En el procedimiento sancionador PS/00159/2012 se puede ver la sanción que puede sufrir una empresa por un error a la hora de realizar el ensobrado e intercambiar dos informes médicos.
Con fecha de 12 de abril de 2011 tiene entrada en la AEPD un escrito de Dª. A.A.A. en el que declara que tras acudir en fecha 14/02/2011 para una revisión ginecológica a los servicios de prevención de IBERMUTUAMUR, el día 17/03/11 recibió, vía postal, el resultado de su citología y el informe médico de la revisión realizada a Dª. B.B.B.. Al día siguiente la denunciante contacta con ella a través de los datos de trabajo que, junto a los datos médicos, obraban en el informe. Dª. B.B.B. le informó que, a su vez, ella disponía del informe de la denunciante.
Aunque IBERMUTUAMUR envió el Documento de Seguridad a la AEPD y alegó que ese incidente era un caso aislado, ya que se realizan envíos de forma cotidiana y no ha habido nunca ningún problema, en el procedimiento sancionador se hace referencia a la sentencia de la Audiencia Nacional en la que se impone la obligación de resultado. Es decir, que se adopten las medidas necesarias para evitar que los datos se pierdan, extravíen o acaben en manos de terceros, siendo insuficiente con acreditar que adopta una serie de medidas, pues es también responsable de que las mismas se cumplan y se ejecuten con rigor.
En definitiva, IBERMUTUAMUR, no actuó con la diligencia debida al no adoptar las medidas de seguridad necesarias y suficientes para impedir el acceso a la información de carácter personal.
Resultado: Sanción de 4.000€ por infracción del art. 9.1 de la LOPD, relativo a la seguridad de los datos y tipificada como grave.
El Documento de Seguridad debe detallar las medidas aplicadas.
Las medidas de seguridad no solo deben estar en el Documento de Seguridad, han de implantarse de forma efectiva. El responsable ha de vigilar que se cumplan.