La parte reclamante expone que, el día 16 de mayo de 2020, presentó una reclamación ante la Dirección del Hospital Universitario de la Paz donde trabajaba, por el presunto acceso indebido a su historia clínica por parte de una compañera de trabajo y que únicamente ha recibido respuesta de que se daba traslado de su reclamación a la Dirección Médica del Hospital La Paz para su investigación.
Indica que el día 13 de mayo de 2020, en torno a las 8 horas de la mañana, la citada enfermera, del servicio de quirófano en el edificio general del Hospital Universitario la Paz de Madrid, aprovechándose de su condición de enfermera y utilizando sus claves personales de acceso, entró, sin que mediara relación asistencial ninguna, en su historia clínica, sita en la base de datos «sistema informático HCIS».
La AEPD ha solicitado copia de las investigaciones oportunas que se mencionan en el documento del Servicio de Atención al Paciente, así como la contestación final emitida a la reclamante, adjuntando al requerimiento de esta Agencia copia del documento aportado por la reclamante donde el Jefe del Servicio de Información del Hospital Universitario La Paz le comunica el traslado a la Dirección Médica del centro de la notificación sobre “accesos indebidos a su historia clínica” para que “se proceda a realizar las investigaciones oportunas”.
A este respecto la parte reclamada indica que el Hospital de la Paz ha llevado a cabo las oportunas investigaciones para esclarecer los hechos descritos por la denunciante. No aportan copia de las investigaciones requeridas.
Aportan copia de un escrito fechado el 18/12/2020, indicando que es la respuesta final remitida a la reclamante, en el que el Hospital indica que la Dirección no se pondrá en contacto con ella porque “se lleva a cabo una auditoria y se toman las acciones oportunas, pero ello no conlleva que se informe a la interesada”. Indican a esta Agencia que el citado Hospital cuenta con un protocolo según el cual “si se han producido accesos indebidos, se ha de valorar en el Comité de Protección de Datos (PD) qué información se le daría al interesado, siempre informándole de que el derecho concedido al mismo por la propia LOPD únicamente abarcaría el conocimiento de la información sometida a tratamiento, pero no qué personas, dentro del ámbito de la organización del responsable del fichero han podido tener acceso a dicha información”.
Considera la Agencia que el reclamado, como responsable del tratamiento objeto de estudio, no ha mostrado la diligencia que le resultaba exigible para establecer las medidas de seguridad que resultan necesarias para evitar la filtración o difusión de este tipo de datos a terceros.
En este sentido, la configuración de las medidas técnicas y organizativas debe realizarse para que, con carácter previo a la realización de los tratamientos de datos personales, se garantice que únicamente pueda tener acceso a las historias aquel personal que desarrolle su actividad asistencial sobre el titular de estas.
En caso de que la aplicación informática que controle el acceso a las historias clínicas estuviera correctamente programada, podría determinar, en el momento en que se solicita el acceso, si quien lo solicita (en función de su especialidad, turno o actividad en ese momento) debe estar legitimado para acceder a ella.
Y en el presente caso se estima adecuado sancionar con apercibimiento a la parte reclamada, por infracción del artículo 5.1.f) del RGPD y por la infracción del artículo 32 del RGPD, por la falta de diligencia a la hora de implementar las medidas apropiadas de seguridad con la consecuencia del quebranto del principio de confidencialidad.
Resolución AEPD PS-00587-2021, de 11 de noviembre de 2022.
Desde Espacio Asesoría no disponemos de un servicio gratuito de asesoramiento, por lo que su comentario solo podrá ser respondido por otros lectores.
Si necesita una respuesta profesional, le recomendamos realice su pregunta desde el siguiente enlace, desde donde podrá establecer un contacto privado con un abogado.
Tu comentario ha sido enviado para ser revisado antes de ser publicado.