Inicio » Seguridad de la información » AEDP sanciona dos centros sanitarios por comunicar los datos de pacientes

AEDP sanciona dos centros sanitarios por comunicar los datos de pacientes

AEPD, centros sanitarios vulneran privacidad

Conforme ya informamos en su momento la asociación FACUA – Consumidores en Acción en agosto de 2014 denunció la posible infracción de la normativa de protección de datos cometida por el Hospital Virgen de la Luz de Cuenca al ceder datos de sus pacientes a la clínica privada de la misma ciudad que contactaba a los pacientes en su nombre sin el consentimiento de estos para ofrecerles sus servicios.

Una vez finalizada la investigación, la Agencia Española de Protección de Datos (AEPD), en su reciente resolución, ha confirmado que existía la cesión de datos personales e historiales médicos de los pacientes del servicio de Neurofisiología del hospital conquense a la clínica privada Recoletas. No obstante al existir entre ambas un convenio de colaboración, según la AEPD, no se cometió ninguna infracción por comunicación no consentida. Desafortunadamente, desconocemos si en este convenio se autorizaba a la clínica a contactar a los pacientes para ofrecer sus servicios… No obstante, la AEPD ha detectado que en el traspaso de estos datos el hospital no ha adoptado las adecuadas medidas de seguridad correspondientes a datos especialmente protegidos, como por ejemplo cifrado de la información. Conforme al artículo 104 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos aprobado por RD 1720/2007: “la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros”.

A pesar de esta fragrante infracción, al tratarse de un centro público y estar por tanto acogido al régimen disciplinario de las Administraciones Públicas, no se ha impuesto ninguna sanción de carácter económico al hospital.

Sin embargo, por ser ente privado, se ha sancionado a la clínica Recoletas con una multa de 40.001 euros por haber subcontratado al Centro de Estudios Neurológicos Varela de Seijas para realizar una de las pruebas diagnósticas sin la autorización del Hospital Virgen de la Luz y haber cedido los datos de los pacientes sin protegerlos con cifrado. En su resolución ha constatado que la cesión de los datos “se efectuó sin la concurrencia de una habilitación legal que así lo dispusiera y sin haber obtenido tampoco el consentimiento expreso de las personas afectadas por dicha cesión” infringiendo el artículo 11.1 de la Ley Orgánica 15/1999 de Protección de Datos de carácter Personal (LOPD) que dispone que “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”.

Además, la AEPD ha podido comprobar que ambos centros privados intercambiaron la información clínica de los pacientes del Hospital Virgen de la Luz “sin el consentimiento de éste y sin tomar las medidas de seguridad requeridas para la protección de estos datos especialmente protegidos por la legislación” lo que ha supuesto la infracción del artículo 9 de la LOPD en concurrencia del artículo 104 del RLOPD.

A pesar de tratarse de infracciones muy graves sancionadas de 300.000 a 600.000 euros conforme lo dispuesto en la LOPD, la Agencia ha disminuido considerablemente la sanción impuesta a la clínica Recoletas, considerándola como grave e imponiendo la multa en su margen mínimo de 40.001 euros.

Esa resolución no ha satisfecho a la asociación de consumidores FACUA que denunció los hechos y considera insuficiente rebajar la sanción de muy grave a grave porque, en sus alegaciones, la clínica haya admitido su culpabilidad, reivindicando que las sanciones deben ser “proporcionales a la irregularidad cometida”.

 

Karol Sedkowski, seguridad de la información

 

Karol Sedkowski, Consultor LOPD y Nuevas tecnologías en Áudea Seguridad de la Información

 

 

 

 

Formación Relacionada

The following two tabs change content below.
El Blog de IMF Business School
Equipo de profesionales formado esencialmente por profesores y colaboradores con amplia experiencia en las distintas áreas de negocio del mundo empresarial y del mundo académico. IMF Business School pertenece a la AACSB, a la AMBA, a la AEEN y a ANCED, entre otras organizaciones. Sus programas cuentan con el aval de ANECA, Cambridge y Oxford y la alta valoración de sus más de 110.000 alumnos. Está incluida en el Ranking The Best Global MBA 2018 y reconocida como Emagister Cum Laude desde 2015. Cuenta con los sellos de calidad EFQM 5star, Excelencia Europea, Madrid Excelente, ISO 9001 e ISO 14001. Escuela de Negocios Nº1 del mundo en el EFQM Global Index.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Noticias, eventos y formación!

Suscríbete ahora y recibe los mejores contenidos sobre Negocios, Prevención, Marketing, Energías Renovables, Tecnología, Logística y Recursos Humanos.

Acepto recibir comunicaciones comerciales por parte del grupo IMF
He leído y acepto las condiciones


AEDP sanciona dos centros sanitarios