¿Pueden los empleados de un Hospital acceder a los datos de cualquier paciente?

Un caso sucedido en el Hospital de Turingia (Alemania) muestra la deficiencias de la Protección de Datos en Hospitales y que las violaciones de datos también pueden producirse por parte del personal por desconocimiento o mala fe.

El comportamiento de un empleado del Hospital de Turingia (Alemania) no sólo fue moralmente reprobable, sino que también llamó la atención sobre un problema general de protección de datos en hospitales.

¿Qué ha pasado?

El empleado del hospital en cuestión quería información del expediente del paciente almacenado electrónicamente de su expareja. Había dado a luz a un niño en la clínica, que el empleado de la misma decía que era su hijo. Como empleado del departamento «Psiquiatría / Psicoterapia», el empleado accedió al archivo de pacientes del departamento «Ginecología y Obstetricia».

El hospital informó de esta violación de datos, a continuación se llevó a cabo una revisión. A través de esta revisión y de la declaración de la clínica, se determinó que todos los empleados de la clínica tenían derechos de acceso a todos los datos de los pacientes de la clínica. Esta circunstancia es especialmente problemática, ya que los datos de los pacientes son los llamados datos sanitarios. Este tipo de datos sensibles goza de una protección especial en virtud del RGPD, ya que su tratamiento está prohibido con carácter general. El tratamiento de datos sanitarios sólo se permite en determinados casos excepcionales que deben ser examinados en detalle. Ninguno de ellos estaba presente aquí.

Concepto de función y autorización

En principio, el RGPD establece en el artículo 5.1.f) y en el artículo 32 que deben adoptarse medidas técnicas y organizativas para garantizar la seguridad del tratamiento. Esto incluye también la protección de los datos frente a accesos no autorizados, como los mencionados anteriormente. Para una zona especialmente sensible como la de este caso, hay que tener en cuenta sobre todo los siguientes puntos:

• Sólo las personas autorizadas deben tener acceso a los expedientes, por ejemplo, si es necesario para el tratamiento o la atención.
• Si es necesario un acceso ampliado para el tratamiento (usuario ampliado o área de pabellón), los derechos deben asignarse de forma selectiva y comprensible, y no automáticamente.

¿Cuáles fueron las consecuencias?

Según el artículo 58 (2) (d) del RGPD, cada autoridad de control tiene varias posibilidades de exigir medidas correctoras. En este caso, se solicitó al hospital que adoptara las siguientes medidas:

Restringir inmediatamente las autorizaciones de acceso de los roles individuales y priorizar los cambios de rol en el departamento de TI del hospital.

Poner en funcionamiento la «orden de tratamiento para emergencias» electrónica para garantizar que cualquier acceso a los expedientes de los pacientes que sea ajeno al departamento respectivo no pueda tener lugar sin una justificación profesional y quede anotado en los archivos de registro. Esta «posición de vigilancia» eleva la barrera psicológica para dicho acceso.

El hospital ha cumplido con estas medidas. Además, el hospital ha interpuesto un aviso de advertencia para cada acceso fuera de su propia área de responsabilidad: «¡Atención! El acceso sólo puede tener lugar si es necesario para el tratamiento.

¿Qué pasó después?

Además de aplicar las medidas, el hospital se planteó otras preguntas:

1. ¿Cuál de las unidades de negocio del hospital debe identificar el acceso abusivo a los archivos de los pacientes?
2. ¿Con qué periodicidad debe identificarse el acceso abusivo de acuerdo con la normativa de protección de datos?
3. ¿Cómo debe tratarse la sospecha de acceso indebido?

La recomendación del Agencia de Protección de Datos fue la siguiente:

El acceso a los archivos de registro debe realizarse siempre en doble control con el consejo de personal/comité de empresa y, sensiblemente, en presencia del responsable de protección de datos de la empresa.

Durante todo el proceso deben respetarse también otras obligaciones derivadas de la ley de protección de datos:

1. Debe elaborarse un informe sobre la evaluación de los archivos de registro.
2. De conformidad con el artículo 12 en relación con el artículo 13 del RGPD, los empleados deben ser informados sobre el procedimiento de control selectivo o muestreo aleatorio y el motivo de este procedimiento -por ejemplo, la sospecha de casos de abuso- y el tratamiento asociado de sus datos personales.

Cada tres meses, debe tomarse una muestra aleatoria de unas 20 muestras para conseguir un efecto disuasorio. Tan pronto como se haya implantado técnicamente el registro del motivo de acceso, la cantidad y la frecuencia de las muestras aleatorias pueden ajustarse de modo que el tamaño de la muestra cubra un porcentaje de la plantilla definido específicamente por el hospital para identificar los casos de uso indebido.

En el caso de una muestra aleatoria regular de los archivos de registro, el motivo del acceso debe solicitarse personalmente al empleado.

Conclusión:

Este caso muestra claramente los efectos positivos que pueden tener los principios de la ley de protección de datos en los grupos de personas más diversos, si se aplican. Para evitar estos percances con los datos, se recomienda revisar y repetir periódicamente el concepto de funciones y derechos internos. En Alisios Consultores estaremos encantados de asesorarle al respecto.