La Agencia Española de Protección de Datos (AEPD) impone una sanción de 200.000 euros a HM Hospitales por vulnerar la normativa de protección de datos personales, particularmente en la gestión de la historia clínica electrónica de los pacientes. Según explica el expediente sancionador de la AEPD, al que ha tenido acceso ConSalud.es, el caso se originó tras la denuncia de un ex empleado del la empresa subsidiaria, quien reportó deficiencias en el sistema de información hospitalaria utilizado por todos los centros del grupo; por lo que la sanción se centra en fallos relacionados con la seguridad de los datos personales de los pacientes, una cuestión crítica en el ámbito sanitario, dado el carácter sensible de la información que se maneja.
Esta infracción está tipificada en el Reglamento General de Protección de Datos (RGPD) y se refiere a la falta de medidas técnicas y organizativas suficientes para garantizar la seguridad de los datos personales, tal como exige el artículo 32 del reglamento europeo.
El caso, que ha desencadenado la multa a HM Hospitales, tuvo su origen en una denuncia presentada el 29 de agosto de 2022 por un ex trabajador de la empresa, quien señaló una serie de fallos graves en el software utilizado por el grupo hospitalario para la gestión integral de los historiales clínicos de los pacientes, incluyendo datos de laboratorio, citas médicas y otros registros esenciales.
El denunciante informó a los responsables de las vulnerabilidades y la necesidad urgente de tomar medidas, pero dichas advertencias no fueron atendidas
Este sistema no está alojado en las instalaciones de HM Hospitales, sino en los servidores de una empresa tecnológica externa; y, según el denunciante, esta infraestructura presentaba deficiencias en la protección de los datos sensibles almacenados y gestionados a través de dicho software, lo que implicaba riesgos significativos para la seguridad y confidencialidad de los historiales médicos de millas de pacientes.
Uno de los puntos más alarmantes de la denuncia fue que el sistema no permitía rastrear adecuadamente qué usuarios accedían a los datos de los pacientes, comprometiendo la trazabilidad de los accesos a la información médica. Además, el denunciante informó mediante varios correos electrónicos a los responsables de la empresa, en 2019 y 2022, sobre estas vulnerabilidades y la necesidad urgente de tomar medidas para corregirlas. Sin embargo, dichas advertencias no fueron atendidas a tiempo.
La denuncia también destacó que el software utilizado no es una creación reciente, sino que es una evolución de un sistema anterior, implantado en los centros de HM Hospitales desde hace más de una década. Aunque, esta evolución tecnológica no vino acompañada de las adecuadas auditorías y actualizaciones en términos de seguridad informática, lo que contribuyó a la acumulación de fallos en la protección de los datos personales.
La AEPD identificó múltiples incumplimientos de la normativa de protección de datos
En respuesta a esta denuncia, la AEPD emitió una nota el 19 de septiembre de 2022, en la que instaba a la Subdirección General de Inspección de Datos a realizar una investigación formal. El objetivo de esta investigación era evaluar si las deficiencias denunciadas representaban un incumplimiento de las normativas vigentes en protección de datos y, en particular, determinar si la empresa había implementado las medidas de seguridad adecuadas para proteger la información médica de los pacientes, tal y como exige el RGPD.
En este sentido, y con toda la información recopilada a lo largo de la investigación, la AEPD identificó múltiples incumplimientos de la normativa de protección de datos, que finalmente derivaron en una multa de 200.000 euros a HM Hospitales por la infracción del artículo 32 del RGPD, que exige la implementación de medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales.