En un ayuntamiento el programa para la gestión de los expedientes electrónicos permite que más de veinte personas puedan tener acceso a los expedientes personales de los empleados municipales. Es decir, otros empleados que no están destinados en el área de personal, como por ejemplo el área de obras públicas, urbanismo, medio ambiente, registro general, etc., y que nada tienen que gestionar en los expedientes personales de los empleados municipales, sin embargo, pueden ver las nóminas, la documentación relativa a la gestión de Seguridad Social, control de asistencia, bajas médicas, visitas médicas, régimen disciplinario.
A nuestro modo de ver, este estado de cosas podría estar vulnerando la legislación de protección de datos, derechos del paciente, entre otras.
¿Cuál es opinión al respecto? En caso de que, tras una petición al ayuntamiento, esta no sea atendida ¿qué podríamos hacer: denuncia a la AEPD, queja al defensor del pueblo, etc.?
El art. 5.1.f) del Reglamento General de Protección de Datos -RGPD- recoge el llamado principio de integridad y confidencialidad, el cual determina que los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
Adicionalmente, el art. 32 RGPD manifiesta que:
En virtud de lo anterior, el ayuntamiento debería aplicar medidas de seguridad adecuadas para impedir accesos no autorizados a los datos personales como, por ejemplo, estableciendo perfiles de acceso, de tal manera que únicamente los usuarios autorizados que lo necesiten para el desarrollo de sus funciones puedan acceder a la información indicada en el planteamiento de la consulta, impidiendo dicho acceso al resto de usuarios del ayuntamiento.
En el supuesto de que el ayuntamiento no cumpla las medidas de seguridad adecuadas, esto implicaría una infracción del RGPD, pudiendo presentar una reclamación ante la Agencia Española de Protección de Datos, dando lugar a la correspondiente sanción que, en el caso de las administraciones públicas, consistiría en un apercibimiento.
1ª. El ayuntamiento está obligado a implementar medidas de seguridad que garanticen, entre otras cosas, que únicamente acceden a la información los usuarios autorizados que necesitan conocerla para el desarrollo de sus funciones.
2ª. Si el ayuntamiento no aplica medidas de seguridad adecuadas, se podrá presentar una reclamación ante la Agencia Española de Protección de Datos que dará lugar, en su caso, a un apercibimiento.