El Reglamento General de Protección de Datos, casi recién estrenado en aplicación, se ha estrenado también con sanciones elevadas. El pasado mes de octubre tuvimos la primera sanción post – RGPD en un hospital portugués, que alcanzó los 400.000 €. Nada mal para empezar a asustarnos…
- Violar el principio de integridad y confidencialidad: 150.000 €
- Violar el principio de minimización de datos: 150.000 €
- Incapacidad del DPO para garantizar la confidencialidad e integridad de los datos: 100.000 €
Pero, ¿por qué esta sanción? La realidad es que el entorno hospitalario es especialmente sensible a la necesidad de proteger sus datos, ya que son datos de la salud que el marco normativo considera especialmente protegidos y que, además, los usuarios estamos muy sensibilizados con ellos. Ninguno de nosotros quiere que sus datos de salud salgan al público ni que se manejen como si no importasen. Nosotros podemos contar lo que queramos, es nuestra información, pero tenemos que tener claro que nuestros datos de salud son nuestros, no del hospital ni de la clínica ni del centro de salud que nos está atendiendo.
En este centro hospitalario se detectaron situaciones que seguramente nos llegan a parecer hasta normales, pero que tienen unas consecuencias importantes. Algunas situaciones:
- Se detectaron 985 médicos con cuentas activas y con acceso a archivos clínicos, sin embargo, sólo 296 médicos en la plantilla del hospital.
- El Hospital no disponía de reglas internas para la creación de cuentas de usuarios ni para los diferentes niveles de acceso a la información clínica.
- En una cuenta de prueba, los expertos de la Comisión Nacional de Protección de Datos, lograron acceder a datos clínicos de un paciente que se encontraban en los archivos digitales de otro hospital.
- Existían cuentas genéricas de acceso a la información tipo «gabinete1», «enfermera7», que permitían el acceso anónimo a la misma, es decir, no es posible identificar quién ha accedido a la información.
Son, como veis, situaciones que técnicamente y con las políticas adecuadas, son sencillas de resolver. Si además el hospital tuviese contratada una póliza de ciber-riesgo, el «susto» habría sido menor (al menos económicamente hablando).
No queremos decir que la póliza lo cubra todo, ni que las medidas tecnológicas sean suficientes. Sin embargo, con una buena combinación de ambas, se pueden evitar situaciones desagradables tanto por la multa como por la necesidad que ahora tiene este hospital de recuperar su imagen ante sus pacientes.