Buscador de resoluciones, dictámenes e informes

Título: infracción del principio de confidencialidad por 9 accesos indebidos en la historia clínica.
Resumen: la denunciante se quejaba de 9 accesos indebidos en su historia clínica que no estaban relacionados con ninguna actuación asistencial o de diagnóstico, ya que nunca había sido atendida en el centro ni por la facultativa que había efectuado los accesos controvertidos. La denunciante también se quejaba de que, en el marco de una reunión de una asociación vecinal, la facultativa había difundido algunos datos de salud de la denunciante. Esta supuesta divulgación de datos se archivó en el acuerdo de iniciación, ya que no se acreditaron los hechos. En cuanto a los 9 accesos indebidos acreditados, se sanciona a la entidad por la vulneración del principio de confidencialidad con una multa de 30.000 €, como responsable de una infracción prevista en el artículo 83.5.a en relación con el artículo 5.1 .f, ambos del RGPD. La entidad ha pagado la sanción de forma anticipada (24.000€).

El denunciante se queja de que su expareja ha accedido indebidamente a su HC, sin su permiso. Por otra parte, el CSI manifiesta que el profesional accedió durante el período de tiempo en que el denunciante y el profesional eran pareja, pero no aporta el consentimiento explícito del paciente. Se resuelve que se ha vulnerado el principio de confidencialidad.

La denunciante se queja de que el centro médico ha emitido dos informes, en los que consta un antecedente patológico que no se basa en ninguna evidencia médica. La entidad ha reconocido los hechos y ha corregido los informes. Se prepara resolución definitiva por vulneración del principio de exactitud.

Se resuelve declarar que, con anterioridad al 05/03/2023, el HCB no había implementado las medidas de seguridad -técnicas y organizativas- adecuadas para garantizar un nivel de seguridad adecuado al riesgo de los tratamientos de datos personales que realizaba. Tampoco había realizado un análisis de riesgos para definir las medidas de seguridad requeridas, tal y como exigen los apartados 1º y 2º del artículo 32 RGPD. La plataforma informática que fue objeto de ciberataque almacenaba información del HCB y también de otras entidades vinculadas (Barnaclínic SA, CAPSBE y la FRCB-IDIBAPS); por tanto, el volumen y sensibilidad de la información exigían una especial diligencia en su custodia y seguridad.

La historia clínica de la fundación denunciada está configurada de forma que, desde el diseño y por defecto, los médicos propios y externos de la fundación pueden acceder a ella, a través de los sistemas de información de la fundación. Este hecho provocó que un médico externo que atendió a la persona denunciante en el marco de una asistencia sanitaria privada accediera a su historia clínica, sin su consentimiento explícito ni ninguna otra base jurídica que legitimara este tratamiento. En este caso, no se imputa la vulneración del deber de la protección de datos desde el diseño y por defecto, dado que existe un concurso ideal de infracciones y sólo se imputa la infracción más grave; es decir, la vulneración del principio de licitud (calificada como muy grave). Tampoco se imputa la vulneración del principio de limitación de la finalidad, al quedar subsumida en la infracción relativa al principio de licitud.

Procede amonestar el Ayuntamiento, dado que este no informaba debidamente sobre el tratamiento de imágenes captadas por las cámaras de videovigilancia instaladas en los puntos de control de acceso a zonas de tráfico restringido, puesto que, aparte de la información que consta a los carteles informativos, en la información complementaria que estaba disponible a la página web del consistorio, el Ayuntamiento no informaba sobre el derecho a presentar una reclamación ante esta Autoridad, y por tanto, el Ayuntamiento no informaba de todos los extremos previstos en el artículo 13 del RGPD.

Procede amonestar el Ayuntamiento por 1) captar imágenes de la vía pública a través del sistema de cámaras de videovigilancia situadas en unas islas de contenedores que no se encontraban cerradas ni delimitadas; y 2) tratar las imágenes captadas por este sistema de videovigilancia situado a la vía pública, para ejercer la potestad sancionadora contra vecinos del municipio. Se aprecia un concurso medial entre ambas infracciones, pero solo procede sancionar la infracción principal, que es la vulneración del principio de licitud en cuanto a la instalación de un sistema de videovigilancia a la vía pública.

Se amonesta en un Ayuntamiento como responsable de una infracción por vulneración del principio de licitud, por haber enviado a un inspector del cuerpo de la policía de la Generalitat-Mossos d'Esquadra dos instancias con datos personales sin base jurídica, en concreto, antes de la apertura de una información reservada contra el agente denunciando, y sin que concurriera un peligro real para la seguridad pública o la investigación y persecución de un delito.

Se amonesta el Ayuntamiento de Sant Boi de Llobregat como responsable de una infracción prevista en el artículo 83.5.a en relación con el artículo 5.1.f, ambos del RGPD, por el envío de un correo electrónico a numerosas personas sin utilizar la herramienta de copia oculta.

Se dicta Resolución con amonestación en el procedimiento sancionador contra el Consorcio Sanitario Garraf, Hospital Residencia San Camil, por vulneración del principio de exactitud. Por haber utilizado un teléfono móvil que tenía a su base de datos desde el año 2011, en ninguna parte de hacer uso del teléfono facilitado con la derivación de la EAP de Sitges, de 2022.