Tras recibir una inspección, el Hospital Barreiro-Montijo recibió una notificación de la autoridad portuguesa en protección de datos, la Comisión Nacional de Protección de Datos (CNPD) por la que se imponía una sanción administrativa de 400.000 euros por tres infracciones:
- Violación del principio de integridad y confidencialidad (sancionada con 150.000 euros);
- Violación del principio de minimización de datos (sancionada con 150.000 euros);
- Incapacidad del responsable del tratamiento de datos para garantizar la confidencialidad y la integridad de los datos (sancionada con 100.000 euros).
¿De qué manera el Hospital Barreiro-Montijo vulnera el RGPD?
En primer lugar, debemos tener en cuenta que un hospital trata datos personales relativos a la salud categorizados como especiales por el artículo 9 del Reglamento Europeo de Protección de Datos (RGPD) y, por tanto, protegidos de manera adicional.
El RGPD en su artículo 5 introduce una serie de principios fundamentales. Dos de estos principios han sido vulnerados por el Hospital portugués.
En primer lugar, el principio de integridad y confidencialidad establece que los datos personales deben ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas adecuadas. En este sentido, la CNPD detectó en su inspección que el hospital no disponía de reglas internas para la creación de cuentas o para los diferentes niveles de acceso a la información clínica y, además, el método de autenticación no tenía en cuenta los datos identificativos que vinculan a los diferentes profesionales al Centro hospitalario.
En segundo lugar, el principio de minimización de datos estipula que los datos personales serán adecuados, pertinentes y limitados a los necesario en relación con los fines para los que fueron tratados. El incumplimiento de este principio radica en que se detectó que 985 médicos tenían acceso indiscriminado a los archivos clínicos aunque solo forman parte de la plantilla del hospital 296 médicos. Además, 9 profesionales de servicios sociales podían acceder a datos exclusivos para médicos.
La deliberación revela además que, en una cuenta de prueba, los expertos de la CNPD lograron acceder a datos clínicos de un paciente, que se encontraban en los archivos digitales de otro hospital.
El artículo 9.1 del RGPD prohíbe el tratamiento de los datos personales de categoría especial, excepto en aquellos casos en que se incurra en una de las causas justificativas del apartado 2 del mismo artículo. En este supuesto, el consentimiento expreso. La autoridad portuguesa detectó que dicho consentimiento no existía de manera expresa, libre, informada e inequívoca, como establece el RGPD y que, además, no se encontraba en ninguno de los demás supuestos del apartado 2 del citado artículo.
Por todo ello esta sanción se encuentra más que justificada. Portugal apuesta por la protección de datos y, desde Cysae, también. Contacta con nosotros y te ayudaremos a adecuarte al nuevo RGPD.