Sancionados por comunicar datos de pacientes
Desde el blog de IMF, en el que colaboramos, os queremos hacer llegar un artículo sobre las sanciones de la Agencia Española de Protección de Datos.
Conforme ya informamos en su momento la asociación FACUA – Consumidores en Acción en agosto de 2014 denunció la posible infracción de la normativa de protección de datos cometida por el Hospital Virgen de la Luz de Cuenca al ceder datos de sus pacientes a la clínica privada de la misma ciudad que contactaba a los pacientes en su nombre sin el consentimiento de estos para ofrecerles sus servicios.
Una vez finalizada la investigación, la Agencia Española de Protección de Datos (AEPD), en su reciente resolución, ha confirmado que existía la cesión de datos personales e historiales médicos de los pacientes del servicio de Neurofisiología del hospital conquense a la clínica privada Recoletas, no obstante al existir entre ambas un convenio de colaboración, según la AEPD, no se cometió ninguna infracción por comunicación no consentida. Desafortunadamente, desconocemos si en este convenio se autorizaba a la clínica a contactar a los pacientes para ofrecer sus servicios… No obstante, la AEPD ha detectado que en el traspaso de estos datos el hospital no ha adoptado las adecuadas medidas de seguridad correspondientes a datos especialmente protegidos, como por ejemplo cifrado de la información. Conforme al artículo 104 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos aprobado por RD 1720/2007: “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”.
A pesar de esta fragrante infracción, al tratarse de un centro público y estar por tanto acogido al régimen disciplinario de las Administraciones Públicas, no se ha impuesto ninguna sanción de carácter económico al hospital.
Sin embargo, por ser ente privado, se ha sancionado a la clínica Recoletas con una multa de 40.001 euros por haber subcontratado al Centro de Estudios Neurológicos Varela de Seijas para realizar una de las pruebas diagnósticas sin la autorización del Hospital Virgen de la Luz y haber cedido los datos de los pacientes sin protegerlos con cifrado. En su resolución ha constatado que la cesión de los datos “se efectuó sin la concurrencia de una habilitación legal que así lo dispusiera y sin haber obtenido tampoco el consentimiento expreso de las personas afectadas por dicha cesión” infringiendo el artículo 11.1 de la Ley Orgánica 15/1999 de Protección de Datos de carácter Personal (LOPD) que dispone que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.
Además, la AEPD ha podido comprobar que ambos centros privados intercambiaron la información clínica de los pacientes del Hospital Virgen de la Luz “sin el consentimiento de éste y sin tomar las medidas de seguridad requeridas para la protección de estos datos especialmente protegidos por la legislación” lo que ha supuesto la infracción del artículo 9 de la LOPD en concurrencia del artículo 104 del RLOPD.
A pesar de tratarse de infracciones muy graves sancionadas de 300.000 a 600.000 euros conforme lo dispuesto en la LOPD, la Agencia ha disminuido considerablemente la sanción impuesta a la clínica Recoletas, considerándola como grave e imponiendo la multa en su margen mínimo de 40.001 euros.
Esa resolución no ha satisfecho a la asociación de consumidores FACUA que denunció los hechos y considera insuficiente rebajar la sanción de muy grave a grave porque, en sus alegaciones, la clínica haya admitido su culpabilidad, reivindicando que las sanciones deben ser “proporcionales a la irregularidad cometida” .
Karol Sedkowski
Consultor LOPD y Nuevas tecnologías
Áudea Seguridad de la Información
www.audea.com