Durante la madrugada del 7 de diciembre, la acusada se encontraba en el laboratorio de Servicio de microbiología del Hospital Universitario Marqués de Valdecilla prestando sus servicios como técnico especialista. Con esta finalidad, disponía de autorización para acceder a los sistemas, aplicaciones y bases de datos en los que se conservaban las historias clínicas, las pruebas diagnósticas o los informes médicos. Para ello, la acusada disponía de un usuario y contraseña que había sido asignado por el Hospital.
Sobre las 5 de la mañana, a través de la sesión abierta con el usuario y contraseña de la acusada, se tuvo acceso al historial clínico de un paciente, pudiendo ver sus informes de laboratorio, peticiones de analíticas, etc. Este paciente había, incluso, solicitado que esta información no estuviera en formato digital, sino únicamente en papel.
En la sentencia se recoge que el sistema informático del Hospital permitía que en los ordenadores hubiera, de forma simultánea, varias sesiones abiertas (se puso de manifiesto que actualmente el Hospital ha impedido esta posible actuación), siendo frecuente que los empleados, cuando accedían a su sesión, la dejaran abierta en el ordenador (estas sesiones no caducaban, habiéndose llegado a afirmar durante el juicio que podían estar abiertas días, de modo que “alguna tarde se han encontrado abiertas cuentas de los trabajadores del turno de noche”), pudiendo ser usadas de forma indistinta por otros trabajadores. En este sentido, la propia acusada manifestó que “cualquier persona pudo haber accedido a las aplicaciones […] aprovechando que ella tenía sus sesiones abiertas”.
De este modo, cualquier tercero, usando dicha sesión, podía acceder a las bases de datos, así como a los informes médicos. Asimismo, durante la madrugada en la que tuvieron lugar los hechos, había otros empleados del hospital trabajando en el laboratorio, por lo que la empleada no se encontraba sola.
Teniendo en consideración lo anterior, la Sentencia ha declarado que, si bien sí se ha probado el acceso ilícito a datos de salud de un tercero no autorizado, no ha quedado acreditado de forma fehaciente que fuera la acusada la persona que accedió a dichos datos médicos, sin que se pueda descartar que tal acceso se produjo por otro de los empleados del hospital que estaban trabajando el día de los hechos en el laboratorio.
Esta resolución nos permite apreciar la importancia de implementar adecuadas medidas de seguridad para el acceso a los sistemas informáticos (sobre todo si estos almacenan datos sensibles). La imposibilidad de determinar quién accede a dicha información deriva de prácticas deficientes por parte del responsable, como el uso compartido de cuentas o la ausencia de un procedimiento de cierre automático de las sesiones tras periodos de inactividad. Habida cuenta de ello, la empresa (como, posteriormente, hizo el Hospital) debe garantizar, entre otras cuestiones, que cada usuario tiene credenciales únicas, que las sesiones se cierran automáticamente o que se mantiene un registro de accesos, a pesar de que esta sentencia no se pronuncie en concreto sobre ello.
Puede acceder a la Sentencia de la Audiencia Provincial de Cantabria aquí.
