Buscador de resoluciones, dictámenes e informes

La persona denunciante exponía que se había manipulado su historia clínica. Concretamente, señalaba que el diagnóstico de las lesiones que sufrió en un accidente no era correcto y que las imágenes que constaban en él eran borrosas y estaban cortadas. Durante la tramitación de la reclamación, el hospital acreditó que la información de la historia clínica de la persona reclamante era correcta, que no había habido modificación posterior a la fecha del accidente y que las imágenes no eran borrosas ni estaban cortadas. Se archiva el procedimiento, dado que no se puede atribuir al hospital ningún hecho punible desde el punto de vista de la protección de datos ni ninguna responsabilidad por los hechos denunciados y no acreditados.

Título: infracción del principio de confidencialidad por 9 accesos indebidos en la historia clínica.
Resumen: la denunciante se quejaba de 9 accesos indebidos en su historia clínica que no estaban relacionados con ninguna actuación asistencial o de diagnóstico, ya que nunca había sido atendida en el centro ni por la facultativa que había efectuado los accesos controvertidos. La denunciante también se quejaba de que, en el marco de una reunión de una asociación vecinal, la facultativa había difundido algunos datos de salud de la denunciante. Esta supuesta divulgación de datos se archivó en el acuerdo de iniciación, ya que no se acreditaron los hechos. En cuanto a los 9 accesos indebidos acreditados, se sanciona a la entidad por la vulneración del principio de confidencialidad con una multa de 30.000 €, como responsable de una infracción prevista en el artículo 83.5.a en relación con el artículo 5.1 .f, ambos del RGPD. La entidad ha pagado la sanción de forma anticipada (24.000€).

El denunciante se queja de que su expareja ha accedido indebidamente a su HC, sin su permiso. Por otra parte, el CSI manifiesta que el profesional accedió durante el período de tiempo en que el denunciante y el profesional eran pareja, pero no aporta el consentimiento explícito del paciente. Se resuelve que se ha vulnerado el principio de confidencialidad.

La denunciante se queja de que el centro médico ha emitido dos informes, en los que consta un antecedente patológico que no se basa en ninguna evidencia médica. La entidad ha reconocido los hechos y ha corregido los informes. Se prepara resolución definitiva por vulneración del principio de exactitud.

La persona denunciante se queja de que el hospital en el que se le está suministrando un tratamiento médico ha facilitado sus datos personales a una empresa externa, sin su consentimiento. Se constata que la empresa que ha tratado los datos es un encargado del tratamiento que hace uso de sus datos para cumplir una de las finalidades del responsable del tratamiento, CatSalut. Concretamente, para un tratamiento médico suscrito al denunciante. Por este motivo, se dicta resolución de archivo.

Se resuelve declarar que, con anterioridad al 05/03/2023, el HCB no había implementado las medidas de seguridad -técnicas y organizativas- adecuadas para garantizar un nivel de seguridad adecuado al riesgo de los tratamientos de datos personales que realizaba. Tampoco había realizado un análisis de riesgos para definir las medidas de seguridad requeridas, tal y como exigen los apartados 1º y 2º del artículo 32 RGPD. La plataforma informática que fue objeto de ciberataque almacenaba información del HCB y también de otras entidades vinculadas (Barnaclínic SA, CAPSBE y la FRCB-IDIBAPS); por tanto, el volumen y sensibilidad de la información exigían una especial diligencia en su custodia y seguridad.

La historia clínica de la fundación denunciada está configurada de forma que, desde el diseño y por defecto, los médicos propios y externos de la fundación pueden acceder a ella, a través de los sistemas de información de la fundación. Este hecho provocó que un médico externo que atendió a la persona denunciante en el marco de una asistencia sanitaria privada accediera a su historia clínica, sin su consentimiento explícito ni ninguna otra base jurídica que legitimara este tratamiento. En este caso, no se imputa la vulneración del deber de la protección de datos desde el diseño y por defecto, dado que existe un concurso ideal de infracciones y sólo se imputa la infracción más grave; es decir, la vulneración del principio de licitud (calificada como muy grave). Tampoco se imputa la vulneración del principio de limitación de la finalidad, al quedar subsumida en la infracción relativa al principio de licitud.

Teniendo en cuenta la normativa aplicable, se puede considerar que existe base jurídica suficiente para la publicación y difusión de las calificaciones académicas del colectivo de estudiantes universitarios (ej. art. 6.1, apartados e) y f) RGPD), sin perjuicio del necesario cumplimiento del resto de principios y garantías de la normativa de protección de datos. Dado el principio de minimización debería difundirse únicamente los datos necesarios para dar cumplimiento a la finalidad pretendida, teniendo en cuenta los parámetros y orientaciones derivadas de la disposición adicional séptima del LOPDDDD.

La normativa de protección de datos no impide comunicar a la persona reclamante la información que solicita, relativa a los accesos a su historia clínica, incluida la identidad de los profesionales, rango y categoría profesional, que han accedido.

El consentimiento puede ser una base jurídica habilitante del tratamiento de datos biométricos con finalidad de control horario siempre que este constituya una manifestación de voluntad libre, específica, informada e inequívoca por parte del interesado de aceptar el tratamiento, en los términos que se han expuesto. En cualquier caso, antes de llevar a cabo un tratamiento como el que plantea la consulta, hay que hacer una evaluación del impacto sobre la protección de datos a la vista de las circunstancias concretas en que se lleve a cabo el tratamiento donde se analice, entre otras cuestiones, la licitud del tratamiento.