La Agencia de Protección de Datos de la Comunidad de Madrid ha resuelto recientemente la denuncia interpuesta a un Hospital del Servicio Madrileño de Salud por el familiar de un fallecido que solicitó su historia clínica y le fue entregada documentación perteneciente a otros pacientes. Esto es, se solicita un historial clínico de conformidad con el artículo 18 de la Ley 41/2002 de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y al entregarlo, se adjunta documentación que pertenece a otros pacientes. Este hecho lleva a la familia a denunciar al hospital por entender que no se están cumpliendo las medidas de seguridad adecuadas que garanticen la confidencialidad de los datos sanitarios de los pacientes.
¿Qué consecuencias puede tener una conducta de este tipo desde el punto de vista de la normativa de protección de datos? En el caso al que hacemos alusión, la Agencia de Protección de Datos de la Comunidad de Madrid ha determinado que esta conducta conlleva una vulneración de los artículos 4 y 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, tipificada como una infracción grave en el artículo 44.3.d) de la citada Ley: “Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave”.
Entiende la Agencia madrileña que los hechos se han debido a un posible fallo en la gestión de la documentación entregada por el Hospital a la denunciante, al incluir entre la información clínica del fallecido documentos relativos a otros pacientes, dando como resultado la vulneración del principio de calidad en el tratamiento de los datos de los pacientes incluidos en el fichero de Historias Clínicas del Hospital, previsto en el referido artículo 4 de la LOPD que establece que los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado; y a un posible error en la organización y gestión de la documentación incluida en el fichero de Historias Clínicas, cuya consecuencia fue la entrega a la familia del paciente fallecido de datos relativos a otros pacientes del hospital con los que no guardaban relación familiar alguna, lo que indica un fallo de seguridad, vulnerando lo previsto en el artículo 9 de la LOPD, que dispone que el responsable del fichero deberá adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.
Si bien se determina que las medidas de seguridad adoptadas por el Hospital pueden ser adecuadas a lo exigido en la normativa de protección de datos, el propio centro reconoce la entrega de documentación errónea, considerándola como un hecho aislado y excepcional. Sin embargo, manifiesta la Agencia, que este hecho no deja de constituir una vulneración del principio de calidad de los datos y del principio de implementación de las medidas de seguridad.
En cuanto a la sanción impuesta, en este caso, al tratarse de una Administración Pública se limita declarar la vulneración y comunicarla a las entidades responsables así como al Defensor del Pueblo, pero si se tratara de un hospital privado estaríamos hablando de una multa que oscilaría entre los 60.000 y los 300.000 euros. Es por esto que no es suficiente con implementar las medidas de seguridad, sino que es necesario formar y concienciar al personal para que en el manejo diario de la documentación clínica sean minuciosos y conozcan los riesgos que puede conllevar.
Publicado en Redacción Médica el martes, 11 de enero de 2011. Número 1372. Año VII.
No hay comentarios:
Publicar un comentario