Tras una exhaustiva investigación, la Agencia Española de Protección de Datos (AEPD) identificó varios fallos significativos en el manejo de los datos personales por parte de HM Hospitales. Estas deficiencias no solo exponían a los pacientes a riesgos potenciales de violación de su privacidad, sino que también incumplían varios de los requisitos establecidos en el Reglamento General de Protección de Datos (RGPD). Los fallos se centraron en tres áreas principales: la falta de trazabilidad en el acceso a los datos, la insuficiencia de medidas de seguridad, y la ausencia de auditorías que garantizaran el cumplimiento normativo.
FALTA DE TRAZABILIDAD EN EL ACCESO A LOS DATOS
Uno de los problemas más graves que detectó la AEPD fue la falta de trazabilidad en el acceso a los datos personales. En el caso de los historiales clínicos electrónicos (HCE) gestionados por el sistema "Doctoris", no era posible rastrear qué usuarios accedían a una historia clínica concreta, lo cual representaba una vulneración directa de los principios de seguridad y confidencialidad establecidos en el RGPD.
Este fallo en la trazabilidad es especialmente preocupante cuando se trata de información médica, dado que los datos de salud se consideran de carácter altamente sensible. La imposibilidad de verificar quién accede a los historiales médicos compromete tanto la privacidad de los pacientes como la seguridad de la información, aumentando el riesgo de accesos no autorizados o indebidos. Además, esta deficiencia se suma a la obligación de las empresas de poder demostrar en cualquier momento quién, cómo y cuándo ha accedido a los datos, especialmente en entornos donde se manejan datos personales a gran escala, como es el caso del sistema hospitalario.
La AEPD considera que el incumplimiento había sido persistente durante un largo periodo de tiempo
En sus alegaciones, HM Hospitales intentó mitigar la gravedad de esta deficiencia, señalando que el sistema "Doctoris" permitía registrar ciertos tipos de actividad, como los intentos de acceso fallidos o las modificaciones realizadas en los historiales. Sin embargo, la AEPD consideró que estas medidas eran insuficientes, ya que no ofrecían una visión completa de todos los accesos realizados ni permitían rastrear a qué parte concreta de los historiales había accedido cada usuario.
Además, el hecho de que este problema no se hubiera subsanado hasta marzo de 2023, cuando se implementaron nuevos controles tras una evaluación de impacto de protección de datos, hizo que la AEPD considerara que el incumplimiento había sido persistente durante un largo periodo, lo que agravaba la sanción impuesta.
INSUFICIENCIA DE MEDIDAS DE SEGURIDAD
Otro de los puntos clave en la investigación de la AEPD fue la insuficiencia de medidas de seguridad implantadas para proteger los datos personales gestionados por HM Hospitales. Aunque la empresa alegaba que había implementado sistemas de cifrado para proteger los datos almacenados, la AEPD constató que estas medidas no eran suficientes ni estaban aplicadas de manera uniforme en todas las bases de datos del sistema "Doctoris".
Según los hallazgos de la investigación, HM Hospitales utilizaba un nivel básico de cifrado en los sistemas de almacenamiento de discos, pero este no se aplicaba a las bases de datos en reposo. Esto significaba que, aunque los datos estuvieran protegidos cuando se accedía a ellos a través de las aplicaciones, la información almacenada permanecía vulnerable a posibles ataques o accesos no autorizados en su estado de reposo, es decir, cuando no se estaba utilizando activamente.
La AEPD también señaló que el cifrado implementado era insuficiente en comparación con las mejores prácticas recomendadas para proteger los datos sensibles, como es el caso de los historiales médicos. El Reglamento General de Protección de Datos (RGPD), en su artículo 32, establece que los responsables del tratamiento de datos deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto incluye, entre otras cosas, el uso de cifrado para asegurar que los datos personales no puedan ser leídos ni accedidos sin autorización.
En sus alegaciones, HM Hospitales reconoció que estaba en proceso de mejorar sus medidas de cifrado, y que había comenzado a implementar tecnología TDE (Transparent Data Encryption) de SQL Server para cifrar las bases de datos en reposo. Sin embargo, la AEPD consideró que esta mejora llegó demasiado tarde, ya que los fallos en el cifrado habían persistido durante años, exponiendo los datos de los pacientes a riesgos innecesarios.
AUSENCIA DE AUDITORÍAS
Un tercer aspecto crítico detectado por la AEPD fue la ausencia de auditorías regulares y específicas para el sistema "Doctoris". Durante el proceso de investigación, HM Hospitales admitió que no se habían realizado auditorías completas del sistema de gestión de historiales clínicos en los últimos tres años, lo que representaba un incumplimiento de las obligaciones de supervisión y control establecidas por la normativa de protección de datos.
Las auditorías son esenciales para garantizar que los sistemas de información que manejan datos personales, especialmente aquellos tan sensibles como los de salud, estén operando correctamente y cumplan con las normativas de seguridad vigentes. Sin auditorías, no es posible verificar si las medidas de seguridad están siendo efectivas, ni si se están implementando mejoras para corregir posibles deficiencias.
HM Hospitales justificó la falta de auditorías alegando que el sistema "Doctoris" era una implementación reciente y que, por lo tanto, no había sido necesario realizar revisiones completas. Sin embargo, la AEPD argumentó que, dado que el sistema es una evolución de un software anterior (HOSMA), era obligatorio realizar auditorías periódicas para asegurar que los cambios implementados no afectaban negativamente a la seguridad de los datos.
Además, la empresa admitió que, debido a la pandemia de COVID-19, sus recursos se habían redirigido hacia la atención sanitaria, lo que había retrasado las auditorías. No obstante, la AEPD subrayó que esta justificación no eximía a la empresa de su responsabilidad de garantizar la seguridad de los datos, más aún en un momento en que los hospitales estaban gestionando grandes cantidades de información médica sensible.
En respuesta a estos hallazgos, la AEPD concluyó que la ausencia de auditorías constituía una infracción grave del principio de responsabilidad proactiva, según el cual los responsables del tratamiento de datos deben tomar las medidas necesarias para garantizar la seguridad y privacidad de los datos personales, así como demostrar el cumplimiento continuo de la normativa de protección de datos.