27 oct. 2011

La Sentencia Comentada de SNS-Osasunbidea


Continuando con la noticia que leí en Diario de Noticias de Navarra, he conseguido localizar la sentencia Jdo. Contencioso-Administrativo Nº 1 de Pamplona/Iruña que paso a comentar a continuación.

La sentencia hace hincapié en que lo que se ha hecho mal en Osasunbidea es el poco control de accesos que hay en cuanto a las autorizaciones se refiere. Ya que a pesar de disponer de medios y de una implantación hecha en materia de LOPD, la juez apelando a lo expuesto por el perito informático destaca que no existen apenas límites a la hora de acceder a los historiales clínicos desde la aplicación informática de Osasunbidea (sí disponen de usuario y contraseña, pero pueden acceder distintos perfiles de empleados, tales como enfermeras/ os, médicos, auxiliares y otros no especificados si apenas límites en los accesos y sin que medie relación con el paciente).


Se destaca en la sentencia que sí se ha formado a los empleados en cuanto a su deber de confidencialidad y en materia de protección de datos.

Por otro lado en la sentencia, se tocan fundamentalmente dos puntos, uno el de los accesos indiscriminados y no justificados al historial clínico por parte de personal no autorizado a tal efecto y otro el hecho de que a la paciente se le tomaron fotografías sin su consentimiento ni el de sus familiares en estado de inconsciencia y después se adjuntaron al expediente o historial médico. En este último punto se establece lo siguiente en la sentencia:

“Es claro que muchas de las actuaciones medicas que se llevan a cabo en la practica, se hacen con el consentimiento tácito del paciente y la necesidad de sacar fotografías podría en este caso, tal y como explicaban los médicos intervinientes considerar justificada, sin embargo hay que reconocer, que son muchas las fotografías que se sacaron, son fotografías especialmente duras del cuerpo de una mujer muy joven desnudo y en un estado impactante. Estas fotografías se ha acreditado que obraban en la historia clínica informatizada y en algunas de ellas se podía identificar la cara, por lo tanto se podía identificar a la paciente, aunque después se retiraron. Sin embargo, a esas fotografías se pudo acceder, como así fue. Por otro lado tampoco se sabe hoy a ciencia cierta, que estas fotográficas no sigan circulando por ahí, es decir, no sean accesibles a través del acceso , valga la redundancia a la historia clínica informatizada de xxxxxxxx .”

En cuanto a la indemnización establece 50.000€ para cada progenitor de la paciente fallecida y 25.000 para la hermana. Desarrolla un poco el tema del derecho al honor en cuanto a que a pesar de ser un derecho personalísimo como el de la protección de datos en ocasiones es ampliable al ámbito familiar, como es el caso en esta sentencia. Para ello cita lo siguiente:

“Ha dicho el Tribunal Constitucional que los derechos a la integridad física, a la intimidad, al honor, o a la dignidad humana, son personalísimos y, en principio, intransferibles por lo que el titular de los mismos sólo puede ser la persona viva, y ello sin perjuicio de reconocer que la persona ya fallecida, como realidad jurídicamente distinta, ha de ser objeto de una particular protección jurídica por cuanto el techo a la intimidad familiar puede verse afectado ( Auto del Tribunal Constitucional 149/1999, de 14 de junio ).”

Reconoce así mismo que no es un derecho absoluto,

En conclusión establece que la formación estaba bien desarrollada en el hospital y los sistemas de acceso no, ya que era un poco como se suele decir coloquialmente café para todos.

Dice más cosas pero en general en mi opinión lo más destacable de las 21 hojas de las que dispone la sentencia es más o menos lo anteriormente expuesto.

Sentencia completa sin datos personales

18 oct. 2011

Sentencia contra SNS-Osasunbidea en materia LOPD





SNS-O debe pagar 125.000 €

Tal y como publicó el Diario de Noticias de Navarra el pasado 12 de octubre, "La historia clínica de una mujer, ya fallecida, fue vista por 419 sanitarios en 2.825 ocasiones", por lo que la jueza entiende que las medidas de seguridad y el protocolo de Salud no son suficientes para garantizar la protección de datos.

En el fondo lo veía venir, ya que Osasunbidea arrastraba desde hace años claras deficiencias en la adaptación y cumplimiento de la LOPD y que decir del RD 1720/2007 que la desarrolla. La duda que me queda es si en la actualidad, tal y como comenté en un post anterior (Osasunbidea deberá auditar la seguridad en materia de protección de datos), se encuentra a día de hoy correctamente adecuada a la citada normativa sobre Protección de Datos de Carácter Personal o si por el contrario continua padeciendo dicha insuficiencia (ya que la sentencia es sobre un asunto de 2007).

En mi opinión este tipo de sentencias deja clara una cuestión y no es otra que la importancia de la formación, el problema no es que determinadas personas entren por puro "cotilleo" a un historial, sino que el propio centro no haya advertido claramente de su prohibición y de las consecuencias que puede acarrear el incumplimiento sobre dicha prohibición. Por no mencionar el hecho de la falta de procedimientos en cuanto a las medidas de seguridad se refiere, ya que deberían disponer de medios en el sistema de información de Osasunbidea para evitar los accesos no autorizados, así como de medios para poder registrar e identificar todos los accesos no autorizados de forma inequívoca, para poder proceder si fuese el caso, a la apertura de investigaciones y expedientes disciplinarios, en aquellos supuestos de accesos no autorizados que no dispusiesen de alguna disculpa coherente y justificada por la cual se hubiese producido el citado acceso no autorizado.

Por último destacar claramente una cuestión a todos los empleados del sector público y en especial al sanitario (en vistas a que estos últimos tratan y gestionan datos de mayor sensibilidad). Los datos personales son de las personas físicas, es decir, de los ciudadanos, no de los hospitales o centros sanitarios y mucho menos de sus empleados. Por ello los datos personales deben ser tratados y/o gestionados exclusivamente por personal autorizado para las actividades que tengan asignadas en sus funciones y para las finalidades descritas en las mismas.


En conclusión, a mi modo de ver es vital la formación y concienciación de los empleados ya que es fundamental de cara a evitar este tipo de noticias tan penosas y vergonzosas, consiguiendo de este modo entre otras cosas un servicio de mayor calidad y confianza para los ciudadanos.