Cercador de resolucions, dictàmens i informes

Títol: infracció del principi de confidencialitat per 9 accessos indeguts a la història clínica.
Resum: la denunciant es queixava de 9 accessos indeguts a la seva història clínica que no estaven relacionats amb cap actuació assistencial o de diagnòstic, ja que mai havia estat atesa en el centre ni per la facultativa que havia efectuat els accessos controvertits. La denunciant també es queixava que, en el marc d'una reunió d'una associació veïnal, la facultativa havia difós algunes dades de salut de la denunciant. Aquesta suposada divulgació de dades es va arxivar a l'acord d'iniciació, ja que no es van acreditar els fets. Pel que fa als 9 accessos indeguts acreditats, es sanciona l'entitat per la vulneració del principi de confidencialitat amb una multa de 30.000 €, com a responsable d'una infracció prevista a l'article 83.5.a en relació amb l'article 5.1.f, ambdós de l'RGPD. L'entitat ha pagat la sanció de forma anticipada (24.000 €).

El denunciant es queixa que la seva exparella ha accedit indegudament a la seva HC, sense el seu permís. Per altra banda, el CSI manifesta que el professional hi va accedir durant el període de temps en què el denunciant i el professional eren parella, però no aporta el consentiment explícit del pacient. Es resol que s’ha vulnerat el principi de confidencialitat.

Una persona que prestava serveis al Consorci Sanitari del Maresme, amb la categoria professional d'administrativa, va efectuar 29 accessos no justificats a la història clínica del denunciant. Així, va accedir a dades de salut del denunciant que contenien diversos informes mèdics, l'historial de visites, consultes sobre proves i dades d'hospitalització. Es proposa declarar que l'entitat ha comès una infracció del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD.

La denunciant es queixa que el centre mèdic ha emès dos informes, en els quals hi consta un antecedent patològic que no es basa en cap evidència mèdica. L'entitat ha reconegut els fets i ha corregit els informes. Es prepara resolució definitiva per vulneració del principi d'exactitud.

Una persona que prestava serveis al Consorci Sanitari del Maresme amb la categoria professional d'administrativa va efectuar 29 accessos no justificats a la història clínica del denunciant. A través dels accessos esmentats, es va accedir a dades de salut del denunciant que contenien diversos informes mèdics, l'historial de visites, consultes sobre proves i dades d'hospitalització. Es proposa declarar que l'entitat ha comès una infracció del deure de confidencialitat, tipificada a l'article 83.5.a, en relació amb l'article 5.1.f, ambdós de l'RGPD

La denunciant es queixava de 60 accessos indeguts a les seves dades mèdiques efectuats des de centres diversos. Durant la fase d'investigació, l'entitat denunciada ha justificat els accessos, per la qual cosa no ha resultat acreditat l'existència d'infracció.

La persona denunciant es queixa que l'hospital en què se li està subministrant un tractament mèdic ha facilitat les seves dades personals a una empresa externa, sense el seu consentiment. Es constata que l'empresa que ha tractat les dades és un encarregat del tractament que fa ús de les seves dades per complir una de les finalitats del responsable del tractament, CatSalut. Concretament, per a un tractament mèdic subscrit al denunciant. Per aquest motiu, es dicta resolució d'arxivament.

Es planteja una consulta sobre el dret d’accés d’un pacient al curs clínic.

En aquest cas, la negativa d’un facultatiu sanitari a emetre un informe que, en principi, li correspondria, no pot derivar en un perjudici al malalt. Per aquesta raó, si resulta suficientment justificat, aquest informe es podria emetre per un altre facultatiu, deixant constància del seu contingut a la història clínica i, de la mateixa manera, hauria de constar en termes de traçabilitat d’aquesta.

El pacient, com a titular de les dades personals que consten als seus informes mèdics d’assistència i afectat té dret a accedir a la informació del curs clínic, sempre que no sigui  en perjudici del dret de tercers a la confidencialitat de les dades d'aquests que figuren en l'esmentada documentació, ni del dret dels professionals que han intervingut en l'elaboració d'aquesta, que poden invocar la reserva de llurs observacions, apreciacions o anotacions subjectives.

Una vegada informat de la possibilitat d’exercir el dret de limitació, el facultatiu no ès pot negar a que es lliuri el curs clínic al pacient. 

Des del punt de vista de la normativa de protecció de dades, l’incompliment del dret d’accés del pacient a la seva documentació clínica, comporta una infracció administrativa per vulneració de la normativa de protecció de dades.

Es resol declarar que la Fundació de Recerca Clínic Barcelona-Institut d'Investigacions Biomèdiques August Pi i Sunyer (FRCB-IDIBAPS), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que van ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades.

Es resol declarar que el Consorci d'Atenció Primària de Salut Barcelona Esquerra (CAPSBE), en la seva condició de responsable del tractament de les dades allotjades a la plataforma de l'HCB que va ser objecte de ciberatac, no va determinar les mesures tècniques i organitzatives adequades per protegir les seves dades, ni va vetllar perquè l'HCB - com a encarregat del tractament - les implementés; no va realitzar una anàlisi de riscos en relació amb els tractaments de dades personals dels quals n'era el responsable; ni va formalitzar un contracte d'encarregat del tractament amb l'HCB, en els termes previstos a la normativa de protecció de dades personals.