Sanción en materia de protección de datos

Lo que el sector sanitario puede aprender de la sanción a HM Hospitales

La Agencia Española de Protección de Datos (AEPD) multó a HM Hospitales con 200.000 euros por problemas en la gestión de datos personales en su sistema de historias clínicas electrónicas (HCE), DOCTORIS. Este artículo analiza las lecciones de la sanción a HM Hospitales, con recomendaciones para que el sector sanitario mejore la protección de los datos y evite sanciones. 

Lecciones del contexto del caso de la sanción a HM Hospitales

El sistema DOCTORIS, que HM Hospitales utiliza para gestionar datos clínicos de los pacientes, fue investigado tras una denuncia en agosto de 2022. La investigación reveló fallos en las medidas de seguridad. Como resultado, la AEPD impuso la sanción. 

Entre los fallos más importantes se encuentran problemas con la trazabilidad de accesos a datos, la ausencia de auditorías y la falta de automatización en la supresión de datos.

Estos problemas son graves porque afectan datos de salud, que son considerados datos sensibles bajo el RGPD y requieren un alto nivel de protección.

Principales lecciones de la sanción a HM Hospitales

  1. Trazabilidad insuficiente: La AEPD descubrió que DOCTORIS no registraba adecuadamente los accesos a las historias clínicas. Solo registraba las modificaciones, pero no las consultas. Esto dificulta el control de acceso.
  2. Falta de auditorías: Durante los últimos tres años, no se realizaron auditorías específicas para DOCTORIS, lo que impidió verificar el cumplimiento de las normativas de protección de datos.
  3. Procesos de supresión inadecuados: DOCTORIS no cuenta con procesos automáticos para eliminar o bloquear datos cuando expira el plazo legal de conservación. Esto viola el principio de limitación del plazo de conservación.
  4. Cifrado insuficiente: Aunque HM Hospitales utilizaba cifrado a nivel de hardware, la AEPD consideró que no era suficiente. También recomendó cifrar los datos en reposo usando software.

Recomendaciones para mejorar la protección de datos en el sector sanitario

Para evitar sanciones como las impuestas a HM Hospitales, se sugieren las siguientes medidas para mejorar la gestión de datos personales en el sector sanitario:

  1. Implementar trazabilidad completa: Es fundamental registrar todos los accesos a los datos personales, tanto modificaciones como consultas. Un sistema robusto de trazabilidad facilita el control de acceso y las auditorías de cumplimiento.
  2. Realizar auditorías regulares: Las auditorías periódicas garantizan que los sistemas estén actualizados y cumplan con las normativas. Es crucial auditar los sistemas que gestionan datos sensibles, como las historias clínicas electrónicas.
  3. Automatizar procesos de conservación y supresión de datos: Los sistemas deben eliminar o bloquear los datos personales al finalizar el período de conservación legal para cumplir con los principios de minimización y limitación de conservación de datos.
  4. Revisar medidas de cifrado: El cifrado debe aplicarse no solo a nivel de hardware, sino también a nivel de software. Los datos en reposo y en tránsito deben estar protegidos con los más altos estándares de seguridad.
  5. Capacitar al personal de forma continua: La formación constante en buenas prácticas de gestión de datos personales es clave para evitar errores humanos, que son una de las principales causas de brechas de seguridad.

¿Cómo puede ayudar Auferil en la protección de datos?

En Auferil, somos expertos en protección de datos y ofrecemos servicios personalizados para garantizar que nuestros clientes cumplen con la normativa, como el RGPD. Para evitar sanciones, recomendamos auditorías periódicas que revisen el cumplimiento y detecten áreas de mejora.