Tras la denuncia de FACUA

La AEPD apercibe al Hospital Virgen de la Luz de Cuenca por ceder datos de pacientes irregularmente

La Agencia concluye que hubo infracción grave y sanciona también a la clínica privada Recoletas de Cuenca, receptora de los datos, por no cifrar la información.

La AEPD apercibe al Hospital Virgen de la Luz de Cuenca por ceder datos de pacientes irregularmente
FACUA denunció la cesión irregular de datos del Hospital Virgen de la Luz de Cuenca en agosto de 2014. | Imagen: castillalamancha.es.

FACUA-Consumidores en Acción lamenta la falta de contundencia de la Agencia Española de Protección de Datos (AEPD) tras confirmar la infracción grave cometida por el Hospital Virgen de la Luz de Cuenca, que cedió datos personales e historiales médicos de los pacientes de su servicio de Neurofisiología a la clínica privada Recoletas sin cifrar la información, pese a tratarse de datos especialmente protegidos.

La AEPD ha confirmado la infracción, pero no impone ninguna sanción por ser tratarse de un centro público y estar por tanto acogido al régimen disciplinario de las Administraciones Públicas, que impide que un organismo sancione a otro.

Asimismo, en otra Resolución, la AEPD sanciona al Hospital Recoletas de Cuenca –privado- con una multa de 40.001 por haber subcontratado al Centro de Estudios Neurológicos sin la autorización del Hospital Virgen de la Luz y haber cedido los datos de los pacientes sin protegerlos con cifrado.

El caso fue denunciado por FACUA en agosto de 2014, tras detectar que el Hospital en cuestión estaba cediendo los datos de sus pacientes a entidades privadas que contactaban a los afectados en su nombre -sin el consentimiento de estos- para ofrecerles sus servicios.

En su investigación, la AEPD ha constatado que dicho traspaso de datos sin el consentimiento de los afectados entre el centro público y el hospital Recoletas tuvo lugar. FACUA lamenta que la Agencia no lo considere irregular a pesar de que se trata de información especialmente sensible, protegida por la Ley Orgánica de Protección de Datos.

Así lo recoge el artículo 7.3 de la mencionada ley: "Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente".

Sin embargo, la AEPD argumenta que entre ambos centros había un convenio de colaboración con un apartado específico relativo a la protección de los datos, a pesar de que los usuarios desconocían la existencia de dicho convenio, por lo que no fueron informados previamente por el centro público de la posibilidad de realizarse las pruebas en la clínica privada

La Agencia ha comprobado que el intercambio de información entre ambos hospitales no se hizo cifrando los datos ni se les dio protección alguna, lo que supone un incumplimiento de las medidas de seguridad por parte del Hospital Virgen de la Luz de Cuenca. Así lo indica el artículo 104 del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos: "la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros".

Sanción a la Clínica Recoletas

Además de apercibir al hospital público, la Agencia ha sancionado también a la Clínica Recoletas por haber cedido a su vez los datos de los pacientes al Centro de Estudios Neurológicos Varela de Seijas, centro al que subcontrató para realizar una de las pruebas diagnósticas que le había encargado hacer el Hospital Virgen de la Luz sin ningún tipo de autorización ni de validación por parte del Servicio de Salud de Castilla La Mancha, del que depende el hospital.

La AEPD indica en su resolución que ha podido comprobar que ambos centros privados, la clínica Recoletas y el CEN, intercambiaron datos de los pacientes del Hospital Virgen de la Luz sin el consentimiento de éste y sin tomar las medidas de seguridad requeridas para la protección de estos datos, especialmente protegidos por la legislación.

Esto supone una infracción de carácter muy grave, de acuerdo con la Ley Orgánica de Protección de Datos, dado que "la cesión de datos de carácter personal relativos a la salud de los pacientes del hospital Virgen de la Salud de Cuenca, por parte del Hospital Recoletas de Cuenca al Centro de Estudios Neurológicos Varela de Seijas se efectuó sin la concurrencia de una habilitación legal que así lo dispusiera y sin haber obtenido tampoco el consentimiento expreso de las personas afectadas por dicha cesión".

La sanción es por vulnerar el artículo 11.1 de la Ley Orgánica de Protección de Datos, que establece que "los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado".

FACUA considera insuficiente la multa de 40.001 euros impuesta a la clínica Recoletas. La Agencia ha decidido rebajar la sanción de muy grave a grave porque, en sus alegaciones, la clínica admite su culpabilidad. La asociación considera que las sanciones deben ser proporcionales a la irregularidad cometida, que en este caso afecta a unos datos especialmente protegidos por la ley.

Ya somos 187.906