Buscador de resoluciones, dictámenes e informes

La persona denunciante exponía que se había manipulado su historia clínica. Concretamente, señalaba que el diagnóstico de las lesiones que sufrió en un accidente no era correcto y que las imágenes que constaban en él eran borrosas y estaban cortadas. Durante la tramitación de la reclamación, el hospital acreditó que la información de la historia clínica de la persona reclamante era correcta, que no había habido modificación posterior a la fecha del accidente y que las imágenes no eran borrosas ni estaban cortadas. Se archiva el procedimiento, dado que no se puede atribuir al hospital ningún hecho punible desde el punto de vista de la protección de datos ni ninguna responsabilidad por los hechos denunciados y no acreditados.

El denunciante se queja de que su expareja ha accedido indebidamente a su HC, sin su permiso. Por otra parte, el CSI manifiesta que el profesional accedió durante el período de tiempo en que el denunciante y el profesional eran pareja, pero no aporta el consentimiento explícito del paciente. Se resuelve que se ha vulnerado el principio de confidencialidad.

La denunciante se queja de que el centro médico ha emitido dos informes, en los que consta un antecedente patológico que no se basa en ninguna evidencia médica. La entidad ha reconocido los hechos y ha corregido los informes. Se prepara resolución definitiva por vulneración del principio de exactitud.

Se resuelve declarar que, con anterioridad al 05/03/2023, el HCB no había implementado las medidas de seguridad -técnicas y organizativas- adecuadas para garantizar un nivel de seguridad adecuado al riesgo de los tratamientos de datos personales que realizaba. Tampoco había realizado un análisis de riesgos para definir las medidas de seguridad requeridas, tal y como exigen los apartados 1º y 2º del artículo 32 RGPD. La plataforma informática que fue objeto de ciberataque almacenaba información del HCB y también de otras entidades vinculadas (Barnaclínic SA, CAPSBE y la FRCB-IDIBAPS); por tanto, el volumen y sensibilidad de la información exigían una especial diligencia en su custodia y seguridad.

La historia clínica de la fundación denunciada está configurada de forma que, desde el diseño y por defecto, los médicos propios y externos de la fundación pueden acceder a ella, a través de los sistemas de información de la fundación. Este hecho provocó que un médico externo que atendió a la persona denunciante en el marco de una asistencia sanitaria privada accediera a su historia clínica, sin su consentimiento explícito ni ninguna otra base jurídica que legitimara este tratamiento. En este caso, no se imputa la vulneración del deber de la protección de datos desde el diseño y por defecto, dado que existe un concurso ideal de infracciones y sólo se imputa la infracción más grave; es decir, la vulneración del principio de licitud (calificada como muy grave). Tampoco se imputa la vulneración del principio de limitación de la finalidad, al quedar subsumida en la infracción relativa al principio de licitud.

La persona denunciando ponía de manifiesto que desde el CABO Centelles se accedió a su HC3 en cuatro ocasiones, durante los meses de mayo de 2022, a pesar de no haber sido visitada en aquel centro sanitario. En respuesta, el DPD de la entidad denunciada ha confirmado ser el autor material de los accesos y los ha justificado argumentando que eran necesarios para poder dar respuesta a un requerimiento de información que esta Autoridad notificó a la mencionada entidad, en el marco de otra denuncia presentada por la misma persona denunciando. En relación con esto, durante la fase de información previa se ha podido constatar que, los accesos que llevó a cabo el delegado de protección de datos personales al HC3 de la denunciante estaban justificados, dado que se llevaron a cabo en el ejercicio de sus funciones, y para dar respuesta a un requerimiento de esta Autoridad. Por todo esto, procede el archivo de las presentes actuaciones.

Se amonesta el Ayuntamiento de Sant Boi de Llobregat como responsable de una infracción prevista en el artículo 83.5.a en relación con el artículo 5.1.f, ambos del RGPD, por el envío de un correo electrónico a numerosas personas sin utilizar la herramienta de copia oculta.

Se resuelve declarar que el Departamento de Salud ha cometido la infracción prevista en el artículo 83.5 a), en relación con el artículo 5 RGPD, que contempla el principio de exactitud de los datos personales, dado que la plataforma "Mi Salud" de la persona denunciando contiene información inexacta sobre los profesionales sanitarios que lo habrían asistido en diferentes consultas médicas. La discordancia también se manifiesta entre la información contenida por un lado a la HC del centro sanitario y la HC3; y por otro lado, en la información que consta al visor de LMS.

Un club deportivo de fútbol de nueva creación contactó con la Federación Catalana de Fútbol dado que cuando intentaba vincular dieciséis jugadores a su club, la Intranet federativa le mostraba un mensaje mediante el cual se lo informaba que los mencionados jugadores estaban vinculados a otro club deportivo. Al respeto, la persona denunciando se quejaba por el hecho que, desde la FCF se había enviado al mencionado club de nueva creación unas impresiones de pantalla que contenían los datos personales de los 16 jugadores que, en aquel momento, estaban vinculados a otro club. Pues bien, por su parte, la entidad denunciada ha reconocido haber enviado las impresiones de pantalla - con información personal de los jugadores (nombre, apellidos y DNI) - al club de nueva creación, a los efectos de mostrarle los pasos que tenía que seguir para poder inscribir a los jugadores, y ha argumentado que este hecho no constituye una comunicación ilícita de datos personales dado que el receptor de la información, ya era conocedor de estas información. Al respeto, añadía que, la Intranet muestra el mencionado mensaje después de que el club haya introducido los datos personales de los jugadores. En estos términos, procede el archivo de los hechos denunciados dado que, cuando la FCF envió los datos personales de los jugadores al Club que los intentaba inscribir, este ya disponía de la información.

Procede el archivo de los hechos dado que, por un lado, el acceso al HC3 de las personas usuarias del sistema de salud público catalán solo se puede llevar a cabo por parte de personas que dispongan de un número de colegiación, excluyendo por lo tanto el personal auxiliar administrativo. Al respeto, por el que hace el acceso a la historia clínica, la normativa sanitaria habilita el acceso al personal auxiliar administrativo cuando este se lleve a cabo en el ejercicio de sus funciones. Así mismo, también se archiva el hecho relativo al uso de herramientas de comunicación interna como por ejemplo el whatsapp dado que no ha quedado probado que el personal del HUVH emplee la mencionada aplicación como herramienta de trabajo. Al hilo del anterior, tampoco ha quedado probado que el RAT sea inadecuado dado que el HUVH ha aportado el mencionado documento elaborado por el ICS, así como un documento intitulado "SubRAT" que se actualiza anualmente y que contiene los tratamientos de datos personales que lleva a cabo el hospital. En este sentido, la Autoridad también considera que la AIPD elaborada, en relación con el tratamiento de datos personales vinculado al SAP, recoge los extremos previstos en el artículo 35 RGPD. En último término, se archiva el hecho denunciado relativo a la carencia de formación del personal del HUVH, en la medida en que la entidad ha acreditado ofrecer cursos en materia de privacidad regularmente al sedes trabajadores.