Buscador de resoluciones, dictámenes e informes

La persona denunciante exponía que se había manipulado su historia clínica. Concretamente, señalaba que el diagnóstico de las lesiones que sufrió en un accidente no era correcto y que las imágenes que constaban en él eran borrosas y estaban cortadas. Durante la tramitación de la reclamación, el hospital acreditó que la información de la historia clínica de la persona reclamante era correcta, que no había habido modificación posterior a la fecha del accidente y que las imágenes no eran borrosas ni estaban cortadas. Se archiva el procedimiento, dado que no se puede atribuir al hospital ningún hecho punible desde el punto de vista de la protección de datos ni ninguna responsabilidad por los hechos denunciados y no acreditados.

El denunciante se queja de que su expareja ha accedido indebidamente a su HC, sin su permiso. Por otra parte, el CSI manifiesta que el profesional accedió durante el período de tiempo en que el denunciante y el profesional eran pareja, pero no aporta el consentimiento explícito del paciente. Se resuelve que se ha vulnerado el principio de confidencialidad.

La denunciante se queja de que el centro médico ha emitido dos informes, en los que consta un antecedente patológico que no se basa en ninguna evidencia médica. La entidad ha reconocido los hechos y ha corregido los informes. Se prepara resolución definitiva por vulneración del principio de exactitud.

Se resuelve declarar que, con anterioridad al 05/03/2023, el HCB no había implementado las medidas de seguridad -técnicas y organizativas- adecuadas para garantizar un nivel de seguridad adecuado al riesgo de los tratamientos de datos personales que realizaba. Tampoco había realizado un análisis de riesgos para definir las medidas de seguridad requeridas, tal y como exigen los apartados 1º y 2º del artículo 32 RGPD. La plataforma informática que fue objeto de ciberataque almacenaba información del HCB y también de otras entidades vinculadas (Barnaclínic SA, CAPSBE y la FRCB-IDIBAPS); por tanto, el volumen y sensibilidad de la información exigían una especial diligencia en su custodia y seguridad.

La historia clínica de la fundación denunciada está configurada de forma que, desde el diseño y por defecto, los médicos propios y externos de la fundación pueden acceder a ella, a través de los sistemas de información de la fundación. Este hecho provocó que un médico externo que atendió a la persona denunciante en el marco de una asistencia sanitaria privada accediera a su historia clínica, sin su consentimiento explícito ni ninguna otra base jurídica que legitimara este tratamiento. En este caso, no se imputa la vulneración del deber de la protección de datos desde el diseño y por defecto, dado que existe un concurso ideal de infracciones y sólo se imputa la infracción más grave; es decir, la vulneración del principio de licitud (calificada como muy grave). Tampoco se imputa la vulneración del principio de limitación de la finalidad, al quedar subsumida en la infracción relativa al principio de licitud.

La persona denunciando ponía de manifiesto que desde el CABO Centelles se accedió a su HC3 en cuatro ocasiones, durante los meses de mayo de 2022, a pesar de no haber sido visitada en aquel centro sanitario. En respuesta, el DPD de la entidad denunciada ha confirmado ser el autor material de los accesos y los ha justificado argumentando que eran necesarios para poder dar respuesta a un requerimiento de información que esta Autoridad notificó a la mencionada entidad, en el marco de otra denuncia presentada por la misma persona denunciando. En relación con esto, durante la fase de información previa se ha podido constatar que, los accesos que llevó a cabo el delegado de protección de datos personales al HC3 de la denunciante estaban justificados, dado que se llevaron a cabo en el ejercicio de sus funciones, y para dar respuesta a un requerimiento de esta Autoridad. Por todo esto, procede el archivo de las presentes actuaciones.

Se resuelve declarar que el Departamento de Salud ha cometido la infracción prevista en el artículo 83.5 a), en relación con el artículo 5 RGPD, que contempla el principio de exactitud de los datos personales, dado que la plataforma "Mi Salud" de la persona denunciando contiene información inexacta sobre los profesionales sanitarios que lo habrían asistido en diferentes consultas médicas. La discordancia también se manifiesta entre la información contenida por un lado a la HC del centro sanitario y la HC3; y por otro lado, en la información que consta al visor de LMS.

Procede el archivo de los hechos dado que, por un lado, el acceso al HC3 de las personas usuarias del sistema de salud público catalán solo se puede llevar a cabo por parte de personas que dispongan de un número de colegiación, excluyendo por lo tanto el personal auxiliar administrativo. Al respeto, por el que hace el acceso a la historia clínica, la normativa sanitaria habilita el acceso al personal auxiliar administrativo cuando este se lleve a cabo en el ejercicio de sus funciones. Así mismo, también se archiva el hecho relativo al uso de herramientas de comunicación interna como por ejemplo el whatsapp dado que no ha quedado probado que el personal del HUVH emplee la mencionada aplicación como herramienta de trabajo. Al hilo del anterior, tampoco ha quedado probado que el RAT sea inadecuado dado que el HUVH ha aportado el mencionado documento elaborado por el ICS, así como un documento intitulado "SubRAT" que se actualiza anualmente y que contiene los tratamientos de datos personales que lleva a cabo el hospital. En este sentido, la Autoridad también considera que la AIPD elaborada, en relación con el tratamiento de datos personales vinculado al SAP, recoge los extremos previstos en el artículo 35 RGPD. En último término, se archiva el hecho denunciado relativo a la carencia de formación del personal del HUVH, en la medida en que la entidad ha acreditado ofrecer cursos en materia de privacidad regularmente al sedes trabajadores.

Se resuelve el archivo de las actuaciones puesto que la entidad denunciada ha justificado que el acceso controvertido al HC3 de la persona denunciando se produjo por un error de tecleo, en el marco del proyecto RedCov, en que se tenía que consultar determinados parámetros en varias historias clínicas.

The processing of the data necessary to carry out the tests of the personnel selection processes, including the health data of the participants, has as its legal basis the fulfillment of a mission in the public interest and the fulfillment of specific obligations of the administrations. competent authorities established by public service regulations. The recording of psychotechnical tests requires, in addition to their provision in the corresponding bases of the calls (with the specification and determination of the necessary specific guarantees), the prior completion of an AIPD. It does not seem that the legal basis of consent is adequate to legitimize the processing of the data of applicants for a selective process for the purpose described, given that it cannot be considered that in the case presented there could be truly free consent, nor the possibility to establish alternative means that would guarantee the principle of equality that must govern selective procedures.