Medio año después de la entrada en vigor del Reglamento General de Protección de Datos (RGPD) de la Unión Europea, la Agencia Portuguesa de Protección de Datos (CNPD por sus siglas en portugués) ha impuesto la primera multa por incumplimiento de la normativa en toda Europa.
El “agraciado” ha sido el Centro Hospitalario Barreiro-Montijo, situado al sur del país luso, con una sanción que asciende a un total de 400.000 euros por permitir el acceso ilícito a datos clínicos. La autoridad portuguesa inició una investigación tras recibir un aviso por parte del Colegio Oficial de Médicos de Portugal.
Infracciones cometidas y cuantías
La Comisión Nacional de Protección de Datos ha identificado tres tipos de sanciones para el Hospital Barreiro-Montijo:
- Violación del principio de integridad y confidencialidad.
- Violación del principio de minimización.
- Incapacidad para garantizar la confidencialidad e integridad de los datos.
Las dos primeras infracciones ascienden a 150.000 euros cada una, mientras que la tercera se queda en 100.000 euros, resultando un total de 400.000 euros de sanción.
La inspección realizada por la CNPD detectó varios fallos en los sistemas de autentificación y control de acceso a las bases de datos que permitían a personas sin autorización acceder a los archivos clínicos de los pacientes.
La autoridad lusa probó que al menos nueve profesionales con cargos en el departamento de servicio social podían acceder a datos a los que solamente debía tener acceso el personal médico. Además, hasta un total de 985 médicos podían acceder a archivos clínicos, cuando en todo el hospital solamente hay 296 facultativos.
La CNPD también pone de manifiesto la inexistencia por parte del Hospital de un protocolo interno para la creación de cuentas de usuario, niveles de acceso a información médica ni tampoco de un método que autentifique la relación de los profesionales con el Centro Hospitalario. Por ello, dictamina que la administración del Hospital es responsable de estos hechos ya que es su competencia cumplir con las normas que exigen la eliminación de cuentas de médicos que ya no son trabajadores del centro y delimitar el acceso a aquellos que lo son en la actualidad.
El Hospital presentará un recurso
El Centro Hospitalario ya ha anunciado que va a recurrir esta deliberación. Desde el Hospital se cuestionan las competencias de la Comisión ya que, a pesar de que el RGPD se encuentra vigente, la ley nacional portuguesa aún está en fase de proyecto de ley. Además, argumentan que las políticas relativas al acceso de datos fueron impuestas por terceros, muy probablemente por los servicios tecnológicos dependientes del Ministerio de Sanidad.
En Delvy Asesores recomendamos siempre implementar unas buenas políticas de privacidad y protección de datos en tu negocio, no sólo por cumplir con la legalidad vigente y evitar cuantiosas multas, sino también como una apuesta de valor añadido para tu empresa. Si necesitas asesoramiento sobre el RGPD no dudes en ponerte en contacto con nosotros en [email protected] o al teléfono 935 185 385.
