Contexto
La Agencia Española de Protección de Datos (“AEPD”) recibe, en agosto de 2022, una denuncia contra un conocido grupo hospitalario español privado. El denunciante expone distintas deficiencias de seguridad relacionadas con el mantenimiento de un software de gestión hospitalaria, utilizado por todos los centros de la mercantil denunciada, en el que se incluyen las historias clínicas de los pacientes.
Investigaciones de la AEPD
La AEPD inicia investigaciones para el esclarecimiento de los hechos y concluye que:
- El sistema de gestión hospitalaria no tenía implementadas medidas de seguridad acordes a un tratamiento a gran escala de categorías especiales de datos (entre otras, la incorporación de un sistema de cifrado robusto; la asignación de perfiles de usuario; la realización de auditorías; y la trazabilidad completa de los accesos).
- El Grupo hospitalario ha venido celebrando contratos con el sector público para la prestación de servicios de asistencia sanitaria, desde el año 2022, por tanto, le era de aplicación el Esquema Nacional de Seguridad; y con ello, las medidas de seguridad dispuestas en su normativa.
Conclusiones
La AEPD considera que los hechos conocidos son constitutivos de una infracción, imputable al grupo hospitalario, por vulneración del artículo 32 del Reglamento General de Protección de datos (“RGPD”) y de una multa de 200.000.- €.
La AEPD concluye que hay negligencia de la entidad sancionada por la falta de diligencia en el cumplimiento de la normativa vigente en materia de protección de datos.