Sancionan al Hospital Campo Grande con una multa de 10.000€ 

Escrito por Lara Rebon Gelpi
Protección de datos en Hospitales - Pdatos

Para salvaguardar y velar por la seguridad de los datos de carácter personal, cada día se endurecen más las normas que regulan la Protección de Datos. Tanto es así, que la Agencia Española de Protección de Datos (AEPD) ya ha impuesto más de 20 millones de euros en multas en lo que llevamos de 2022

Esto lo sabe bien el Hospital Campo Grande, multado con 10.000 euros por compartir el historial clínico de un paciente. Hay muchas maneras de evitar estas multas, pero sin duda alguna, la primera de ellas es asegurarse de que tu empresa cumple con las leyes de Protección de Datos. ¿Quieres salir de dudas? Puedes saberlo de forma gratuita en tan solo 2 minutos cubriendo nuestro formulario y descubriendo el riesgo al que tu empresa está expuesta.

Y si quieres conocer más acerca del caso del Hospital Campo Grande, sigue leyendo y descubre la causa que motivó a la AEPD a multar al hospital.

Contexto

Ya conoces cómo termina la historia: el Hospital Campo Grande es multado con 10.000 euros. Sin embargo, ¿cómo se llegó a ese punto? El problema comenzó el 05/09/2019, cuando un usuario realizó una reclamación debido a un suceso que, consideraba, violaba sus derechos. 


Estos fueron los 2 hechos principales:

  1. El 02/08/2019 el usuario realizó una resonancia magnética de la rodilla derecha en el Hospital Campo Grande solicitada a través de su seguro privado.

  2. El 27/08/2019, por un accidente en el trabajo, el sujeto solicitó otra resonancia magnética de la misma rodilla a través de la mutua a otro hospital. 

Es importante tener en cuenta que este 2º informe hace referencia a la 1ª resonancia y, cuando el sujeto llega a la mutua, la doctora le indica que se dirija a su médico privado de la Seguridad Social. ¿Motivo? La mutua no puede precisar que ocurrió un accidente laboral por existir una resonancia previa en la misma parte del cuerpo unas semanas antes.


Por lo tanto, se puede determinar que se ha transferido información a una entidad de una prueba médica realizada en otra entidad privada. El usuario entiende que en caso de alto riesgo, esa información pueda ser compartida para salvarle la vida, pero no existía tal riesgo. Asimismo, el usuario entiende que cada empresa tiene una historia clínica, única y exclusiva para el paciente, no para que sea distribuida a otras entidades.

¿Qué sucedió?

Tras la denuncia del usuario, adjuntando como prueba ambas historias clínicas, se traslada la denuncia al Hospital Campo Grande el 24/10/2019 a través del sistema telemático. Pese a que consta que se notificó el 25/10/2019, no se atendió la petición. Finalmente, el 21/02/2020, la reclamación fue admitida a trámite.


El 04/06/2020 se dicta acuerdo de inicio de procedimiento sancionador con:

  1. Artículo 58.2 del RGPD por presunta infracción del artículo 5.1.f) el RGPD en relación con el artículo 5 de la LOPDGDD, según señala el artículo 83.5.a) del RGPD.

Normas de protección de datos presuntamente violadas
Artículo 58.2 del RGPDCada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
a) dirigir a todo responsable o encargado del tratamiento con una advertencia cuando las operaciones de tratamiento previstas puedan infringir lo dispuesto en el presente Reglamento;
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;
Artículo 5.1.f) del RGPDLos datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines;
Artículo 5 de la LOPDGDDLos responsables y encargados del tratamiento de datos así como todas las personas que intervengan en cualquier fase de este estarán sujetas al deber de confidencialidad al que se refiere el artículo 5.1.f) del Reglamento (UE) 2016/679.
Artículo 83.5.a) del RGPDLas infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

2. A los efectos previstos en el artículo 58.2.i) del RGPD, la sanción que pudiera corresponder con la presunta infracción de esta disposición sería una multa administrativa de 10.000€, de conformidad con el artículo 83.2.g) del RGPD, sin perjuicio de lo que resulte de la instrucción.

Normas de protección de datos presuntamente violadas
Artículo 58.2.i) del RGPDVisto anteriormente.
Artículo 83.2.g) del RGPDLas multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta:

Resolución

La Directora de la Agencia Española de Protección de Datos fue competente para resolver este procedimiento, en virtud de los poderes otorgados por el artículo 58.2 del RGPD y los artículos 47 y 48.1 de la LOPDGDD. Y concretó:

  • Imponer una sanción de 10.000 euros al Hospital Campo Grande.

  • Notificar la resolución al Hospital Campo Grande.

  • Advertir al sancionado que deberá hacer efectiva la sanción impuesta en el plazo de pago voluntario establecido en el art. 68 del Reglamento General de Recaudación, mediante su ingreso bancario en la AEPD.

Este ha sido el caso del Hospital Campo Grande, pero podría ser el de cualquier empresa que no actúe conforme con lo que las leyes de Protección de Datos dictan. Y si quieres conocer todos los detalles sobre este ejemplo concreto, puedes hacerlo en la Resolución de procedimiento sancionador emitida por la AEPD. Además, descubre otros en nuestro Blog, como el de Mercadona, RTVE o el de un conocido hotel en las Islas Baleares.

Evita sanciones por incumplir la Protección de Datos. Ya te avisamos, ¡normalmente las multas son de elevadas cuantías! La mejor opción es contratar un servicio de protección de datos, como el que ofrecemos en Pdatos. Nuestros especialistas, con más de 13 años de experiencia, te asesorarán de forma individual y personalizada. En cuestión de 15 minutos, analizamos tu negocio. Además, si vas a crear una web o necesitas actualizar los textos legales, ¡te los enviamos gratis!

Textos legales gratis - Pdatos

¿Vas a perder esta oportunidad de cumplir con las leyes de Protección de Datos de manera fácil y sencilla?

Lara Rebon Gelpi
Anterior

Teletrabajo y protección de datos, ¿cómo cumplirlos? 10 Recomendaciones útiles
Siguiente

¿Cómo actuar ante una brecha de seguridad?