La Primera multa post RGPD (GDPR en inglés) a un hospital en Portugal
La CNPD identificó tres infracciones:
- Violación del principio de integridad y confidencialidad: sancionado con 150.000 euros.
- Violación del principio de minimización de datos, que debería impedir el acceso indiscriminado a datos clínicos de los pacientes: sancionado con 150.000 euros.
- Incapacidad del responsable del tratamiento de datos para garantizar la confidencialidad y la integridad de los datos: sancionado con 100.000 euros.
La CNPD justificó la aplicación de las multas en el hecho de que se registraron 985 médicos con cuentas activas que daban acceso a los archivos clínicos, aunque los cuadros del centro hospitalario solo cuentan con 296 médicos. Además, la deliberación revela que, en una cuenta de prueba, los expertos de la CNPD lograron acceder a datos clínicos de un paciente, que se encontraban en los archivos digitales de otro hospital, situado en la localidad de Carnaxide.
A estos datos se añadieron las siguientes lagunas detectadas en el transcurso de la inspección por parte de la autoridad sancionadora:
- El hospital no disponía de reglas internas para la creación de cuentas (que se establecieron después del envío de emails por los diferentes directores de los servicios).
- El hospital no disponía de reglas internas para los diferentes niveles de acceso a la información clínica.
- El método de autenticación no tenía en cuenta los datos identificativos que vinculan a los diferentes profesionales del centro hospitalario.
El Reglamento define como datos personales relacionados con la salud aquellos «relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud» (artículo 4.15), de lo que se colige que se incluyen como datos de salud la información o datos relativos a la prestación de servicios de atención sanitaria que revelen información sobre el estado de salud de una persona.
Por lo tanto, dada la trascendencia que pueden tener, el RGPD otorga a este tipo de datos una mayor protección. En efecto, la implementación del reglamento europeo no solo introduce un estándar elevado de protección, sino que compele a los sujetos obligados a adelantar las barreras de custodia. Es decir, estamos ante una responsabilidad proactiva, ante la obligación de implementar medidas para asegurarnos del correcto cumplimiento normativo.En este caso en concreto, existen dos cuestiones que, de haberse prevenido, probablemente hubieran evitado la sanción de 400.000 euros. La primera, es que el hospital no recabó el consentimiento de los pacientes que, a tenor del precepto 9 del reglamento, debe ser expreso.
En este sentido, fuera del consentimiento, la legislación únicamente permite tratar los datos enmarcados en esta categoría especial cuando concurra alguna de las siguientes circunstancias:
- Cuando el tratamiento sea necesario para proteger intereses vitales del interesado o de otra persona física en caso de que el interesado no esté capacitado para dar su consentimiento.
- Cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social en virtud de un contrato con un profesional sanitario.
- Cuando el tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
Ninguna de las excepciones señaladas opera en el caso que nos ocupa, por lo tanto, en este caso era necesario, conforme a la RGPD, que el hospital hubiera recabado el consentimiento expreso de los pacientes para realizar el tratamiento de los datos. Los gestores del hospital deberían haber implementado un protocolo o procedimiento para recabar el consentimiento y almacenarlo en la ficha del paciente, permitiendo de esta manera el acceso a los datos de aquellos pacientes que tuvieran registrado de la manera correcta el consentimiento expreso, no permitiendo el acceso a los datos de los pacientes sin consentimiento registrado.
Hoy en día existen en el mercado plataformas digitales para la gestión de este consentimiento y del nivel de acceso a los datos según dicho consentimiento. Con la implementación de una de estas plataformas que le hubieran permitido tanto recabar los consentimientos, cómo modular el acceso a los datos en función de los consentimientos, hubiera evitado el hospital buena parte de la sanción que ha recibido, cumpliendo con la GDPR (o RGPD en español).