere en concreto a
los ficheros de nivel alto de seguridad, y que en el caso de la denunciada por contenerse
diversa información en documentos se recuerda la necesidad de su cumplimiento:
Artículo 111. Almacenamiento de la información
“1. Los armarios, archivadores u otros elementos en los que se almacenen los
ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas
en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de
apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán
permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el
fichero.
2. Si, atendidas las características de los locales de que dispusiera el responsable del
fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el
responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en
el documento de seguridad.”
Artículo 112. Copia o reproducción
“1. La generación de copias o la reproducción de los documentos únicamente
podrá ser realizada bajo el control del personal autorizado en el documento de
seguridad.
2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de
forma que se evite el acceso a la información contenida en las mismas o su
recuperación posterior.”
Artículo 113. Acceso a la documentación
“1. El acceso a la documentación se limitará exclusivamente al personal
autorizado.
2. Se establecerán mecanismos que permitan identificar los accesos realizados en el
caso de documentos que puedan ser utilizados por múltiples usuarios.
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

15/17
3. El acceso de personas no incluidas en el párrafo anterior deberá quedar
adecuadamente registrado de acuerdo con el procedimiento establecido al efecto en el
documento de seguridad.”
Artículo 114. Traslado de documentación
“Siempre que se proceda al traslado físico de la documentación contenida en un
fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la
información objeto de traslado.”
La denunciada, requerida en pruebas sobre la ubicación de las hojas de firmas,
del personal que maneja datos, de localización de equipos y servidor y lugares donde se
sitúan y guardan las carpetas y documentos con datos en papel, no aporta información
alguna.
VIII
La infracción cometida, aparece tipificada como grave en el artículo 44.3.h), que
considera como tal, "Mantener los ficheros, locales, programas o equipos que contengan
datos de carácter personal sin las debidas condiciones de seguridad que por vía
reglamentaria se determinen".
IX
El artículo 46.1) y .4) de la LOPD indican:
“1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en
ficheros de titularidad pública o en relación con tratamientos cuyos responsables lo
serían de ficheros de dicha naturaleza, el órgano sancionador dictará una resolución
estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos
de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del
que dependa jerárquicamente y a los afectados si los hubiera.
4. El Director de la Agencia comunicará al Defensor del Pueblo las actuaciones
que efectúe y las resoluciones que dicte al amparo de los apartados
anteriores.”
Vistos los preceptos citados y demás de general aplicación,
La Directora de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: DECLARAR que el CENTRO PENITENCIARIO SEVILLA, (Secretaría
General de Instituciones Penitenciarias) ha infringido lo dispuesto en el artículo 9.1 de
la LOPD, en relación con los artículos 88, 93.3, 96, 99, 104 y 111 del RLOPD
tipificada como grave en el artículo 44.3.h) de la citada Ley Orgánica.
SEGUNDO: REQUERIR al CENTRO PENITENCIARIO SEVILLA, de acuerdo con lo
establecido en el apartado 3 del artículo 46 de la LOPD, para que acredite en el plazo
de un mes desde este acto de notificación las medidas de orden interno que impidan
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

16/17
que en el futuro pueda producirse una nueva infracción del artículo 9.1 de la LOPD, para
lo que se abre expediente de actuaciones previas E/01970/2016.
En concreto deberá implementar el documento de seguridad del fichero que
figura creado, inscrito y en funcionamiento desde 2005, informando de los extremos
que afecten al personal que opera con datos.
Deberá proceder a realizar una auditoría del fichero y remitirla a esta Agencia.
Deberá acreditar que cumple las medidas de seguridad de control de acceso
físico de ficheros, sean equipos de información o sean documentos en papel. En
idéntico sentido, respecto al almacenamiento de soportes que contengan datos.
Deberá informar del sistema de tratamiento de información que realiza a través
de correo electrónico si lo utiliza o del registro y envío de historias clínicas a otros
centros
TERCERO: NOTIFICAR la presente resolución al CENTRO PENITENCIARIO SEVILLA,
a
DON A.A.A. y a la SECRETARÍA GENERAL DE INSTITUCIONES PENITENCIARIAS.
CUARTO: COMUNICAR la presente resolución al DEFENSOR DEL PUEBLO, de
conformidad con lo establecido en el artículo 46.4 de la LOPD.
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la
redacción dada por el artículo 82 de la Ley 62/2003, de 30/12, de medidas fiscales,
administrativas y del orden social, la presente Resolución se hará pública, una vez haya
sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la
Instrucción 1/2004, de 22/12, de la Agencia Española de Protección de Datos sobre
publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del
RLOPD.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de
26/11, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento
Administrativo Común, se podrá interponer potestativamente recurso de reposición ante
la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a
contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia
Nacional con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición
adicional cuarta de la Ley 29/1998, de 13/07, reguladora de la Jurisdicción Contenciosoadministrativa
(en lo sucesivo LJCA), en el plazo de dos meses a contar desde el día
siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido
texto legal.
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es

17/17
Sin embargo, el responsable del fichero de titularidad pública, de acuerdo con el
artículo 44.1 de la LJCA, sólo podrá interponer directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional
con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional
cuarta de la LJCA, en el plazo de dos meses a contar desde el día siguiente a la
notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 – Madrid sedeagpd.gob.es