A principios de 2009, la AEPD declaró una infracción al citado servicio de salud al constatar la existencia de un archivo accesible desde el programa eMule, que contenía los nombres, apellidos, fechas de nacimiento, direcciones, teléfonos, sexo y, en algún caso, datos de salud asociados (tales como hipertensión o diabetes) de 1.748 pacientes de varias localidades. La resolución de la Agencia instó al servicio de salud a adoptar las medidas internas oportunas para impedir que volviera a repetirse una situación similar en el futuro.

El fallo la Sección Primera de la Sala de lo Contencioso-Admnistrativo de la Audiencia Nacional refleja que la revelación de datos fue efectiva e innegable, puesto que los datos de los pacientes accedieron a Internet y estuvieron a disposición del público. Asimismo, inutiliza el argumento de que fuera un trabajador quien llevara a cabo los actos que derivaron en la divulgación de los datos a través de eMule, sobre la base de que dicha hipotética actuación no deja sin efecto el hecho de que la entidad debía haber adoptado las medidas que hubieran evitado la difusión de datos.

La Audiencia añade que “de nada sirve que se aprueben unas instrucciones detalladas sobre el modo de proceder para la recogida y destrucción de documentos que contengan datos personales, si luego no se exige a los empleados la observancia de aquellas instrucciones”.

En esta línea de argumentación, el tribunal considera que, en este caso, se impone “la adopción de las medidas necesarias para evitar que los datos se pierdan, extravíen o caigan en manos de terceros”.

Por todo ello, los magistrados concluyen que resulta claro que se ha producido una omisión de medidas de seguridad y que, además, esto ha ocasionado un resultado como ha sido la divulgación en Internet de los datos de los pacientes, por lo que se produce la conducta típica descrita por la Agencia en su resolución.