Primera multa post RGPD (GDPR en inglés) a un hospital en Portugal

El pasado 11 de octubre, la Comisión Nacional de Protección de Datos en Portugal (CNPD) sancionó, tras una inspección, al Hospital Barreiro-Montijo con una multa de 400.000 euros por incumplimiento del Reglamento General de Protección de Datos (GDPR en inglés o RGPD en español).

La CNPD identificó tres infracciones:

  1. Violación del principio de integridad y confidencialidad: sancionado con 150.000 euros.
  2. Violación del principio de minimización de datos, que debería impedir el acceso indiscriminado a datos clínicos de los pacientes: sancionado con 150.000 euros.
  3. Incapacidad del responsable del tratamiento de datos para garantizar la confidencialidad y la integridad de los datos: sancionado con 100.000 euros.

La CNPD justificó la aplicación de las multas en el hecho de que se registraron 985 médicos con cuentas activas que daban acceso a los archivos clínicos, aunque los cuadros del centro hospitalario solo cuentan con 296 médicos. Además, la deliberación revela que, en una cuenta de prueba, los expertos de la CNPD lograron acceder a datos clínicos de un paciente, que se encontraban en los archivos digitales de otro hospital, situado en la localidad de Carnaxide.

A estos datos se añadieron las siguientes lagunas detectadas en el transcurso de la inspección por parte de la autoridad sancionadora:

  • El hospital no disponía de reglas internas para la creación de cuentas (que se establecieron después del envío de emails por los diferentes directores de los servicios).
  • El hospital no disponía de reglas internas para los diferentes niveles de acceso a la información clínica.
  • El método de autenticación no tenía en cuenta los datos identificativos que vinculan a los diferentes profesionalesal centro hospitalario.

El Reglamento define como datos personales relacionados con la salud aquellos “relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud” (artículo 4.15), de lo que se colige que se incluyen como datos de salud la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona.

Por lo tanto, dada la trascendencia que pueden tener, el RGPD otorga a este tipo de datos una mayor protección. En efecto, la implementación del reglamento europeo no solo introduce un estándar elevado de protección, sino que compele a los sujetos obligados a adelantar las barreras de custodia. Es decir, estamos ante una responsabilidad proactiva, ante la obligación de implementar medidas para asegurarnos del correcto cumplimiento normativo.

En este caso en concreto, existen dos cuestiones que, de haberse prevenido, probablemente hubieran evitado la sanción de 400.000 euros. La primera, es que el hospital no recabó el consentimiento de los pacientes que, a tenor del precepto 9 del reglamento, debe ser expreso.

En este sentido, fuera del consentimiento, la legislación únicamente permite tratar los datos enmarcados en esta categoría especial cuando concurra alguna de las siguientes circunstancias:

  1. Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física en caso de que el interesado no esté capacitado para dar su consentimiento.
  2. Cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social en virtud de un contrato con un profesional sanitario.
  3. Cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública.

Ninguna de las excepciones señaladas opera en el caso que nos ocupa, por lo tanto, en este caso era necesario, conforme a la RGPD, que el hospital hubiera recabado el consentimiento expreso de los pacientes para realizar el tratamiento de los datos. Los gestores del hospital deberían haber implementado un protocolo o procedimiento para recabar el consentimiento y almacenarlo en la ficha del paciente, permitiendo de esta manera el acceso a los datos de aquellos pacientes que tuvieran registrado de la manera correcta el consentimiento expreso, no permitiendo el acceso a los datos de los pacientes sin consentimiento registrado.

Hoy en día existen en el mercado plataformas digitales para la gestión de este consentimiento y del nivel de acceso a los datos según dicho consentimiento. Con la implementación de una de estas plataformas que le hubieran permitido tanto recabar los consentimientos, cómo modular el acceso a los datos en función de los consentimientos, hubiera evitado el hospital buena parte de la sanción que ha recibido, cumpliendo con la GDPR (o RGPD en español).

La segunda, es que era responsabilidad de la Administración del Centro hospitalario tomar las medidas adecuadas para garantizar la seguridad de la custodia de los datos de los pacientes. Sobre esta última, la CNPD concluye que el Hospital actuó deliberadamente al conocer las medidas técnicas y organizativas necesarias y no aplicarlas. Es decir, ni aplico los procedimientos para garantizar dicha seguridad ni, como es lógico suponer, aseguró el cumplimiento de los procedimientos.

En su apartado segundo b), el artículo 83.2 del Reglamento estipula que “las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j); al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta: b) la intencionalidad o negligencia en la infracción”.

Esta segunda cuestión deja patente la irresponsabilidad de los gestores al conocer las medidas preventivas y no aplicarlas. Como he dicho anteriormente, existen en el mercado soluciones para poder garantizar el cumplimiento normativo.

Una reflexión que no quiero dejar pasar es que la sanción, si bien hace referencia a la minimización de los datos, no se centra en la gestión de la base de datos como tal, sino en los procedimientos de acceso a la misma. Quiero decir que no incide en cuestiones de encriptación, seguridad o pseudonimización, sino en procedimientos de creación y definición de accesos, así como a garantizar el cumplimiento de los procedimientos.

No quisiera terminar sin hacer referencia a algunas de esas lagunas detectadas en la gestión de los datos. El no tener unas reglas internas para la creación de cuentas y para la gestión de los niveles de acceso a la información por parte del personal del hospital supone, en mi opinión, la mayor expresión de la desidia y falta de interés en la custodia de datos que la normativa reconoce de especial protección. Existen hoy en día plataformas diseñadas para la gestión de diferentes normativas, desde ISO hasta normativas como la que nos ocupa, que ayudan con su implementación y automatización de procesos al cumplimiento normativo con una máxima personalización, permitiendo que la automatización se haga conforme a la forma de trabajar de la organización que aspira al correcto cumplimiento de la GDPR o de cualquier otra norma de calidad nacional o internacional.

Algunos datos clave y referencias han sido tomadas de: http://www.legaltoday.com/practica-juridica/publico/proteccion_de_datos/primera-multa-post-rgpd-en-portugal#

Francisco Sánchez
francisco.sanchez@auraportal.com