| Resolución | AAPP-00071-2017 |
| Firmado | 2018-05-04T00:00:00Z |
| Enlace | 📋 |
El Servicio Andaluz de Salud (SAS) fue denunciado por tres personas que, entre junio y agosto de 2017, recibieron correos electrónicos con datos personales de terceros. Estos correos eran notificaciones automáticas de resolución de incidencias relacionadas con la «ventana electrónica del candidato», una herramienta utilizada para la Oferta Pública de Empleo (OPE) 2013/2015. Los denunciantes recibieron información que no les correspondía, incluyendo nombres, apellidos, direcciones de correo electrónico, detalles de incidencias, números de teléfono y NIF de otras personas.
El fallo se debió a un error de programación en la herramienta informática encargada de enviar estas notificaciones. Cuando se cerraban varios tickets simultáneamente, la herramienta enviaba los datos de un usuario a otro. Este error afectó a 96 destinatarios, quienes recibieron 444 correos electrónicos con datos de 343 usuarios diferentes.
El SAS fue sancionado por dos infracciones graves. La primera, por no garantizar la seguridad de los datos personales, incumpliendo el artículo 9.1 de la Ley Orgánica de Protección de Datos (LOPD) en relación con el artículo 91 del Reglamento de Desarrollo de la LOPD. La segunda, por vulnerar el deber de secreto respecto a los datos personales, conforme al artículo 10 de la LOPD.
El SAS argumentó que el error fue debido a una mala implementación de una funcionalidad del sistema y no a la falta de medidas de seguridad. Sin embargo, se determinó que las medidas de seguridad implementadas fueron insuficientes y que el SAS no actuó con la diligencia debida para evitar el acceso no autorizado a los datos personales.
Finalmente, se declaró que el SAS había infringido los artículos 9.1 y 10 de la LOPD, tipificadas como infracciones graves. No obstante, dado que el SAS es una administración pública, no se impuso una sanción económica, sino que se requirió la adopción de medidas correctivas para evitar futuras infracciones.