Fuentes de HM Hospitales admiten la investigación y sanción de la Agencia Española de Protección de Datos (AEPD) por importe de 200.000 euros por vulnerar la normativa de protección de datos personales, aunque "en estos momentos está suspendida la ejecución de la sanción por recurso interpuesto en la Audiencia Nacional".
El hecho de que esté paralizada la ejecución de la sanción no quiere decir que se anule, sino que el pago, por ahora, está paralizado hasta que la Audiencia Nacional determine su resolución.
En el mejor de los casos para la compañía, la Audiencia Nacional puede dar la razón a HM Hospitales y cerrar el expediente sancionador de la AEPD; aunque también puede determinar que la investigación y sanción propuesta por Protección de Datos es la correcta y tengan que, finalmente, abonar los 200.000 euros de sanción.
No obstante, existe un tercer escenario, que sería el menos beneficioso para el grupo hospitalario, tanto a nivel económico, como de imagen corporativa, y es que la Audiencia Nacional, no solo dé la razón a la AEPD, sino que determine que los hechos y los fallos encontrados sean aún más graves y que dictamine una sanción superior a la establecida.
HM Hospitales podría enfrentar tres escenarios diferentes ante la sanción por la Agencia Española de Protección de Datos con 200.000 euros
En este sentido, cabe destacar que, según ha expresado un portavoz de HM Hospitales a Salud 35, "consideramos la privacidad y la seguridad de la información de nuestros pacientes como una prioridad y podemos afirmar que nuestra base de datos de historias clínicas de pacientes cuenta con los sistemas de seguridad más avanzados del sector. El mismo se aplica de manera integral a todos los datos sensibles de los pacientes, asegurando que la información esté protegida contra accesos no autorizados, garantizando la confidencialidad, disponibilidad e integridad de estos", por lo que todo parece indicar que no se habría llegado a filtrar ningún dato.
Pero las conclusiones de la investigación por parte de la Agencia Española de Protección de Datos (AEPD) determinó que HM Hospitales había infringido gravemente el Reglamento General de Protección de Datos (RGPD). Como resultado, la AEPD emitió una resolución en la que impuso una sanción de 200.000 euros a HM Hospitales por incumplir el Artículo 32 del RGPD. Este artículo establece la obligación de los responsables del tratamiento de adoptar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales, en función del riesgo que implica su tratamiento.
La AEPD basó su decisión en varios factores clave que justificaron la imposición de la multa a HM Hospitales. En primer lugar, se consideró que la empresa no había implementado las medidas de seguridad necesarias para proteger los datos sensibles de los pacientes, específicamente aquellos relacionados con la historia clínica electrónica (HCE). El RGPD es claro al establecer que los datos de salud están considerados como una categoría especial de datos personales, y su tratamiento exige una mayor rigurosidad en términos de seguridad, debido al riesgo que suponen para los derechos y libertades de los individuos.
El incumplimiento del Artículo 32 fue uno de los principales argumentos de la AEPD para imponer la sanción. Según este artículo, las organizaciones deben garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento de datos personales. Esto incluye medidas tales como:
- El cifrado de datos personales para proteger la información en caso de acceso no autorizado.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales en caso de incidente físico o técnico.
- Un proceso regular de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En el caso de HM Hospitales, la AEPD determinó que estas medidas no se habían implementado de manera adecuada o efectiva, especialmente en lo que respecta a la trazabilidad del acceso a los datos y la protección mediante el cifrado. La falta de controles para identificar quién había accedido a los historiales clínicos de los pacientes fue una infracción grave, ya que impedía a la organización detectar accesos no autorizados o indebidos.
La investigación reveló que los fallos de seguridad en el sistema "Doctoris" no eran recientes, sino que habían estado presentes durante un largo periodo de tiempo
Otro factor que agravó la sanción fue la duración del incumplimiento. La investigación reveló que los fallos de seguridad en el sistema "Doctoris" no eran recientes, sino que habían estado presentes durante un largo periodo de tiempo. La AEPD identificó que los problemas de trazabilidad y la falta de auditorías se remontaban a varios años atrás, lo que indicaba una falta de diligencia por parte de HM Hospitales en el cumplimiento de sus obligaciones legales.
El alcance del tratamiento de los datos también fue un factor clave. HM Hospitales opera una red de centros hospitalarios que abarca varias regiones de España, lo que implica el tratamiento de una gran cantidad de datos personales a gran escala. Según la propia documentación aportada por la empresa, el sistema "Doctoris" gestiona los historiales clínicos de decenas de miles de pacientes en todo el país, lo que incrementa el riesgo de que cualquier vulnerabilidad afecte a un gran número de personas.
Finalmente, la AEPD consideró la intencionalidad o negligencia en la infracción. Aunque HM Hospitales no actuó de manera malintencionada, la falta de medidas preventivas adecuadas y la ausencia de auditorías periódicas reflejaban una clara negligencia en la gestión de la seguridad de los datos. La normativa de protección de datos exige a los responsables del tratamiento adoptar un enfoque proactivo para garantizar la seguridad, algo que HM Hospitales no cumplió adecuadamente.