Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y COMPLIANCE

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Un hospital luso es sancionado con 400.000 € por incumplir el Reglamento General de Protección de Datos

La Comissão Nacional de Protecção de Dados, el equivalente luso a la Agencia Española de Protección de Datos, impuso a finales del año 2018 las primeras sanciones al sur de Europa por infracción de los principios rectores del Reglamento General de Protección de Datos (RGPD) y el agraciado fue el Centro Hospitalar do Barreiro-Montijo del Serviço Nacional de Saúde. Las infracciones detectadas fueron tres y el importe total de las sanciones asciende a la cantidad de 400.000 €.

La denuncia interpuesta por el Sindicato dos Médicos da Zona Sul puso de manifiesto que el sistema de autentificación para acceder a la base de datos de los historiales clínicos de los pacientes era deficiente, por cuanto había un total de 985 cuentas activas con acceso libre a los archivos clínicos, cuando el cuadro de personal del centro hospitalario era de 296 médicos. El centro hospitalario reconoció la existencia de perfiles temporales, correspondientes a facultativos que habían sido contratados bajo el régimen de prestación de servicios. Estas cuentas, una vez terminado el contrato tendrían que haber sido dadas de baja o canceladas, de inmediato.

Tras su investigación, la Comissão Nacional de Protecção de Dados detectó tres infracciones del RGPD:

1ª.- Violación del art. 5.1.c) o del principio de «minimización de datos», al permitir el acceso indiscriminado, sin límite de acceso temporal, a un número excesivo de facultativos, sin importar su especialidad ni su antigüedad, y violación del art. 83.5.a) en relación con los principios básicos para el tratamiento, incluidas las condiciones de consentimiento. Por ello, se le impone una sanción de 150.000 €.

2ª.- Violación del art. 5.1.f) o del «principio de integridad y confidencialidad de los datos tratados», y es que el centro hospitalario, como responsable del tratamiento, carecía de un “protocolo interno” para la creación de cuentas de usuarios, de niveles de acceso a informaciones médicas o un método de autenticación de la conexión de profesionales con el hospital. De modo que no garantizó una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito mediante la aplicación de medidas técnicas u organizativas apropiadas. Por tal motivo, se le impone una sanción de 150.000 €.

3ª.- Violación del art. 32.1 b) y d) por la «falta de capacidad del responsable del tratamiento para garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia permanentes de los sistemas y servicios de tratamiento», teniendo el responsable del tratamiento la obligación de implantar las medidas apropiadas a fin de garantizar un nivel de seguridad adecuado al riesgo, incluido un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas –técnicas y organizativas– implantadas para garantizar la seguridad del tratamiento. La sanción por esta infracción fue de 100.000 €.

A la hora de graduar las sanciones, la Comissão Nacional de Protecção de Dados tuvo en cuenta la gravedad y la duración de las infracciones, traduciéndose este análisis en el número de afectados, situado en decenas de miles, que corresponde al universo de pacientes del centro hospitalario, y el hecho de que se trata de datos de salud, que son extremadamente sensibles. 

La Comissão Nacional de Protecção de Dados consideró dolosa la conducta del centro, atribuyéndole un grado de responsabilidad elevado, ya que los procedimientos de control y de auditoría implantados no eran los adecuados.

PortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).