La Agencia de Protección de Datos apercibe al hospital de Cuenca y sanciona a la clínica Recoletas por ceder datos sin cifrar
El organismo ha constatado que se produjo el traspaso de datos sin el consentimiento de los afectados entre el centro público y el privado
La Agencia Española de Protección de Datos ( AEPD ) ha confirmado que el Hospital Virgen de la Luz de Cuenca ha sido apercibido por « ceder datos personales e historiales médicos de los pacientes de su servicio de Neurofisiología» a la clínica privada Recoletas de la capital conquense «sin cifrar la información, pese a tratarse de datos especialmente protegidos», según ha informado la asociación Facua -Consumidores en Acción en un comunicado.
La AEPD no impone ninguna sanción por ser tratarse de un centro público y estar por tanto acogido al régimen disciplinario de las Administraciones Públicas, que impide que un organismo sancione a otro. Asimismo, en otra resolución, la AEPD sanciona al Hospital Recoletas de Cuenca –privado- con una multa de 40.001 por haber subcontratado al Centro de Estudios Neurológicos sin la autorización del Hospital Virgen de la Luz y haber cedido los datos de los pacientes sin protegerlos con cifrado.
El caso fue denunciado por Facua en agosto de 2014, tras detectar que el Hospital en cuestión estaba «cediendo los datos de sus pacientes a entidades privadas que contactaban a los afectados en su nombre -sin el consentimiento de estos- para ofrecerles sus servicios».
En su investigación, la AEPD ha constatado que se produjo el traspaso de datos sin el consentimiento de los afectados entre el centro público y el privado. Facua lamenta que la Agencia no lo considere irregular a pesar de que se trata de información especialmente sensible, protegida por la Ley Orgánica de Protección de Datos.
La AEPD argumenta que entre ambos centros había un convenio de colaboración con un apartado específico relativo a la protección de los datos, a pesar de que los usuarios desconocían la existencia de dicho convenio , por lo que no fueron informados previamente por el centro público de la posibilidad de realizarse las pruebas en la clínica privada.
La Agencia ha comprobado que e l intercambio de información entre ambos hospitales no se hizo cifrando los datos ni se les dio protección alguna, lo que supone un incumplimiento de las medidas de seguridad por parte del Hospital Virgen de la Luz de Cuenca. Facua recuerda que así lo indica el artículo 104 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos: «la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros».
La Agencia ha sancionado también a la Clínica Recoletas por haber cedido a su vez los datos de los pacientes al Centro de Estudios Neurológicos Varela de Seijas, centro al que subcontrató para realizar una de las pruebas diagnósticas que le había encargado hacer el Hospital Virgen de la Luz «sin ningún tipo de autorización ni de validación» por parte del Servicio de Salud de Castilla La Mancha, del que depende el hospital.
La AEPD indica en su resolución que ha podido comprobar que ambos centros privados, la clínica Recoletas y el CEN, intercambiaron datos de los pacientes del Hospital Virgen de la Luz «sin el consentimiento de éste y sin tomar las medidas de seguridad requeridas para la protección de estos datos, especialmente protegidos por la legislación».
En opinión de la asociación de consumidores, esto supone una infracción de carácter «muy grave», de acuerdo con la Ley Orgánica de Protección de Datos, dado que « la cesión de datos de carácter personal relativos a la salud de los pacientes del hospital Virgen de la Salud de Cuenca, por parte del Hospital Recoletas de Cuenca al Centro de Estudios Neurológicos Varela de Seijas se efectuó sin la concurrencia de una habilitación legal que así lo dispusiera y sin haber obtenido tampoco el consentimiento expreso de las personas afectadas por dicha cesión».
La sanción es por vulnerar el artículo 11.1 de la Ley Orgánica de Protección de Datos, que establece que «los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado».
Facua considera «insuficiente» la multa de 40.001 euros impuesta a la clínica Recoletas. La Agencia ha decidido rebajar la sanción de muy grave a grave porque, en sus alegaciones, la clínica admite su culpabilidad . La asociación considera que las sanciones deben ser «proporcionales a la irregularidad cometida», que en este caso afecta a unos datos especialmente protegidos por la ley.
