Deficiencias en el tratamiento de datos personales en el sector sanitario público español.
El sistema sanitario público sigue sin implantar las medidas de seguridad suficientes a pesar de las inspecciones que la Agencia Española de Protección de Datos (en adelante AEPD) está llevando a cabo periódicamente en este sector. Recientemente la AEPD ha emitido una resolución en la que pone de manifiesto que la Consejería de Sanidad de Castilla y León cometió dos infracciones de carácter grave al incumplir el deber de secreto y no impedir de forma efectiva el acceso de terceros no autorizados a datos de otros ciudadanos en la Página Web oficial de la Consejería. Estos hechos han supuesto la vulneración grave de las disposiciones de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal de 13 de dicienmbre, (en adelante LOPD) y su normativa de desarrollo (concretamente los artículos 9 y 10 de la LOPD). En este sentido se ha podido demostrar que accediendo a la Website de la Consejería, cualquier internauta podía sin grandes dificultades entrar también a datos de otros usuarios registrados en la página.
La situación es en tanto preocupante, que los organismos del sector sanitario por su naturaleza pueden tratar datos de salud, tipificados por la normativa de protección de datos como especialmente protegidos y por consiguiente requieren la adopción de unas estrictas medidas de seguridad.
En este caso concreto al cambiar el número de reclamación se podía ver las reclamaciones presentadas por otros usuarios con sus datos identificativos y los relativos a su salud.
La Dirección General de Planificación, Calidad y Ordenación ignoró en primera instancia la notificación realizada por un ciudadano que había denunciado estos hechos ante este órgano. Y sólo tras la actuación de la AEPD realizó los necesarios cambios para blindar sus sistemas de seguridad e impedir accesos no autorizados.
Debido a que la AEPD consideró que se ha tomado finalmente las medias para subsanar la incidencia, se ha decidido no instar otras medidas.
No obstante hay que tener en cuenta que las infracciones de este tipo cometidas por una empresa del sector sanitario privado le podrían suponer una sanción gravada de 300.000 a 6000.000 euros.
A pesar de tratarse de datos tan sensibles como los de salud, los incumplimientos en la custodia de la información en el sector sanitario desgraciadamente son una realidad bastante común. El estudio realizado por la AEPD en los hospitales españoles en el año 2010 ya reveló una situación preocupante y serias carencias en el tratamiento de la información médica por los hospitales públicos.
Cabe destacar que el número de denuncias ha aumentado considerablemente en los últimos años y las principales quejas expuestas por los denunciantes están relacionadas con la difusión indebida de la información personal de especial protección y su almacenamiento sin las adecuadas medidas de seguridad.
Áudea, Seguridad de la Información
Karol Sedkowski
Departamento Derecho TIC